Quản lý Phê duyệt Hợp đồng Thông minh & Bảo mật Ví

Mỗi khi bạn tương tác với một dApp DeFi trên TRON, bạn cấp cho hợp đồng đó một hạn mức (allowance) — quyền di chuyển token thay mặt bạn. Nếu hợp đồng sau đó trở nên độc hại, hạn mức đó sẽ trở thành đường dẫn trực tiếp đến tiền của bạn. Hướng dẫn này chỉ cho bạn cách kiểm tra mọi phê duyệt đang hoạt động và thu hồi bất kỳ phê duyệt nào bạn không còn tin tưởng, chỉ sử dụng các công cụ chính thức của bên thứ nhất.

Tại sao phê duyệt là một rủi ro bảo mật

Hạn mức token được lưu trữ vĩnh viễn trong trạng thái blockchain. Chúng không tự động hết hạn. Một hợp đồng mà bạn đã phê duyệt sáu tháng trước trong một đợt khuyến mãi hoặc airdrop vẫn có quyền truy cập vào token của bạn hôm nay trừ khi bạn thu hồi nó một cách rõ ràng.

Kiểu nguy hiểm nhất là phê duyệt không giới hạn (unlimited approval) — trong đó số tiền hạn mức được đặt thành giá trị tối đa có thể. Đây là mặc định đối với nhiều dApp vì nó giúp người dùng không phải phê duyệt từng giao dịch riêng lẻ. Sự đánh đổi là hợp đồng có thể rút cạn toàn bộ số dư của bạn trong một giao dịch nếu nó từng bị khai thác.

Phê duyệt không giới hạn là bề mặt tấn công lớn nhất trên TRON

Luôn đặt một hạn mức cụ thể, có giới hạn bất cứ khi nào giao diện người dùng dApp cung cấp cho bạn sự lựa chọn. Nếu dApp buộc phê duyệt không giới hạn và không thể giải thích lý do, hãy coi đó là một dấu hiệu cảnh báo.

Cách kiểm tra các phê duyệt của bạn

Bạn có hai phương pháp chính thức, của bên thứ nhất để xem và quản lý các phê duyệt đang hoạt động của mình. Cả hai đều miễn phí, không yêu cầu phần mềm bổ sung và đọc trực tiếp từ blockchain.

Phương pháp 1: TRONSCAN (trên trình duyệt, tổng quan đầy đủ)

TRONSCAN là trình khám phá khối chính thức của TRON và là cách toàn diện nhất để xem mọi phê duyệt mà địa chỉ của bạn đã cấp, trên tất cả các token TRC-20.

1. Mở tronscan.org trong trình duyệt của bạn.
2. Trong thanh tìm kiếm, dán địa chỉ ví TRON của bạn (địa chỉ bắt đầu bằng T) và nhấn Enter.
3. Trên trang địa chỉ của bạn, tìm tab Approval (có thể được đán nhãn là List of Approval hoặc Authorization). Nó xuất hiện trực tiếp trong phần điều hướng tài khoản, cùng với các tab như Transactions và Tokens.
4. Bạn sẽ thấy danh sách đầy đủ mọi phê duyệt đang hoạt động, hiển thị:
   • Token đã được phê duyệt (ví dụ: USDT, USDD, SUN)
   • Địa chỉ hợp đồng đã được cấp hạn mức
   • Số tiền hạn mức (phê duyệt không giới hạn sẽ hiển thị một số rất lớn hoặc ”∞”)
   • Ngày phê duyệt được cấp
5. Đối với mỗi mục nhập, hãy nhấp vào địa chỉ hợp đồng để xem liệu đó có phải là hợp đồng đã được xác minh, có tên hay không. Các hợp đồng chưa được xác minh hoặc không có tên với hạn mức lớn là rủi ro cao nhất.
6. Để thu hồi một mục nhập, hãy nhấp Cancel hoặc Revoke trên hàng đó. TRONSCAN sẽ nhắc bạn kết nối ví (TronLink) để ký giao dịch thu hồi.

Những gì cần tìm

Ưu tiên thu hồi bất kỳ hợp đồng nào bạn không nhận ra, bất kỳ phê duyệt nào cũ hơn 90 ngày mà bạn chưa sử dụng gần đây và bất kỳ phê duyệt nào có hạn mức không giới hạn đối với token mà bạn nắm giữ giá trị đáng kể.

Phương pháp 2: Trình quản lý phê duyệt tích hợp của TronLink (trong ví, nhanh nhất)

TronLink (cả tiện ích mở rộng trình duyệt và ứng dụng di động) đều bao gồm trình quản lý phê duyệt được tích hợp sẵn. Đây là tùy chọn nhanh nhất khi bạn đã ở bên trong ví của mình.

