Mỗi khi bạn thực hiện một giao dịch trên giao thức DeFi, chẳng hạn như đổi tiền trên Uniswap, rao bán NFT trên OpenSea, gửi tài sản vào Aave, v.v., bạn cần phải cấp một “quyền phê duyệt” (Approval) cho giao thức đó trước, cho phép nó sử dụng các token cụ thể thay mặt bạn. Vấn đề là, sau khi bạn hoàn tất giao dịch đó, sự ủy quyền đó sẽ không tự động biến mất. Nó vẫn nằm im lìm trên chuỗi khối, chờ đợi để được sử dụng — cho dù là được sử dụng bình thường bởi giao thức mà bạn tin tưởng, hay bị tin tặc lợi dụng sau khi giao thức bị tấn công.
Revoke.cash chính là công cụ được tạo ra để giải quyết vấn đề này. Công cụ này cho phép bạn xem toàn bộ các hợp đồng đã được ủy quyền, từ đó thu hồi từng quyền truy cập mà bạn không còn cần đến, đồng thời đóng lại những “cánh cửa” vẫn đang mở.
Bài viết này là hướng dẫn sử dụng đầy đủ về Revoke.cash, giải thích rõ ràng từ các khái niệm cơ bản đến các chi tiết vận hành.
1. Token Approval là gì? Tại sao nó lại tiềm ẩn rủi ro về an ninh?
Cơ chế hoạt động của DeFi đòi hỏi phải có sự ủy quyền
Trong hệ thống tài chính truyền thống, khi bạn thực hiện chuyển khoản ngân hàng, ngân hàng sẽ trực tiếp xử lý giao dịch. Tuy nhiên, trên Ethereum và các chuỗi tương thích EVM, tình hình lại khác. Mỗi token (ERC-20 token) đều có hợp đồng thông minh riêng, và các hợp đồng khác (chẳng hạn như bộ định tuyến giao dịch của Uniswap) không thể sử dụng các token trong ví của bạn nếu không có sự cho phép của bạn.
Đó chính là lý do ra đời của cơ chế "Token Approval". Khi bạn lần đầu tiên đổi USDC lấy ETH trên Uniswap, nền tảng này sẽ yêu cầu bạn ký một giao dịch ủy quyền, cho phép hợp đồng thông minh của Uniswap sử dụng USDC thay mặt bạn. Chỉ sau khi quá trình ủy quyền này hoàn tất, giao dịch đổi tiền thực tế mới có thể diễn ra.
Cơ chế này giúp DeFi có thể hoạt động, nhưng nó cũng mang lại một vấn đề phụ: một khi quyền truy cập đã được cấp, nó sẽ có hiệu lực vĩnh viễn cho đến khi bạn chủ động thu hồi.
Việc cho phép dữ liệu được lưu trữ trên chuỗi khối có ý nghĩa như thế nào?
Điều này có nghĩa là, ngay cả khi bạn đã hoàn tất giao dịch trên Uniswap và đã ngắt kết nối MetaMask khỏi trang web Uniswap, hợp đồng Uniswap vẫn giữ quyền mà bạn đã cấp cho nó để sử dụng USDC.
Hầu hết các giao thức nổi tiếng sẽ không lạm dụng quyền hạn này, bởi vì họ có uy tín và trách nhiệm pháp lý. Tuy nhiên, rủi ro của vấn đề lại nằm ở chỗ khác:
Thứ nhất, chính giao thức có thể trở thành mục tiêu của các cuộc tấn công mạng. Khi một giao thức DeFi bị xâm nhập, kẻ tấn công sẽ trước tiên tìm kiếm tất cả các địa chỉ người dùng đang nắm giữ quyền ủy quyền hiện có, rồi lợi dụng các quyền này để rút token. Bạn không cần phải thực hiện bất kỳ thao tác nào tại thời điểm xảy ra tấn công; chỉ cần bạn từng ủy quyền cho giao thức này, tài sản của bạn đã có thể đối mặt với rủi ro.
