钱包授权了哪些合约?怎么查、怎么清
朋友几个月前参与了一个项目公售,授权了代币额度。项目方跑路后他没当回事,结果半年后钱包里刚到账的USDT被瞬间转走——当初授权的合约还活着,无限额度,随时能拉走他所有对应代币。这种事在Web3里叫授信风险延迟爆发。每次连DApp时点了Approve,就等于给了对方一把备用钥匙。你关网页、退应用、几个月不碰钱包,钥匙照样能用。很多合约默认授权额度就是"无限"。所以查授权这事,跟抄助记词一样,属于基础生存技能。
先搞懂授权到底是什么
链上授权(Token Approval)= 你主动签了一份委托书,允许某个合约地址从你钱包里转走指定代币。
它不花Gas费,钱包也不会当交易提示,只是一个"签名"。很多钓鱼网站就是利用这点,骗你签一个看起来无害的消息,效果跟授权转账差不多。
处理逻辑就一条:定期查授权列表,不认识的、不用的、额度过高的,全撤。
四条最常用的查授权路径

Revoke.cash(EVM链通用)
覆盖以太坊、BSC、Polygon、Arbitrum、Optimism、Base等30多条链。打开官网连钱包,自动加载授权列表。不认识的、标了Unlimited的,点Revoke就行。支持批量撤销(Bulk Revoke)。注意:每次撤销要花Gas费,多条链多个币种会累加。
Etherscan Token Approval Checker(以太坊专用)
etherscan.io/tokenapprovalchecker,输入地址直接列出所有授权合约、授权时间和额度,页面上就能撤销。
BscScan(BSC专用)
bscscan.com输入地址,切到Token Approvals标签页,逻辑跟以太坊一样。
Solscan(Solana专用)
solscan.io输入地址,在代币列表里看有没有Delegate标记——有就说明授权给第三方了。
钱包自带的授权管理
Trust Wallet:底部浏览器 → 菜单 → 授权,长按目标项目选撤销。也可以在设置 → 连接的网站里管理。
OKX Wallet:Security Center → 选网络 → View All Approvals,Unlimited的一键撤。
MetaMask:设置 → 安全与隐私里能看已连接的DApp列表,但这只是域名级授权,合约级的Approval还得用Revoke.cash查。
Solana单独说,机制不一样
Solana的授权风险主要来自代币委托(Token Delegation)和恶意合约签名。查授权用这几个:
| 工具 | 地址 | 说明 |
|---|---|---|
| Famous Fox Revoker | famousfoxes.com/revoke | Solana首选,连Phantom钱包直接撤销 |
| Solscan | solscan.io | 手动查Delegate标记 |
| CLAW Agent | npm包 | 签名前模拟交易出风险报告 |
Famous Fox操作最简单:连钱包,列出所有活跃授权,不认识的点Revoke。同样要花SOL当Gas。
撤完之后别忘了这几步

验证撤销结果。 刷新Revoke.cash确认条目消失,或去区块浏览器查交易哈希,Approve参数为0才算清干净。
查有没有异常转账。 重点看授权时间之后有没有非本人发起的转出、有没有不明代币进来、转账目标地址认不认识。发现异常立刻转资产到安全钱包。
冷热分离。 主力资产放冷钱包或硬件钱包,绝不连DApp。热钱包只放短期操作的钱,用完就撤授权。冷钱包保持零授权。
最小权限原则。 每次授权手动限制额度,别用默认值。至少每月查一次授权列表,不用的协议全清。
万一发现被盗,第一时间做什么
先把剩余资产转到安全地址,速度越快越好。然后全部撤销授权,切断后续划转通道。被盗钱包直接废弃,不再存入任何资产。最后用链上追踪工具分析资金流向,必要时联系交易所或执法部门。
最后一句
查授权这事,跟清理手机App权限、检查银行卡自动扣款是一回事。只不过Web3里一次没查,代价可能是整个钱包。
每月查一次,控制额度,冷热分开——做到这三件,被暗度陈仓的概率降一个数量级。
免责声明:授权管理知识分享,不构成投资建议。工具请走官方渠道,警惕仿冒网站。撤销需付Gas费,操作自负。