1. Mở ứng dụng di động TronLink.
2. Trên màn hình chính, chạm vào thẻ tài khoản của bạn để vào Phần chi tiết Ví.
3. Đi đến Wallet Management (Quản lý Ví).
4. Chạm vào Approval Management (Quản lý Phê duyệt).
5. TronLink sẽ hiển thị danh sách các phê duyệt đang hoạt động của bạn, được nhóm theo token.
6. Mỗi mục hiển thị tên hợp đồng (đã xác minh) hoặc địa chỉ, và số tiền đã phê duyệt.
7. Chạm Cancel bên cạnh bất kỳ mục nhập nào bạn muốn xóa và xác nhận giao dịch.

Chi phí Thu hồi

Thu hồi phê duyệt là một giao dịch hợp đồng thông minh đặt hạn mức về không. Nó tiêu tốn Năng lượng và Băng thông. Nếu bạn có đủ tài nguyên từ việc staking TRX, giao dịch này là miễn phí. Nếu không, mạng lưới sẽ đốt một lượng nhỏ TRX (thường khoảng 10–15 TRX) để trang trải chi phí thực hiện.

Chuyện gì xảy ra khi bạn thu hồi

Thu hồi sẽ gửi một giao dịch approve(spender, 0) đến hợp đồng token. Sau khi được xác nhận (thường trong vòng vài giây trên TRON), hạn mức của hợp đồng sẽ giảm xuống 0 — nó không thể di chuyển token đó thay mặt bạn nữa. Mọi tương tác trong tương lai với dApp đó sẽ yêu cầu bạn phê duyệt lại.

Thu hồi không đảo ngược bất kỳ giao dịch nào đã xảy ra. Nếu một hợp đồng độc hại đã chuyển token của bạn trước khi bạn thu hồi, số tiền đó đã mất. Việc thu hồi chỉ ngăn chặn bất kỳ thiệt hại nào khác.

Các phương pháp bảo mật tốt nhất

Đặt hạn mức có giới hạn

Bất cứ khi nào giao diện người dùng dApp cho phép bạn nhập một số tiền tùy chỉnh, hãy đặt chính xác số tiền bạn cần cho giao dịch đó — không phải không giới hạn. Điều này hạn chế sự rủi ro đối với tương tác cụ thể đó.

Kiểm tra hàng tháng

Đặt lời nhắc định kỳ để xem lại các phê duyệt của bạn ít nhất mỗi tháng một lần hoặc ngay sau khi sử dụng bất kỳ dApp mới hoặc không quen thuộc nào. Danh sách phê duyệt TRONSCAN là cách nhanh nhất để quét mọi thứ cùng một lúc.

Sử dụng ví chuyên dụng cho các tương tác rủi ro cao

Giữ một “ví phụ” riêng biệt với số dư token tối thiểu để thử nghiệm dApp mới, airdrop hoặc minting. Ví chính của bạn với các khoản nắm giữ đáng kể chỉ nên tương tác với các hợp đồng mà bạn đã xác minh kỹ lưỡng.

Xác minh hợp đồng trước khi phê duyệt

Trước khi ký bất kỳ phê duyệt nào, hãy kiểm tra địa chỉ hợp đồng trên TRONSCAN. Một hợp đồng được xác minh, có tên với các cuộc kiểm toán và lịch sử sử dụng đang hoạt động có rủi ro thấp hơn đáng kể so với một địa chỉ chưa được xác minh. Nếu TRONSCAN hiển thị “Unverified Contract”, hãy tạm dừng và điều tra thêm trước khi tiếp tục.

Các câu hỏi thường gặp

Câu hỏi	Trả lời
Tôi có thể khôi phục tiền sau khi phê duyệt độc hại được sử dụng không?	Không. Việc thu hồi ngăn chặn việc rút tiền trong tương lai, nhưng bất kỳ token nào đã chuyển đi đều bị mất. Hành động ngay lập tức nếu bạn nghi ngờ một phê duyệt bị xâm phạm.
Tôi có cần TRX để thu hồi không?	Cần một lượng nhỏ cho phí giao dịch, thường dưới 0.001 TRX. Nếu tài nguyên staking của bạn (Năng lượng/Băng thông) bao gồm chi phí, thì hoàn toàn không có TRX nào bị đốt cháy.
Dữ liệu phê duyệt trên TRONSCAN có luôn được cập nhật không?	TRONSCAN cập nhật gần như theo thời gian thực, nhưng có thể có độ trễ bộ nhớ cache ngắn trong vài giây sau khi thu hồi được xác nhận. Làm mới trang nếu bạn không thấy thay đổi ngay lập tức.
Điều gì xảy ra nếu tôi không nhận ra hợp đồng trong danh sách phê duyệt của mình?	Tìm kiếm địa chỉ hợp đồng trên TRONSCAN. Kiểm tra xem nó được triển khai khi nào, nó có được xác minh hay không và liệu nó có khớp với bất kỳ dApp nào bạn nhớ đã sử dụng hay không. Nếu bạn không thể xác định nó một cách tự tin, hãy thu hồi nó.
Hợp đồng có thể tự phê duyệt lại mà không cần hành động của tôi không?	Không. Phê duyệt chỉ có thể được cấp hoặc sửa đổi bằng một giao dịch mà bạn ký. Hợp đồng không thể tự cấp hạn mức mới nếu không có chữ ký của ví của bạn.