Thứ hai, số tiền ủy quyền thường là “không giới hạn” (Unlimited). Để tạo sự thuận tiện cho người dùng, nhiều giao thức mặc định yêu cầu “ủy quyền không giới hạn” — có nghĩa là bên được ủy quyền có thể sử dụng toàn bộ số token được chỉ định trong ví của bạn, chứ không chỉ số tiền cần thiết cho giao dịch đó. Với thiết kế này, khi xảy ra tấn công, quy mô thiệt hại sẽ lớn hơn nhiều so với trường hợp chỉ ủy quyền đúng số tiền cần thiết.
Thứ ba, bất kỳ ai cũng có thể xem danh sách ủy quyền của bạn thông qua địa chỉ của bạn. Lịch sử ủy quyền của bạn là dữ liệu công khai trên chuỗi khối, do đó kẻ tấn công có thể quét hàng loạt để tìm ra các địa chỉ nắm giữ các ủy quyền có giá trị cao và lấy chúng làm mục tiêu.
Revoke.cash là công cụ giúp bạn kiểm tra và xóa các quyền truy cập này một cách có hệ thống.
Các bài viết mới nhất gần đây:
Tổng hợp 6 công cụ miễn phí hàng đầu trong lĩnh vực tiền điện tử năm 2026 | Tìm dữ liệu trên chuỗi ở đâu?
Hướng dẫn mới nhất về ví OKX Web3 năm 2025: Ví này có dễ sử dụng không? Làm thế nào để tạo ví? Hướng dẫn sử dụng an toàn, hỗ trợ đa chuỗi và nhận airdrop trong thời gian giới hạn
Hướng dẫn mới nhất về Polymarket năm 2026 | Hướng dẫn từng bước cách tìm ra thông tin nội bộ để đạt tỷ lệ thắng cực cao!
Hướng dẫn dành cho người mới bắt đầu về DeFi năm 2025 | Hướng dẫn cách kiếm thu nhập thụ động từ stablecoin! Giới thiệu 3 dự án nổi bật và hướng dẫn sử dụng công cụ DeFiLlama
2. Revoke.cash là gì? Nó có thể làm gì và không thể làm gì?
Những điều nó có thể làm
Revoke.cash là công cụ quản lý phê duyệt token được hỗ trợ rộng rãi nhất hiện nay, bao phủ hơn 100 mạng lưới tương thích EVM, bao gồm các chuỗi chính như Ethereum, Arbitrum, Base, Optimism, BNB Chain, Polygon, Avalanche, cùng hàng chục chuỗi L2 và chuỗi bên quy mô nhỏ hơn.
Các tính năng chính của nó bao gồm:
Liệt kê đầy đủ tất cả các ủy quyền hiện có của ví bạn trên mạng lưới được chỉ định, hiển thị tên token được phê duyệt, hợp đồng được ủy quyền (Spender), số tiền được ủy quyền (có giới hạn hoặc không giới hạn) và thời gian ủy quyền.
Bạn có thể thu hồi bất kỳ ủy quyền nào ngay trực tiếp trên giao diện. Thao tác thu hồi là một giao dịch trên chuỗi tiêu chuẩn, yêu cầu thanh toán một khoản phí Gas nhỏ, tương tự như bất kỳ giao dịch blockchain nào khác.
Cung cấp tính năng thu hồi hàng loạt (Batch Revoke) — bạn có thể chọn nhiều ủy quyền cùng lúc để thu hồi, giúp tiết kiệm phí Gas so với việc thu hồi từng cái một. Khi sử dụng tính năng này, Revoke.cash thu phí dịch vụ 1,5 USD để hỗ trợ quá trình phát triển liên tục; một phần phí trên mạng được các nhà tài trợ chi trả.
