每一次你在 DeFi 協議上完成交易,比如在 Uniswap 換幣、在 OpenSea 掛售 NFT、在 Aave 存入資產等等,你都需要先給那個協議一個「授權」(Approval),允許它代你動用特定的 token。問題在於,當你完成那次交易後,那個授權並不會自動消失。它靜靜地留在鏈上,等待被使用——無論是被你信任的協議正常使用,還是被駭客在協議被攻擊後藉機利用。
Revoke.cash 就是為了解決這個問題而存在的工具。它讓你能夠完整看見所有已授權的合約,並一一撤銷那些你不再需要的授權,把那些一直開著的門重新關上。
這篇文章,是 Revoke.cash 的完整使用指南,從基本概念到操作細節,一次說清楚。
一、什麼是 Token Approval?為什麼它是安全風險
DeFi 的工作方式需要授權
在傳統金融裡,你在銀行轉帳,銀行直接執行。但在以太坊和 EVM 兼容鏈上,情況不同。每個代幣(ERC-20 token)都有自己的智能合約,而其他合約(例如 Uniswap 的交易路由器)沒有你的許可,是無法動用你錢包裡的代幣的。
這就是 Token Approval 的由來。當你第一次在 Uniswap 用 USDC 換取 ETH,Uniswap 會要求你簽署一個授權交易,讓 Uniswap 的合約能夠代你動用 USDC。只有在這個授權完成後,實際的換幣操作才能進行。
這個機制讓 DeFi 運作成為可能,但它也帶來了一個附帶問題:授權一旦給出,就永久有效,直到你主動撤銷為止。
授權留在鏈上意味著什麼?
這意味著,即使你已經完成了那次 Uniswap 的交易,即使你已經把 MetaMask 從 Uniswap 網站斷開連接,Uniswap 的合約仍然持有你授予它動用 USDC 的權限。
大多數知名協議不會濫用這個授權,因為它們有聲譽和法律責任。但問題的風險在另一個地方:
第一,協議本身可能被駭客攻擊。當一個 DeFi 協議被入侵,攻擊者首先會尋找所有持有現存授權的用戶地址,並利用這些授權提取 token。你不需要在攻擊當下有任何操作,你只需要曾經授權過這個協議,你的資產就可能面臨風險。
第二,授權金額往往是「無上限」(Unlimited)。很多協議為了用戶方便,預設要求「無上限授權」——意思是它被授權可以動用你錢包裡全部指定 token,而不只是那次交易所需的金額。這種設計在攻擊發生時,損失的規模遠大於只授權了準確金額的情況。
第三,任何人都可以用你的地址查看你的授權清單。你的授權歷史是公開的鏈上數據,攻擊者可以批量掃描,找出持有高價值授權的地址,作為目標。
Revoke.cash 就是讓你能夠系統性地審計和清理這些授權的工具。
近期最新文章:
2026 最新 6 大免費幣圈工具盤點|鏈上數據去哪找?
2025 最新 OKX Web3 錢包教學:它好用嗎?如何創建?操作安全、支援多鏈、限時空投指南
2026 最新 Polymarket 教學|手把手教你如何找出內幕人士實現超高勝率!
2025 最新 DeFi 新手入門指南|教你賺穩定幣被動收入!介紹 3 個熱門項目、DeFiLlama 工具使用教學
二、Revoke.cash 是什麼?它能做什麼,不能做什麼?
