Bible Network
Crypto
DeFi
Onchain
RWA
AI Agent
Stablecoin
Chain
SAFU
CryptoTax
DeFAI
AGI
Claude Me
Claude Skill
Claude Design
Claude Cowork
獨立知識媒體
與任何項目無關聯
Crypto
Bible
繁中
EN
日本語
最深入的加密貨幣知識庫
crypto-bible.com
最新動態
區塊鏈原理
名詞解析
概念解析
新手入門
項目百科
詐騙識別
交易所評測
安全指南
最新
穩定幣完全指南:USDT、USDC 怎麼運作,三種類型與各自的風險
·
DeFi 入門:什麼是去中心化金融,它到底能讓你做什麼
·
智能合約是什麼:為什麼它能自動執行,又為什麼有風險
·
Layer 2 是什麼:為什麼以太坊需要它、Rollup 怎麼運作
·
為什麼單價低的幣不一定便宜:看懂市值與流通量的關係
·
看懂一個幣的資訊頁:市值、FDV、流通量、24 小時交易量怎麼讀
首頁
›
名詞解析
›
wallet-and-security
›
Token Approval
名詞解析 · wallet-and-security
Token Approval
代幣授權
wallet-and-security
進階
30 秒版 · 給沒耐心的人
代幣授權(Token Approval)是指你授權某個智能合約「可以動用你錢包裡某種代幣」的權限。在 DeFi 裡,當你要用某協議交易、提供流動性或質押某個代幣時,必須先簽一筆 approve 交易,給那個合約動用該代幣的額度。問題在於:很多介面預設請求「無限額度」授權,等於讓那個合約日後可以隨時動用你錢包裡這種代幣的全部——萬一合約有漏洞或本身是惡意的,你的資產就有被搬空的風險。
完整解說
+
01 · 這是什麼?
代幣授權(Token Approval,常見的鏈上動作叫 approve)是指你「授權某個智能合約,可以動用你錢包裡某一種代幣」的權限設定。要理解它,先記住一個機制:在 DeFi 世界,智能合約沒辦法在未經你允許的情況下動你錢包裡的代幣。所以當你要在某個去中心化交易所拿 USDT 換別的幣、或把某代幣存進協議時,你必須先簽一筆 approve 交易,明確授權那個合約「可以動用你多少額度的這種代幣」。這一步是 DeFi 互動的必經之路,但也正是因為它把動用你資產的權限交了出去,理解並管好授權,是錢包安全裡最關鍵、卻最常被忽略的一環。
02 · 為什麼存在?
代幣授權真正的風險,藏在「額度」這個細節裡。當你簽 approve 時,其實是在設定「允許這個合約動用你多少數量的這種代幣」。理論上你可以只授權剛好這次要用的數量,但為了省去你每次交易都要重新授權的麻煩,絕大多數 DeFi 介面預設請求的是「無限額度(unlimited)」授權。這代表:一旦你簽下去,那個合約日後就能在任何時候、不必再經你同意,動用你錢包裡這種代幣的全部。如果那個合約本身是惡意的、或日後被駭客找到漏洞,它就能憑這個你早就簽過的授權,把你錢包裡的對應代幣一次搬空——這正是大量「錢包被掏空」事件的真正原因,而非私鑰外洩。
03 · 如何影響你的決策?
既然授權是必要的、卻又有風險,該怎麼管好它?幾個關鍵做法。第一,能限額就限額:有些錢包或介面允許你在 approve 時手動把額度改成剛好這次需要的數量,而不是無限,這樣即使合約出事,損失也僅限那次授權的額度。第二,定期檢視並撤銷授權:你可以用專門的授權檢視/撤銷工具,查看你的地址過去授權給了哪些合約、額度多少,把那些你早就不用、或來路不明的授權撤銷掉(撤銷本身要付一筆 Gas)。第三,互動前看清楚:每次簽 approve 前,確認你互動的是正牌、可信、最好經過審計的合約,別在不明網站隨手簽授權。把管理授權當成例行的資安習慣,能擋掉很大一部分風險。
04 · 你該怎麼辦?
