近日，以太坊社区再次提及一个由来已久的公开问题——【DApp过度授权】，各大媒体、钱包、DApp项目都参与了此次讨论。作为主流的以太坊钱包，imToken一直非常关注这个问题，同时也一直在通过深入的探讨和研究寻找更合理的解决方案。

什么是“DApp过度授权”？

当用户与涉及数字资产的DApp互动时，他们首先需要批准。他们为什么要授权行动？我们来举个典型案例：

爱丽丝希望在复利存1蓑衣网小编2022 00戴，获得不错的回报。然后爱丽丝需要将戴授权给复合借款合同，使借款合同具备爱丽丝戴资产转移的能力，以便后期完成戴与cDai(复合借款凭证)的原子交换。

为了避免用户重复授权，DAPP开发者一般会默认设置授权给智能合约的最大令牌数。但是，这种处理方式也明显暴露了风险。如果智能合约存在漏洞或者合约管理员作恶，用户的令牌就会丢失，这就是“DApp过度授权”带来的问题。

“DAPP过度授权”是技术界长期存在的公共问题，当前DeFi的兴起改变了安全性和易用性之间的平衡，我们需要重新考虑这个问题。要解决它，你需要一个钱包，DApp开发者和用户共同参与，共同完善。

IM Token目前是如何处理的？访问DApp

首先，我们会从源头上切断用户资产被恶意转移的可能。

DApp浏览器是一个开放的浏览器。用户可以直接访问货架上的应用程序，或者输入URL来访问任何DApp。我们会对存在潜在问题的应用进行风险提示，防止用户上当受骗。

获取钱包地址

其次，DApp在请求用户的钱包地址时，需要经过用户授权确认，避免用户地址的隐私泄露，让有问题的DApp有机可乘。

授权转账次数

最后，当DApp要求用户对令牌进行授权时，imToken也会给出明确的授权信息，让用户清楚了解授权上下文，甚至可以进一步编辑授权次数，降低授权风险。

注：近期将推出授权功能

授权管理DApp

此外，imToken还提供了DApp浏览器中与令牌授权管理相关的DApp。打开DApp浏览器，在“工具”类别下找到“已批准区域”，点击进入即可轻松管理已授权的第三方DApp权限。

长期考虑

在不久的将来，除了上述解决方案，imToken还将进一步优化授权管理。通过支持批量签名功能，将鼓励DApp通过按需授权调用合同。

关于批量签名，我们即将上线的ETH加油站可以通过一个“交易确认”来帮助用户完成授权和令牌交换，避免越权的问题。

imToken非常乐意与您讨论更好的解决方案。如果你有什么想法，请随时和我们交流。

参考链接

[1]https://www . coin desk . com/long-festival-defi-dapp-bug-still-not-fixed-by-industry

[2 badapprove-defi-security/

[3]https://medium . com/argent 蓑衣网小编2022HQ/argent-solutioning-dapps-dirty-secret-3d B4 741 a6

[4]https://medium . com/ethex-market/详情请关注coir.com其他相关文章了解更多关于imToken对DApp过度授权的回应！