Revoke.cash · 撤销授权

定义

Revoke.cash 是一个查看和撤销 EVM 钱包链上授权状态的工具，主页是 revoke.cash。开源，由 Rosco Kalis 在 2019 年起维护到今天。功能上分两块：

查看：连上钱包后，列出所有曾经授权过的合约 —— 代币（ERC-20 的 approve）+ NFT（ERC-721 / 1155 的 setApprovalForAll）+ Permit 签名记录。每一条都标注 spender 地址、授权额度、最后活跃时间。

撤销：点"Revoke"按 MetaMask 弹一笔交易，付一点 gas 把该授权清零。

什么时候必须用

日常 · 月度。每月一号或随便挑一天定期清理，把上个月用过又不会再用的 DApp 授权撤掉。链上"减熵"。

应急 · 误签钓鱼签名后。怀疑刚才签的是 钓鱼站 抛出来的 setApprovalForAll 时，第一时间打开 revoke.cash 撤掉。比攻击者动手快是关键 —— 攻击者收到授权后未必马上转，给你留几分钟反应窗口。

预防 · 卖出 NFT 后。OpenSea / Blur 挂单时签了一次集合级授权，售完之后那张合约对你已经没有意义，撤掉省心。

使用步骤

连钱包（MetaMask / Rabby / WalletConnect 都行，数据从链上读，不需要登录）→ 切链（Ethereum / BSC / Polygon / Arbitrum / Optimism / Base 每条单独查）→ 按"无限额度"（uint256.max）排序看，这种最危险 → 点 Revoke 钱包弹窗确认，每次约花 1-3 美元 gas。

注意事项

认准官方域名。revoke.cash 是唯一域名。revoke.app / revoke.xyz / revoke-cash.com 八成是钓鱼站 —— 它们让你以为在撤销，实际是签了一次新授权。

Permit 签名不能撤销。EIP-2612 Permit 是离链签名，链上没状态可改。万一签了，唯一止损方式是把那种代币立刻全部转走，让攻击者执行 transferFrom 时余额为 0。

更多场景：钓鱼诈骗全图谱、MetaMask 安全使用、私钥泄露应急。