015: 如何正确授权与撤销授权（Approve / Revoke）

作者：Henry 🔨 本文是《Web3 敲门砖计划》的第 15 篇（计划共 100 篇）

初衷： ❤️ 不是“我教你”，而是“我们一起搞懂” ❤️ 不堆术语、不炫技，记录真实的学习过程

适合人群： ✅ Web3 初学者 ✅ 想转型到 Web3 的技术 / 内容 / 产品从业者 ✅ 希望用碎片化时间积累系统认知的朋友

如果你觉得有收获，欢迎点赞（❤️）+ 收藏，一起学习、彼此交流 🙌

在 Web3 世界，绝大多数代币交互都需要先“授权”（Approve）给智能合约。授权的意义是允许某个合约在区块链上代你操作你的代币。 但很多用户不知道，一次不当授权，可能让你的资产在毫无预警的情况下被转走。

什么是链上授权（Approve）

以 ERC-20 代币为例，钱包中的代币默认只有你自己能转账。 如果一个 dApp 想帮你花代币（比如去交易、质押），你需要先用 approve 方法告诉代币合约：

“允许某个合约地址代我转走 X 数量的代币。”

这个授权是直接写在链上的，一旦生效，合约可以在任何时候调用 transferFrom 从你的钱包转走代币（前提是合约代码这样做）。

无限授权的风险

为了方便，很多平台会让用户一次性授权一个无限额度（uint256 max），这样你以后每次交易都不需要重新授权。 这虽然减少了交互步骤，但风险巨大：

• 如果这个合约被黑客利用（或本身是恶意合约），可以瞬间转走你钱包里所有该代币。
• 这种攻击往往不需要你再次点击确认，因为授权已经存在。

撤销授权（Revoke）的重要性

链上授权并不会自动失效，即便你早已不再使用某个 dApp。 因此，你需要主动撤销无用或高风险授权。 撤销授权的方式是调用 approve，将授权额度设置为 0（或使用专门的 Revoke 工具）。

授权与撤销的最佳实践

1. 能小额就不要无限额：除非是常用平台，否则只给交易需要的额度。
2. 定期检查授权列表：尤其是在参与空投、DeFi、NFT mint 之后。
3. 用专用工具撤销授权：推荐使用 revoke.cash、DeBank 进行批量查看和管理。
4. 分钱包降低风险：高频交互用一个钱包，大额资产放在另一个从不授权的钱包。

结语

链上授权是 Web3 交互的基础机制，也是很多安全事件的源头。 授权时多一份谨慎，撤销时多花一分钟，可能就能避免一次全仓归零的悲剧。