Cung cấp tính năng “Exploit Checker” để bạn có thể kiểm tra xem ví của mình có từng bị ảnh hưởng bởi các vụ tấn công DeFi đã được biết đến hay không, nhằm tạo thêm một lớp nhận diện rủi ro.
Những điều nó không thể làm
Cần làm rõ một số điểm để tránh những kỳ vọng sai lầm về công cụ này.
Revoke.cash không thể lấy lại tài sản đã bị đánh cắp. Nếu một ủy quyền đã bị lợi dụng và tiền đã bị chuyển đi, không có công cụ nào có thể đảo ngược quá trình này. Công cụ này nhằm mục đích phòng ngừa, chứ không phải khắc phục hậu quả.
Revoke.cash không thể ngăn chặn các ủy quyền mới mà bạn sẽ ký sau đó. Nếu sau khi hủy ủy quyền, bạn lại ký một giao dịch ủy quyền trên một trang web độc hại, ủy quyền mới đó vẫn sẽ có hiệu lực và Revoke.cash không thể chặn trước được. Đó là lý do tại sao Revoke.cash đồng thời cung cấp một tiện ích mở rộng trình duyệt, có thể hiển thị cảnh báo ngay lập tức khi bạn sắp ký một ủy quyền đáng ngờ.
Revoke.cash không thể bảo vệ khóa riêng của bạn. Nếu cụm từ khôi phục hoặc khóa riêng của bạn đã bị rò rỉ, kẻ tấn công có thể trực tiếp kiểm soát toàn bộ ví của bạn; việc thu hồi ủy quyền hoàn toàn vô hiệu trong trường hợp này. Bạn cần chuyển tiền sang một ví hoàn toàn mới ngay lập tức.
Ví phần cứng cũng không thể ngăn chặn các cuộc tấn công ủy quyền. Nhiều người cho rằng việc sử dụng Ledger hoặc Trezor đã đủ an toàn. Điều này đúng về mặt bảo vệ khóa riêng, nhưng các cuộc tấn công ủy quyền không cần phải chiếm được khóa riêng của bạn — chỉ cần bạn từng ký ủy quyền, kẻ tấn công có thể lợi dụng cơ chế hợp đồng để rút các token được chỉ định, và ví phần cứng không thể cung cấp thêm bất kỳ sự bảo vệ nào.
III. Phiên bản mới nhất năm 2026: Tổng quan về các tính năng hiện có của Revoke.cash
Tiện ích mở rộng trình duyệt
Tiện ích mở rộng trình duyệt Revoke.cash là một trong những tính năng mới hữu ích nhất trong những năm gần đây. Sau khi cài đặt, mỗi khi bạn chuẩn bị ký một giao dịch phê duyệt token trên bất kỳ trang web nào, tiện ích mở rộng sẽ tự động phân tích mức độ rủi ro của việc ủy quyền đó và hiển thị thông báo cảnh báo trước khi bạn xác nhận, giúp bạn có cơ hội xác nhận lại.Tính năng này đặc biệt hữu ích trong việc đối phó với các trang web lừa đảo — ngay cả khi bạn vô tình nhấp vào một trang web giả mạo một giao thức nổi tiếng, tiện ích mở rộng có thể đã phát hiện ra sự bất thường và đưa ra cảnh báo trước khi bạn nhấn xác nhận.
Công cụ kiểm tra lỗ hổng
Exploit Checker cho phép bạn kiểm tra xem một địa chỉ ví cụ thể có từng bị lộ trong các vụ tấn công DeFi đã được ghi nhận hay không. Sau khi nhập địa chỉ, hệ thống sẽ đối chiếu với danh sách các địa chỉ bị ảnh hưởng trong các vụ tấn công đã biết và thông báo cho bạn biết ví này có từng thiết lập mối quan hệ ủy quyền với giao thức bị tấn công hay không.Điều này đặc biệt hữu ích trong việc đánh giá mức độ rủi ro của ví cũ, nhất là sau một vụ tấn công DeFi quy mô lớn (chẳng hạn như vụ Kelp DAO), để nhanh chóng xác định xem mình có nằm trong phạm vi bị ảnh hưởng hay không.
