如何判断智能合约是否安全可交互

智能合约是在以太坊虚拟机（EVM）以及其他类似的区块链上运行的计算机程序。它们的名称有点误导性：当你与它们交互时，你并不是在签订合同，而只是触发一个程序运行。

智能合约的功能几乎是无穷无尽的，这是以太坊和 Web3 如此强大的原因。可访问性也是一个关键特性：由于 Web3 旨在去中心化且可供所有人使用，任何人都可以创建和部署智能合约。不可避免地，一些人试图利用这种自由来占其他用户的便宜。

这就是为什么你应该学会识别欺诈性智能合约，避免成为其骗局的受害者。

为清晰起见，智能合约可以代表：

• 代币，例如由智能合约定义和管理的 ERC-20 代币，甚至是一个 NFT 藏品
• 去中心化应用中的函数，例如监督代币交换的程序，甚至是 DAO 的治理机制。

连接与批准

在广阔的网络世界中使用 MetaMask 时，你经常会收到连接钱包的提示。你也相当频繁地被要求批准某些操作。在此上下文中，你需要关注的是批准（也称为授权）：区别很重要！

• 连接钱包到一个网站不会让它对你的资金做任何操作，除非你特别同意。因此，虽然这种连接会使去中心化应用能够向你提议某些交易或操作，但除非你批准建议的交易，否则你的资金不会发生任何变化。更多关于连接钱包的信息请参见这里。
• 而批准则涉及授予智能合约在需要时与特定数量特定代币交互的能力。当被要求批准某些事情时，你应该总是停下来思考，因为这通常意味着将你的资产控制权交给一个可能由任何人编写的计算机程序。更多信息请参见这里。

检查智能合约是否值得信赖

让我们看看一些在评估是否应该信任某个智能合约时需要检查的事项：

1. 它是否要求你批准访问你的代币？

• 除了通过社会工程学获取你的秘密恢复短语（了解如何保持安全）之外，代币批准骗局是 Web3 中最常见的攻击向量之一。这就是为什么我们在上面简要解释了它们。如果你同意某个去中心化应用的代币批准，你就将你批准的任何代币（以及该代币的数量）的控制权交给了它。仅这一点就应该让你三思。
• 去中心化应用请求访问的代币是否合理？它与你想使用的去中心化应用功能相关吗？
• 请求的代币数量是否合理？请注意，许多流行应用请求访问基本无限数量的代币，以防止你将来签署（并支付）大量交易。更多信息请参见这里。

2. 在相关的区块浏览器上查找地址。所有智能合约都有一个地址。任何有信誉的去中心化应用、NFT 项目或其他方都应该公开该地址；要么直接在其主网站上，要么在文档中。MetaMask 也会在你签署任何交易之前显示智能合约的地址。

将地址输入区块浏览器的搜索栏。许多区块浏览器，包括 Etherscan，会告诉你代码是否已验证，如下所示。你还可以检查合约是否有名称——如果没有，它可能非常新或不可信。

你还可以检查区块浏览器上的评论部分，以了解用户情绪。不过对此要持保留态度，因为它可能受到欺诈者自身的影响。

3. 使用币/代币列表网站调查代币。例如，访问 Coingecko，输入代币名称或地址。你应该能够看到代币的相关详细信息，例如项目网站及其社交媒体。在这里你可以检查去中心化应用/代币/项目是否有一个真实活跃的社区，而不只是充斥着机器人，或者在其网站上查找白皮书，以证明它不仅仅是一个潜在的拉地毯骗局。我们关于代币安全实践的指南在这方面也很有用。

4. 检查最近的合约活动。查看区块浏览器上智能合约页面列出的近期交易。虽然区块浏览器可能令人眼花缭乱，但只需尝试发现模式，然后询问该模式可能存在的原因。例如，一种常见的欺诈做法是阻止代币购买者和持有者出售代币——因此如果你没有看到任何卖出交易，你可能正在看一个蜜罐骗局或类似的东西。

不幸的是，除了花大量时间熟悉 Solidity 及相关编码语言以便自己审计之外，没有其他方法可以 100% 确定智能合约的合法性。

因此值得重申：始终在 Web3 中谨慎行事。如果你不确定某个特定网站或有任何进一步的问题，请通过下面的“联系支持”卡片或本网站首页与我们联系。

联系支持

获取更多帮助。连接你的钱包，根据你的公开钱包详细信息获得更快速、个性化的支持。

连接钱包 推荐

不使用钱包继续

• 原文链接： support.metamask.io/stay...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～