在實務上,幾個情境特別要對授權提高警覺。第一,新的或不熟悉的協議:第一次和某個 DeFi 協議互動、它請求 approve 時,先確認它是不是正牌、有沒有審計、社群評價如何,別因為想搶高收益就隨手對陌生合約開無限授權。第二,可疑的空投或釣魚網站:很多詐騙正是誘導你連錢包並 approve 或簽名認領,而那個授權其實是把你某代幣的動用權交給駭客——這類請求一律當詐騙。第三,定期大掃除:每隔一段時間,用授權檢視工具把舊的、用不到的、額度過大的授權清掉,尤其是你曾經互動過、現在已不用的協議。把授權管理變成像定期更新密碼一樣的習慣,是進階使用者保護資產的基本功。
實際例子
+
用一個真實常見的情境理解授權的威力與風險。假設你想在一個去中心化交易所,用錢包裡的 USDC 換成別的幣。第一次操作時,介面會跳出兩個步驟:先 approve(授權),再 swap(兌換)。 你點了 approve,錢包彈出簽名請求——這裡藏著關鍵:很多介面預設請求的是無限額度授權。如果你沒注意、直接簽下去,等於告訴這個交易所合約:你以後可以動用我錢包裡全部的 USDC,不必再問我。當下你可能只想換 100 美元,但你授權的卻是無上限。 平常這沒事——只要那個合約是正派、安全的。但風險在於:萬一這個合約日後被發現有漏洞、被駭客攻破,駭客就能利用你當初簽下的那個無限授權,把你錢包裡所有 USDC 一次轉走,完全不需要你的私鑰。 正確的做法是:approve 時若能改額度,就只授權這次要用的數量;或事後用授權撤銷工具,把這個用不到的無限授權撤掉。這個小動作,正是區隔「資安老手」與「哪天莫名其妙被掏空」的人的關鍵。
圖解
Token Approval: the Permission You Grant
You sign "approve" → a contract gets an allowance to spend your token
Limited approval
= up to 100 USDC
Contract can spend only this much.
Worst case loss is capped.
Unlimited approval (∞)
= no cap
Contract can move ALL your USDC,
anytime, without asking again.
If that contract is hacked or malicious, an unlimited approval lets it drain the token.
Revoke approvals you no longer need.
Crypto Bible · crypto-bible.com
歡迎截圖分享,轉載請註明來源
↓ 下載圖解 (PNG)
🔗 複製連結
常見誤解
+
✕ 誤解1
× 誤解一:只要我沒洩漏私鑰,錢包裡的資產就絕對安全。不對。就算私鑰沒外洩,你只要曾對一個惡意或有漏洞的合約簽過(尤其是無限額度)授權,對方就能憑那個授權合法地把你對應的代幣搬走。私鑰是一層,授權是另一層,兩層都要顧。
✕ 誤解2
× 誤解二:簽 approve 跟把幣轉出去是一樣的、會馬上動到我的錢。不一樣。approve 本身不會立刻轉走你的幣,它只是給予未來動用的權限(額度)。風險是延遲性的:權限留在那,等合約日後(可能是被駭後)真的來動用時才出事。正因為當下不痛不癢,無限授權才特別容易被忽略。
這件事跟你有什麼關係
+
直接影響
代幣授權的核心取捨,是「便利」與「安全」之間。無限額度授權的好處是省事:授權一次,之後在這個協議反覆交易都不必再簽、不必再付授權的 Gas,體驗順暢。但代價是你把一個永久、無上限的動用權留在了那個合約上,等於把安全完全押在「這個合約永遠不會出事」上——而合約被駭的事件層出不窮。反過來,每次都只授權限額最安全,但要忍受反覆簽名與額外 Gas 的麻煩。務實的平衡點是:對信任度高、常用的大型協議,可接受較寬鬆的授權以求便利,但要定期檢視撤銷;對陌生、小型、或一次性的互動,盡量限額或用後即撤。
生成分享圖
Crypto Bible
名詞解析
進階
Token Approval
代幣授權
代幣授權 = 你授權某合約「可動用你錢包某種代幣」的權限
DeFi 互動(交易/質押/提供流動性)前通常都要先 approve
危險點:很多介面預設請求「無限額度」授權
無限授權 = 合約日後能隨時動用你這種代幣的全部
自保:用後撤銷不需要的授權、或一開始就改成限額
The Missing Link
真正掏空你錢包的,常常不是你被盜了私鑰,而是你某次隨手簽下的「無限授權」——那等於給了一個合約永久動用你某種代幣的鑰匙。
↓ 下載圖卡
🔗 複製網址
提問
請至少輸入 10 個字
送出提問
感謝提問,我們會在適當時間回覆。
提問太頻繁,請稍後再試。
相關文章
新手最常遇到的七種加密詐騙:假客服、假空投、殺豬盤怎麼一眼識破
scams · 06月03日
授權釣魚怎麼防:看懂錢包簽名、定期撤銷授權,避開最常見的盜幣手法
security · 06月03日
訂閱每週精選
每週精選重要分析,直接送到你的信箱。免費,隨時可取消。
免費訂閱
實用資源
Claude API 狀態
→
模型定價
→
Prompt 試驗場
→
Token 計算器
→
MCP 伺服器目錄
→
LLM 評測排行
→
模型比較
→