它能做的事
Revoke.cash 是目前支持最廣泛的 Token Approval 管理工具,涵蓋超過 100 條 EVM 兼容網絡,包括以太坊、Arbitrum、Base、Optimism、BNB Chain、Polygon、Avalanche 等主流鏈,以及數十條較小規模的 L2 和側鏈。
它的核心功能包括:
完整列出你的錢包在指定網絡上的所有現存授權,顯示批准的 token 名稱、批准給哪個合約(Spender)、授權金額(有限額或無上限),以及授權的時間。
允許你直接在介面中撤銷任何授權。撤銷操作是一個標準的鏈上交易,需要支付少量 Gas 費用,與任何其他區塊鏈交易性質相同。
提供批量撤銷功能(Batch Revoke)——你可以一次選擇多個授權同時撤銷,節省逐一撤銷的 Gas 費用。使用批量功能時,Revoke.cash 收取 1.5 美元的服務費支持持續開發,部分網絡上的費用由贊助方承擔。
提供一個「Exploit Checker」功能,讓你查詢自己的錢包是否曾暴露於已知的 DeFi 攻擊事件,作為額外的風險識別層。
它不能做的事
有幾點需要明確說明,以避免對這個工具產生錯誤的期待。
Revoke.cash 無法找回已被盜走的資產。如果一個授權已被利用、資金已被轉走,任何工具都無法逆轉這個過程。它的用途是預防,而不是補救。
Revoke.cash 無法阻擋你接下來簽署的新授權。如果你在撤銷之後,又在一個惡意網站上簽署了授權交易,新的授權同樣會生效,Revoke.cash 無法事先攔截。這就是為什麼 Revoke.cash 同時提供了一個瀏覽器擴充功能,能在你即將簽署可疑授權時,實時彈出警告。
Revoke.cash 無法保護你的私鑰。如果你的助記詞或私鑰已經洩露,攻擊者可以直接控制你的整個錢包,撤銷授權對這種情況完全無效。你需要立即把資金轉移到一個全新的錢包。
硬件錢包也無法防止授權攻擊。很多人認為使用 Ledger 或 Trezor 就足夠安全。這在私鑰保護層面是正確的,但授權攻擊不需要取得你的私鑰——只要你曾經簽署了授權,攻擊者就能利用合約機制提取指定 token,硬件錢包提供不了額外保護。
三、2026 年最新版本:Revoke.cash 現有功能一覽
瀏覽器擴充功能
Revoke.cash 的瀏覽器擴充功能是近年來最實用的新增功能之一。安裝後,每當你在任何網站上即將簽署一個 Token Approval 交易,擴充功能會自動分析這個授權的風險等級,並在你確認前彈出提示,讓你有機會在二次確認。這個功能特別適合應對釣魚網站——即使你誤點進入了一個仿冒知名協議的假網站,在你按下確認前,擴充功能可能已經識別出異常並發出警告。
Exploit Checker
Exploit Checker 讓你可以查詢特定錢包地址是否曾經暴露於已記錄的 DeFi 攻擊事件。輸入地址後,系統會比對已知攻擊事件的受影響地址清單,告訴你這個錢包是否曾與被攻擊的協議有過授權關係。這對於判斷舊錢包的風險狀態特別有用,尤其是在一個大型 DeFi 攻擊事件(例如 Kelp DAO 事件)後,快速確認自己是否在受影響範圍之內。
Account Abstraction 錢包的免 Gas 撤銷
對於支持 EIP-4337(Account Abstraction,帳戶抽象)的智能錢包,例如 Ambire 和 Coinbase Smart Wallet,Revoke.cash 提供了每週一次免 Gas 的批量撤銷功能——費用由第三方贊助方承擔。這意味著持有這類錢包的用戶,可以每週定期進行一次授權清理,而不需要支付任何 Gas 費用。隨著 Account Abstraction 錢包的普及,這個功能的可用性將持續提升。
四、Revoke.cash 完整使用教學:逐步操作指南
第一步:進入網站並連接錢包
前往 revoke.cash。你會看到頁面右上角的「Connect Wallet」按鈕,支持 MetaMask、WalletConnect 兼容錢包、Coinbase Wallet 等主流選項。連接錢包這個步驟只是讀取操作,Revoke.cash 不會要求你簽署任何交易,也不會動用你的資產。如果你不想連接錢包,也可以在搜索欄直接輸入任何錢包地址(包括 ENS 名稱)進行查詢,查詢結果同樣完整。
第二步:選擇要查詢的網絡