Hủy giao dịch miễn phí Gas trên ví Account Abstraction
Đối với các ví thông minh hỗ trợ EIP-4337 (Account Abstraction – Trừu tượng hóa tài khoản), chẳng hạn như Ambire và Coinbase Smart Wallet, Revoke.cash cung cấp tính năng hủy ủy quyền hàng loạt miễn phí Gas mỗi tuần – chi phí được tài trợ bởi các đối tác bên thứ ba. Điều này có nghĩa là người dùng sở hữu các loại ví này có thể thực hiện việc dọn dẹp ủy quyền định kỳ hàng tuần mà không phải trả bất kỳ khoản phí Gas nào. Với sự phổ biến ngày càng tăng của các ví Account Abstraction, tính khả dụng của tính năng này sẽ tiếp tục được nâng cao.
IV. Hướng dẫn sử dụng chi tiết Revoke.cash: Hướng dẫn thực hiện từng bước
Bước 1: Truy cập trang web và kết nối ví
Truy cập revoke.cash. Bạn sẽ thấy nút “Connect Wallet” ở góc trên bên phải trang, hỗ trợ các tùy chọn phổ biến như MetaMask, ví tương thích với WalletConnect, Coinbase Wallet, v.v. Bước kết nối ví chỉ là thao tác đọc dữ liệu, Revoke.cash sẽ không yêu cầu bạn ký bất kỳ giao dịch nào và cũng không sử dụng tài sản của bạn. Nếu bạn không muốn kết nối ví, bạn cũng có thể nhập trực tiếp bất kỳ địa chỉ ví nào (bao gồm tên ENS) vào thanh tìm kiếm để tra cứu, kết quả tra cứu vẫn đầy đủ như thường.
Bước 2: Chọn mạng cần tra cứu
Sau khi kết nối, hãy sử dụng công cụ chọn mạng trên trang để chọn chuỗi khối mà bạn muốn tra cứu. Nếu bạn có tài sản trên nhiều chuỗi khối, bạn cần thực hiện tra cứu và thao tác riêng biệt trên từng chuỗi — quyền truy cập của mỗi chuỗi được quản lý độc lập, do đó không thể thực hiện tra cứu hàng loạt giữa các chuỗi. Chúng tôi khuyên bạn nên ưu tiên tra cứu chuỗi mà bạn sử dụng thường xuyên nhất, thường là chuỗi chính Ethereum và các lớp 2 (L2) mà bạn đang sử dụng tích cực, chẳng hạn như Arbitrum hoặc Base.
Bước 3: Kiểm tra danh sách ủy quyền
Sau khi chọn mạng, hệ thống sẽ tải tất cả các ủy quyền hiện có của bạn trên chuỗi này. Mỗi bản ghi ủy quyền thường hiển thị các thông tin sau:
Tên token được ủy quyền và địa chỉ hợp đồng (ví dụ: “USDC”), hợp đồng được ủy quyền (Spender, ví dụ: “Uniswap V3”), số tiền được ủy quyền (“Unlimited” có nghĩa là không giới hạn), thời gian ủy quyền.
Khi xem, bạn nên sắp xếp theo thứ tự “Từ mới nhất đến cũ nhất” để ưu tiên kiểm tra các ủy quyền gần đây nhất — nếu bạn nghi ngờ vừa ký một ủy quyền đáng ngờ, cách này sẽ giúp bạn tìm thấy mục tiêu nhanh nhất.Các ủy quyền cần đặc biệt lưu ý bao gồm: ủy quyền có số tiền là “Unlimited”, ủy quyền được cấp cho địa chỉ hợp đồng mà bạn không biết, các ủy quyền cũ đã lâu không sử dụng, cũng như các ủy quyền được cấp cho các giao thức đã bị tấn công hoặc ngừng hoạt động.
