Lors de la session de partage sur la protection des actifs Web3 la semaine dernière, le flux de portefeuille du fan Xiao Song a alerté les personnes présentes : « Il y a 3 mois, pour obtenir un whitelist NFT, j'ai autorisé une DApp à appeler les permissions de mon portefeuille. Après avoir récupéré le NFT, je n'ai pas prêté attention, et la semaine dernière, 3 transferts de BNB ont été effectués depuis mon portefeuille ! En vérifiant les enregistrements d'autorisation, cette DApp expirée détient encore les permissions de transfert de mes actifs. » J'ai pris son adresse de portefeuille, son historique d'autorisation et le hachage des transactions frauduleuses, et j'ai connecté l'outil de traçage des permissions de portefeuille de Linea, clarifiant immédiatement le problème central : il ne s'agit pas d'une fuite de clé privée, mais d'une « oubli d'autorisation + abus de permission » qui a conduit à une perte de contrôle des actifs, un piège de sécurité que les petits investisseurs sont les plus susceptibles de rencontrer.
En analysant en profondeur la chaîne de risques, les actions des hackers exploitent précisément les vulnérabilités d'autorisation et l'inattention des utilisateurs : premièrement, ils ciblent la vulnérabilité de "généralisation des autorisations", Xiao Song n'a pas fait attention au fait que le DApp demandait un "droit d'appel d'actifs illimité", au lieu d'une "autorisation d'airdrop unique", cette autorisation permet au DApp de transférer des actifs sans confirmation supplémentaire ; deuxièmement, ils exploitent le "mécanisme d'appel silencieux", les hackers acquièrent les autorisations d'arrière-plan de DApp expirés et initient un transfert d'actifs pendant la période de sommeil des utilisateurs, les enregistrements d'appels étant cachés parmi de nombreuses transactions ordinaires, évitant les rappels de fenêtres contextuelles habituels du portefeuille ; troisièmement, en profitant de la "confusion des frais de Gas payés", les frais de Gas de la transaction frauduleuse sont payés par les hackers, de sorte que le flux du portefeuille de Xiao Song n'affiche que "transfert d'actifs" sans "dépense de Gas", retardant ainsi le temps de découverte du risque. La perte de Xiao Song est essentiellement due à un manque de compréhension que "l'autorisation sur la chaîne est une autorisation à long terme".
Le principe central de l'autorisation du portefeuille Web3 est "contrôle des autorisations, récupération traçable", le système de gestion des autorisations ZK de Linea cible précisément ce type de risque. J'ai aidé Xiao Song à utiliser le "système de vérification de la sécurité des autorisations de portefeuille" de Linea, en téléchargeant l'ABI des contrats d'autorisation précédents, les enregistrements d'appels frauduleux et les journaux d'interaction avec le portefeuille : le nœud ZK réalise deux actions clés grâce à des preuves à divulgation nulle de connaissance - d'abord, il traverse la chaîne d'autorisation et restaure la trajectoire complète des autorisations DApp de "demande - autorisation - appel silencieux", confirmant que l'autorisation n'a pas de date d'expiration et contient des éléments de risque de "transfert d'actifs complet", ce qui ne correspond pas du tout à l'autorisation de "vérification d'identité de base" requise pour l'airdrop ; deuxièmement, il génère une "carte des appels d'autorisation associés", marquant l'association des fonds entre l'adresse frauduleuse et l'acquéreur DApp, confirmant la conclusion "que le vol a été effectué par le biais d'autorisations expirées".
Ce rapport (rapport d'évaluation de vol d'actifs dû à l'oubli d'autorisation de portefeuille) devient le cœur de la défense des droits. Après avoir soumis le rapport à l'alliance de sécurité des portefeuilles Web3 et à la DAO de l'écosystème du DApp, l'alliance a immédiatement gelé le compte de mélange associé à l'adresse frauduleuse, et, sur la base de la preuve d'autorisation ZK générée par Linea, a aidé à récupérer 60 % des BNB volés ; la DAO de l'écosystème a statué que l'équipe de développement du DApp original n'avait pas rempli l'obligation de "rappel de date d'expiration de l'autorisation", devant indemniser les 40 % restants des pertes, et a contraint l'annulation de toutes les autorisations non récupérées de ce DApp. Cette expérience a permis à Xiao Song de comprendre profondément que : "l'autorisation sur la chaîne n'est pas un 'don unique', la récupération des autorisations est tout aussi importante" - la sécurité des actifs Web3 commence par une gestion raffinée des autorisations du portefeuille.
En raison des avantages de sécurité de Linea, j'ai conçu pour Xiao Song une stratégie de combinaison "protection complète du cycle d'autorisation + alertes de risques" : l'opération clé consiste à connecter le portefeuille au "majordome d'autorisation ZK" de Linea, cet outil peut scanner en temps réel toutes les autorisations effectives, marquer les autorisations "illimitées" et "à haut risque" et envoyer des rappels de récupération ; mettre en place une fonction de "liaison automatique de la durée de validité de l'autorisation", lors d'une nouvelle autorisation, elle est par défaut associée à une "durée de validité de 7 jours", après expiration, l'autorisation est automatiquement récupérée grâce à la technologie ZK, évitant ainsi le risque d'oubli. De plus, Xiao Song a rejoint le "nœud de signalement des risques d'autorisation" de Linea, en soumettant des pistes sur des DApp d'autorisation non conformes et en rapportant des cas d'abus d'autorisation pour obtenir des récompenses écologiques.
Depuis son lancement, les résultats sont significatifs : Xiao Song a complété 12 autorisations DApp via Linea, toutes ayant réalisé la "récupération automatique des autorisations à expiration", évitant ainsi 2 risques potentiels d'abus d'autorisations ; en tant que nœud de signalement, il a soumis au total 8 pistes de DApp "généralisés" non conformes, et les récompenses en tokens écologiques obtenues ont déjà couvert ses pertes dues au vol précédent ; plus important encore, la "norme de classification des autorisations de portefeuille" qu'il a proposée a été adoptée par l'écosystème Linea, et il a été invité à participer à la discussion sur la mise à niveau de la sécurité des protocoles d'autorisation Web3, établissant ainsi une réputation professionnelle dans le domaine de la protection des actifs.
D'un point de vue sectoriel, la concurrence dans l'écosystème des portefeuilles Web3 est passée de "la commodité d'interaction" à "la sécurité des autorisations". Les hackers ont transformé "l'oubli d'autorisation" en "point d'entrée de vol", profitant de l'inattention des utilisateurs et des violations des DApp ; Linea, quant à elle, utilise la technologie ZK pour construire un système complet de "visualisation des autorisations, contrôle des permissions et récupération facile", redonnant aux autorisations de portefeuille l'essence de "l'utilisateur au centre". C'est là la véritable force concurrentielle des infrastructures Web3 : la technologie sous-tend les frontières des autorisations, garantissant que chaque autorisation ne devienne pas une "bombe à retardement" pour la sécurité des actifs.
Si vous avez déjà autorisé divers DApp pour obtenir des airdrops ou participer à des activités lors de l'utilisation d'un portefeuille Web3, ne sous-estimez pas le risque d'"oubli d'autorisation", commencez par utiliser l'outil d'autorisation de Linea pour scanner et récupérer les autorisations invalides. Rappelez-vous, le contrôle des actifs Web3 est toujours entre vos mains, la technologie est simplement là pour renforcer le "pare-feu" de vos autorisations.