連接後,使用頁面上的網絡選擇器,選擇你要查詢的區塊鏈。如果你在多條鏈上都有資產,需要對每條鏈分別進行查詢和操作——每條鏈的授權是獨立管理的,無法跨鏈批量查詢。 建議優先查詢你使用最頻繁的鏈,通常是以太坊主鏈和你活躍使用的 L2,例如 Arbitrum 或 Base。
第三步:審計授權清單
選擇網絡後,系統會載入你在這條鏈上的所有現存授權。每條授權記錄通常顯示以下信息:
授權的 token 名稱和合約地址(例如「USDC」)、被授權的合約(Spender,例如「Uniswap V3」)、授權金額(「Unlimited」代表無上限)、授權時間。
查看時,建議先按「最新至最舊」排序,優先審查最近的授權——如果你懷疑剛剛可能簽署了可疑授權,這樣能最快找到目標。需要特別注意的授權包括:金額為「Unlimited」的授權、批准給你不認識的合約地址的授權、長時間未使用的老授權,以及批准給已被攻擊或已停止運營的協議的授權。
第四步:執行撤銷操作
找到你想撤銷的授權後,點擊該授權右側的「Revoke」按鈕。你的錢包會彈出一個交易確認請求,顯示這次撤銷操作的 Gas 費用。確認後,這個撤銷交易就會上鏈,該授權正式失效。如果你想同時撤銷多個授權,可以勾選多個項目,然後使用「Batch Revoke」功能一次性處理,能有效節省多次確認和 Gas 的時間成本(注意:批量操作需支付 1.5 美元服務費)。
第五步:安裝瀏覽器擴充功能
完成授權清理後,強烈建議安裝 Revoke.cash 的瀏覽器擴充功能。它在 Chrome、Firefox 和 Brave 瀏覽器上均可使用,安裝後無需任何設置,會自動在後台監控你即將簽署的授權交易。
五、使用 Revoke.cash 需要注意的事
定期清理頻率建議
Revoke.cash 是一個預防性工具,其價值在於定期使用,而不是在事故發生後才想起來。
對於輕度 DeFi 用戶(每月參與幾次交易),建議每季度進行一次全面審計。對於中度用戶(每週使用多個協議),建議每月清理一次。對於活躍的 DeFi 參與者或流動性提供者,建議在每次完成一個階段的活動後(例如退出某個挖礦計劃後),立即撤銷相關的所有授權。
哪些授權可以保留,哪些應該撤銷
並非所有授權都需要撤銷。Revoke.cash 官方的建議是:授權管理是安全性與便利性的平衡,不是要求你把所有授權都清空。
對於你仍在積極使用的知名協議(例如活躍使用的 Uniswap 或你正在持有倉位的 Aave),保留授權是合理的——撤銷後需要重新授權,反而增加了不必要的交易次數和 Gas 費用。但需要注意的是,如果你在 OpenSea 有活躍的 NFT 掛單,撤銷 OpenSea 的授權會導致掛單失效。
應優先撤銷的授權包括:已不再使用的協議授權、無上限授權(可考慮改為精確金額的授權)、未知或可疑合約的授權、已被攻擊或已關閉的協議的授權。
Gas 費用的最佳時機
每次撤銷操作需要支付 Gas 費用。在以太坊主鏈,Gas 費用在網絡繁忙時可能相當可觀。建議使用 Etherscan 的 Gas Tracker 或 GasHawk 工具,找到網絡活動相對低的時段執行撤銷,能有效節省費用。在 L2 網絡上(例如 Arbitrum 或 Base),Gas 費用通常低得多,可以不必太在意時機選擇。
在 DeFi 的世界裡,安全從來不是一個你設置好就永遠有效的狀態,而是一個需要持續維護的習慣。Revoke.cash 提供的,是讓這個習慣變得容易執行的工具。
定期清理你的授權清單,就像定期備份你的助記詞一樣——不是因為你預期問題一定會發生,而是因為在問題發生之前做好準備,代價比事後補救小得多。
加入 Monsterblockhk 的 Telegram 社群,持續獲取 DeFi 安全工具的最新使用指南,以及加密市場的深度分析!
網站聲明
本文內容僅供參考,投資人應獨立判斷,審慎投資,並自負風險,本文不提供或嘗試遊說觀眾做交易或投資之依據,內容僅用於分享目的,不應視為投資建議,亦不代表 Monsterblockhk 觀點和立場,所有資訊及看法為特定日期所為之判斷具時效性。此外,如在本網站中有任何內容涉及尚未於香港取得虛擬資產交易平台經營牌照的虛擬資產交易平台,包括但不限於文字介紹、圖片、優惠、活動等,均只提供予香港特別行政區以外地區的用戶。
根據香港《2022 年打擊洗錢及恐怖分子資金籌集(修訂)條例》,在 2023 年 6 月 1 日後,所有於香港經營業務或向香港投資者積極推廣其服務之中央虛擬資產交易平台,將須獲香港證監會發牌並受其監管,任何相關無牌活動乃屬刑事罪行。如用戶欲了解法例詳情和細節,可查詢香港證監會網頁。