Bước 4: Thực hiện thao tác hủy bỏ
Sau khi tìm thấy quyền ủy quyền mà bạn muốn thu hồi, hãy nhấp vào nút “Revoke” ở bên phải quyền ủy quyền đó. Ví của bạn sẽ hiển thị một yêu cầu xác nhận giao dịch, trong đó ghi rõ phí Gas cho thao tác thu hồi này. Sau khi xác nhận, giao dịch thu hồi sẽ được ghi lên blockchain và quyền ủy quyền đó sẽ chính thức hết hiệu lực.Nếu bạn muốn thu hồi nhiều quyền ủy quyền cùng lúc, hãy chọn nhiều mục rồi sử dụng tính năng “Batch Revoke” để xử lý một lần, giúp tiết kiệm đáng kể thời gian xác nhận nhiều lần và chi phí Gas (Lưu ý: thao tác hàng loạt sẽ phải trả phí dịch vụ 1,5 USD).
Bước 5: Cài đặt tiện ích mở rộng trình duyệt
Sau khi hoàn tất việc dọn dẹp các ủy quyền, chúng tôi khuyên bạn nên cài đặt tiện ích mở rộng trình duyệt Revoke.cash. Tiện ích này có sẵn trên các trình duyệt Chrome, Firefox và Brave; sau khi cài đặt, bạn không cần thực hiện bất kỳ cài đặt nào, tiện ích sẽ tự động giám sát các giao dịch ủy quyền mà bạn sắp ký kết ở chế độ nền.
5. Những điều cần lưu ý khi sử dụng Revoke.cash
Khuyến nghị về tần suất vệ sinh định kỳ
Revoke.cash là một công cụ phòng ngừa, giá trị của nó nằm ở việc sử dụng thường xuyên, chứ không phải chỉ nhớ đến khi sự cố đã xảy ra.
Đối với người dùng DeFi ở mức độ nhẹ (tham gia giao dịch vài lần mỗi tháng), nên thực hiện kiểm toán toàn diện mỗi quý một lần. Đối với người dùng ở mức độ trung bình (sử dụng nhiều giao thức mỗi tuần), nên thực hiện dọn dẹp mỗi tháng một lần. Đối với những người tham gia DeFi tích cực hoặc nhà cung cấp thanh khoản, nên thu hồi ngay lập tức tất cả các ủy quyền liên quan sau khi hoàn thành một giai đoạn hoạt động (ví dụ: sau khi rút khỏi một chương trình khai thác).
Những giấy phép nào có thể được giữ lại, và những giấy phép nào nên bị thu hồi
Không phải tất cả các quyền truy cập đều cần phải bị thu hồi. Lời khuyên chính thức từ Revoke.cash là: Quản lý quyền truy cập là sự cân bằng giữa tính bảo mật và sự tiện lợi, chứ không phải là yêu cầu bạn xóa bỏ tất cả các quyền truy cập.
Đối với các giao thức nổi tiếng mà bạn vẫn đang tích cực sử dụng (chẳng hạn như Uniswap đang hoạt động hoặc Aave mà bạn đang nắm giữ vị thế), việc giữ nguyên quyền ủy quyền là hợp lý — vì việc thu hồi quyền ủy quyền sẽ buộc bạn phải cấp lại, từ đó làm tăng số lượng giao dịch và phí Gas không cần thiết. Tuy nhiên, cần lưu ý rằng nếu bạn có lệnh bán NFT đang hoạt động trên OpenSea, việc thu hồi quyền ủy quyền của OpenSea sẽ khiến lệnh bán đó bị hủy bỏ.
