授权（Approve）和撤销授权（Revoke）是管理DApps资产安全的重要功能！不当的设置或忽视它们可能导致重大资金损失。近期，OKX的DEX市商合约就因管理权限被盗，导致之前授权过该合约地址并且没有及时Revoke的客户损失了资金。

详细内容参考如下：
https://twitter.com/eno_eth/status/1734759709968945323

https://twitter.com/okxchinese/status/1734788314958581960

什么是Approve功能？

当您使用基于以太坊或其他EVM兼容链的DApps时，经常会触发代币的Approve功能。此功能允许智能合约操作您的代币，例如转账、抵押等，以便您能顺利的和DApps交互。然而，一些常见的不当操作可能会导致您的资金受损或全部丢失，例如授权给未知的不恰当的地址、代币的授权金额为最大值、完成操作后没有及时Revoke多余的授权金额等。轰动一时的Badger DAO黑客攻击事件（参考链接），黑客就是利用了用户在调用Approve功能时，忽视该功能的重要性，疏于对Spender地址校验的操作习惯，并利用了Badger DAO的前端漏洞，诱使用户签署了恶意授权交易。这导致了超过1.2亿美元的用户资金在短时间内被盗。这个事件也突显了某些钱包提供商在识别恶意行为方面的不足。为了规避此类风险，Cactus Custody在DApps交互的功能上已经建立起了可信白名单安全特性，白名单粒度不仅包含合约地址，还涉及Approved Spender地址。只有加入白名单合约地址及Spender地址才可以进行DApps交互，防止用户访问来路不明的合约，授权给不恰当的地址。当然官方的合约并不意味着绝对安全，正如文章开头提到的OKX DEX市商合约， 只有用户养成良好的安全操作习惯，才能最大程度的杜绝以上风险事件发生。

如何安全使用Approve功能

Cactus Custody建议您养成以下安全习惯，成为资金安全的第一责任人。

限制Approve金额：每次Approve时，只授权您计划交易的确切金额，而不是无限制的授权。

交易完成后：一旦交易或交互完成，立即撤销授权。

使用可信平台：仅在可信赖的平台上使用Approve功能，对于某些不知名的小项目使用空投等诱惑方式引导您进行的Approve操作请尽量拒绝。

定期检查：定期审查您的授权，并确保它们仍符合您的交易需求。对于您经常使用的DApps，请及时根据业务需求撤销多余的授权金额。

终止使用Dapp时：如果您将终止使用某个DApps时，应立即检查对这个DApps的授权记录，撤销其访问权限。

在此，向您推荐使用 Etherscan Token Approval Checker tool 工具来完成授权检查和撤销授权操作，相关的使用说明请参考这指引。如果您已开通Cactus Custody账户，您可通过 Cactus Link 链接到以上工具，审查您Defi钱包的授权记录。

Cactus Custody致力于为用户提供安全、合规的数字货币托管方案。 想要了解Cactus Custody最新发展和安全智库，请关注我们的网站https://blog.mycactus.com/zh/。