如何撤銷代幣授權：保護你的錢包免於被遺忘的權限侵害（2026）

什麼是代幣授權？

每次你與 DeFi 協議互動——在 Uniswap 上兌換、在 Aave 上存款、在收益農場質押——協議首先會要求你簽署一筆 ERC-20 授權交易。這個授權允許智能合約代表你花費你的代幣，上限為指定金額（或者，最危險的情況：無限金額）。

從技術上看，這是 ERC-20 標準中的 approve(spender, amount) 函數。你的錢包簽署一筆交易，設置一個「allowance」——一個記錄授權合約可從你的地址移動多少代幣的數值。

最重要的一點：**這個 allowance 會在鏈上永久保持活躍，除非你明確撤銷它。**關閉 DApp 分頁、斷開錢包連接、甚至將代幣轉移到其他地方——這些動作都不會取消授權。許可存在於區塊鏈上，直到你發送撤銷交易為止。

        核心概念

代幣授權是儲存在鏈上的長期許可。如果你在兩年的交易中授權了 100 個 DeFi 協議，你現在可能有 100 個開放的許可——即使你已經幾個月沒有使用其中大多數協議。

為什麼被遺忘的授權很危險

攻擊場景很簡單，而且已多次重演：

六個月前，你在使用協議 X 時授權它無限花費你錢包中的 USDC。
你停止使用協議 X，但授權仍然保持活躍。
協議 X 遭到駭客攻擊，其智能合約被升級為惡意版本，或攻擊者獲得了合約的控制權。
攻擊者利用你的現有授權調用 transferFrom(你的錢包, 攻擊者錢包, 你的全部USDC餘額)。
你的 USDC 被清空——無需你簽署任何東西，無需觸碰你的私鑰。
```
     關鍵風險：無限授權
```

許多 DeFi 介面預設要求無限授權（最大 uint256 值），以通過避免重複授權提示來改善用戶體驗。這意味著單一授權可能使你的全部代幣餘額——包括你之後存入的代幣——永久暴露於被攻擊合約的風險中。

風險隨著你使用的每個新 DeFi 協議、每條鏈的操作、以及時間的流逝而累積。一個在多條鏈上活躍了 2–3 年的 DeFi 老手，可能有數百個開放授權，其中許多是給他們早已忘記的協議的。

真實攻擊案例：授權漏洞導致數十億美元損失

        Bybit 駭客攻擊——2025 年 2 月（約 15 億美元）

2025 年 2 月的 Bybit 駭客攻擊成為加密貨幣歷史上最大的安全事件之一。雖然主要攻擊向量涉及 Safe 多簽錢包 UI 的供應鏈攻擊，但基於授權的漏洞在資金轉移過程中也起到了作用。此事件突顯了即使是機構級設置也可能透過智能合約互動模式被攻陷——每個現有授權在上游合約被攻破時都是潛在的攻擊媒介。

        無限授權清空攻擊——多個 DeFi 協議

數十個 DeFi 協議遭受過以現有無限授權為主要損害向量的駭客攻擊。當協議的合約透過被攻破的管理員金鑰或治理攻擊被惡意升級時，攻擊者可以在幾秒鐘內清空所有持有現有授權的錢包——通常金額達數百萬美元，受害者甚至是幾個月沒有與協議互動的用戶。

        釣魚攻擊 + 授權攻擊

常見的釣魚模式：一個偽造的 DApp 網站要求你「授權」一筆交易。你簽署了看似常規的授權，但授權的合約地址其實是攻擊者的合約。你的代幣立即被清空。第一道防線是知道哪些合約持有你的授權，並立即撤銷可疑或不必要的授權。

如何檢查你目前的授權

在撤銷授權之前，你需要知道存在哪些授權。你的選項：

選項一：ArcSign 代幣授權頁面（內建）——如果你使用 ArcSign，在側邊欄導航至代幣授權部分。它會自動掃描所有 6 條支援的 EVM 鏈（Ethereum、BSC、Polygon、Arbitrum、Optimism、Base），顯示每個活躍授權，包括授權方合約、代幣和授權金額。

選項二：Revoke.cash——一個免費的第三方網站。連接你的錢包，選擇鏈，它會列出你的授權。需要將錢包連接到外部網站。

選項三：區塊瀏覽器手動檢查——在 Etherscan 等瀏覽器上，你可以查看你地址的「Token Approvals」標籤。這很繁瑣，而且每次只能查看一條鏈。

逐步教學：使用 ArcSign 撤銷授權（免費、內建、6 條鏈）

ArcSign 的代幣授權管理直接內建在錢包中——無需第三方網站、無需外部錢包連接、無需額外的信任假設。使用方法如下：

        1
        開啟 ArcSign 並插入 USB

啟動 ArcSign 桌面應用程式並插入你的錢包 USB。用你的 PIN 碼解鎖錢包。

        2
        導航至代幣授權

在左側邊欄，點擊「代幣授權」。ArcSign 會自動掃描所有 6 條 EVM 鏈上你地址的活躍授權：Ethereum、BSC、Polygon、Arbitrum、Optimism 和 Base。

        3
        查看授權列表

列表顯示每個授權的資訊：代幣（如 USDC、WETH）、授權方合約名稱/地址、授權金額（注意「無限」標記）和所在鏈。重點關注：你不認識的授權、無限授權，以及你已不再使用的協議的授權。

        4
        點擊「撤銷」移除你想清除的授權

選擇要撤銷的授權並點擊撤銷按鈕。ArcSign 會準備一筆將該授權方的 allowance 設為零的交易。在螢幕上查看交易詳情。

        5
        用你的 USB 簽署撤銷交易

確認交易。由於 ArcSign 是冷錢包，簽名在你的 USB 上完成——私鑰從不離開設備。撤銷交易廣播至網路。你需要在相關鏈上有少量原生 Gas（ETH、BNB、MATIC 等）。