Các ủy quyền cần được thu hồi ưu tiên bao gồm: ủy quyền theo thỏa thuận không còn được sử dụng, ủy quyền không giới hạn (có thể xem xét chuyển sang ủy quyền với số tiền cụ thể), ủy quyền liên quan đến các hợp đồng không rõ ràng hoặc đáng ngờ, và ủy quyền liên quan đến các thỏa thuận đã bị tấn công hoặc đã ngừng hoạt động.
Thời điểm lý tưởng để thanh toán hóa đơn gas
Mỗi lần hủy giao dịch đều phải trả phí Gas. Trên chuỗi chính Ethereum, phí Gas có thể khá cao khi mạng lưới đang quá tải. Bạn nên sử dụng công cụ Gas Tracker của Etherscan hoặc GasHawk để tìm những khung giờ có hoạt động mạng tương đối thấp để thực hiện việc hủy giao dịch, từ đó tiết kiệm chi phí một cách hiệu quả. Trên các mạng L2 (ví dụ như Arbitrum hoặc Base), phí Gas thường thấp hơn nhiều, nên bạn không cần quá bận tâm đến việc chọn thời điểm.
Trong thế giới DeFi, bảo mật không bao giờ là một trạng thái mà bạn chỉ cần thiết lập một lần là có hiệu lực vĩnh viễn, mà là một thói quen cần được duy trì liên tục. Revoke.cash cung cấp các công cụ giúp việc thực hiện thói quen này trở nên dễ dàng hơn.
Hãy thường xuyên dọn dẹp danh sách ủy quyền của bạn, giống như việc sao lưu cụm từ khôi phục định kỳ vậy — không phải vì bạn dự đoán chắc chắn sẽ xảy ra vấn đề, mà bởi vì việc chuẩn bị trước khi vấn đề xảy ra sẽ tốn ít chi phí hơn nhiều so với việc khắc phục hậu quả sau này.
Tham gia Monsterblockhk Cộng đồng Telegram, liên tục cập nhật các hướng dẫn sử dụng mới nhất về các công cụ bảo mật DeFi, cùng với những phân tích chuyên sâu về thị trường tiền điện tử!
Thông báo trên trang web
Nội dung bài viết này chỉ mang tính chất tham khảo. Nhà đầu tư nên tự đưa ra quyết định, đầu tư một cách thận trọng và tự chịu rủi ro. Bài viết này không cung cấp hoặc cố gắng thuyết phục độc giả thực hiện giao dịch hay đầu tư; nội dung chỉ nhằm mục đích chia sẻ, không nên được coi là lời khuyên đầu tư, cũng như không đại diện cho quan điểm và lập trường của Monsterblockhk. Tất cả thông tin và quan điểm đều là những đánh giá tại một thời điểm cụ thể và có tính thời điểm. Ngoài ra, nếu trên trang web này có bất kỳ nội dung nào liên quan đến các nền tảng giao dịch tài sản ảo chưa được cấp giấy phép hoạt động tại Hồng Kông, bao gồm nhưng không giới hạn ở các bài giới thiệu bằng văn bản, hình ảnh, ưu đãi, sự kiện, v.v., thì những nội dung này chỉ được cung cấp cho người dùng ở các khu vực ngoài Đặc khu Hành chính Hồng Kông.
Theo “Đạo luật Chống rửa tiền và Chống tài trợ khủng bố (Sửa đổi) năm 2022” của Hồng Kông, kể từ ngày 1 tháng 6 năm 2023, tất cả các sàn giao dịch tài sản ảo tập trung hoạt động tại Hồng Kông hoặc tích cực quảng bá dịch vụ của mình tới các nhà đầu tư Hồng Kông sẽ phải được Ủy ban Chứng khoán và Hợp đồng Tương lai Hồng Kông (SFC) cấp phép và chịu sự giám sát của cơ quan này; mọi hoạt động liên quan mà không có giấy phép đều bị coi là hành vi phạm tội hình sự. Nếu người dùng muốn tìm hiểu chi tiết và nội dung cụ thể của luật này, vui lòng truy cập trang web của SFC.