        6
        確認授權已清除

交易確認後，該授權從你的列表中消失。你可以在相關區塊瀏覽器上查看你地址的代幣授權標籤來驗證。

        Gas 費用說明

每次撤銷是一筆鏈上交易。在 Ethereum 主網上，這需要少量 ETH。在 L2（Arbitrum、Optimism、Base、Polygon）上，Gas 費用通常只需幾美分。BSC 的 Gas 也非常便宜。如果你在 Ethereum 主網上有很多授權要清除，可以考慮 ArcSign Pro 的批量撤銷選項（見下文）是否更划算。

替代方案：使用 Revoke.cash

Revoke.cash 是一個管理代幣授權的知名第三方工具。個別撤銷免費使用，支援多條鏈。主要步驟：

在瀏覽器訪問 revoke.cash。
連接你的錢包（MetaMask、WalletConnect 或其他支援的錢包）。
選擇你要檢查的鏈。
查看授權列表，點擊「Revoke」撤銷任何你想移除的授權。
在錢包中確認交易。

功能	ArcSign 代幣授權	Revoke.cash（免費版）
費用	免費	免費（個別撤銷）
內建在錢包中	是——無需外部網站	否——獨立網站
支援 EVM 鏈數	6 條（ETH、BSC、Polygon、Arbitrum、Optimism、Base）	多條鏈
批量撤銷	是（Pro 版）	Revoke.cash 付費功能
需要信任第三方	否	是——需將錢包連接到其網站
冷錢包離線簽署	是——USB 離線簽署	取決於你的錢包設定

ArcSign Pro：批量撤銷

如果你在多條鏈上累積了許多授權，逐一撤銷會變得繁瑣且昂貴——每次撤銷都是一筆獨立的交易和 Gas 費用。

ArcSign Pro 的批量撤銷讓你可以選擇跨鏈的多個授權，並在優化後的批次中一次性撤銷它們。與逐一撤銷相比，這顯著減少了需要簽署的交易數量，並可節省 Gas 費用。

ArcSign Pro 會員制基於 NFT——你在 BSC 上持有 Pro NFT，錢包會自動解鎖 Pro 功能。Pro 會員可在 arcsign.io 購買。

未來授權的最佳實踐

預防勝於治療。這些習慣將幫助你保持未來的授權足跡乾淨：

**永遠授權具體金額，絕不無限授權。**當 DApp 要求「無限」授權時，將其更改為你計劃使用的具體金額。如果你在授權提示上查找「編輯」或自訂金額選項，許多 DApp 允許這樣做。

**使用完協議後立即撤銷。**如果你在收益農場短期存款後提款，提款後立即撤銷授權。養成習慣：提款，然後撤銷授權。

**每季度進行授權審查。**每三個月安排一次審查。打開 ArcSign 的代幣授權頁面，清除你不再積極使用的一切。幾美分的 Gas 費用與風險相比微不足道。

**對來自未知網站的授權請求保持警惕。**如果你之前沒有使用過的 DApp 要求大額或無限授權，仔細檢查授權方合約地址。釣魚網站通常模仿合法 DApp，要求對攻擊者控制的合約進行授權。

**對高風險活動使用獨立錢包。**考慮為新 DeFi 協議準備一個資金有限的「熱錢包」，將大部分資產保存在授權最少的 ArcSign 冷錢包中。

常見問題

Q：什麼是加密貨幣中的代幣授權？

代幣授權（也稱為 ERC-20 allowance）是你授予智能合約代表你花費代幣的許可。每次 DeFi 互動都需要它——兌換、借貸、質押。問題在於這些授權會無限期保持活躍，除非你明確撤銷。

Q：代幣授權有危險嗎？

有可能。如果你之前授權的 DeFi 協議被駭客攻擊或升級為惡意版本，攻擊者可以利用你的現有授權轉走你的代幣——無需你的私鑰，也不需要你採取任何進一步行動。2025 年 2 月的 Bybit 駭客攻擊部分就是利用授權漏洞完成的。這種方式已導致數億美元損失。

Q：如何免費撤銷代幣授權？

你可以使用 ArcSign 的內建代幣授權頁面（免費、不需要第三方工具、涵蓋 6 條 EVM 鏈：Ethereum、BSC、Polygon、Arbitrum、Optimism、Base）。也可以使用 Revoke.cash（個別撤銷免費，第三方服務）。每次撤銷都是鏈上交易，需要少量原生 Gas（ETH、BNB、MATIC 等）。

Q：ArcSign 代幣授權和 Revoke.cash 有什麼不同？

ArcSign 代幣授權直接內建在錢包中——不需要訪問額外網站，不需要將錢包連接到第三方。原生涵蓋 6 條 EVM 鏈。ArcSign Pro 用戶可在單一交易中批量撤銷多個授權。Revoke.cash 是需要外部連接錢包的第三方網站，免費版只能逐一撤銷。

Q：即使我仍在使用 DeFi 協議，也需要撤銷授權嗎？

對於仍在積極使用的協議，無限授權即使在使用期間也是風險。最佳做法：撤銷無限授權，每次交易時重新授權具體金額；或僅保留最低必要授權。對於完全不再使用的協議，應立即撤銷。

            [比較
                ArcSign vs Trezor：免費 USB 冷錢包 vs $59 硬體錢包（2026）](/blog/arcsign-vs-trezor)
            [錢包架構
                MPC vs HD 錢包：哪個更適合你？深度比較](/blog/mpc-vs-hd-wallet)