Chaque fois que vous interagissez avec une application décentralisée — échangeant des tokens, fournissant de la liquidité, frappant un NFT — vous avez presque certainement signé une approbation de token. Cette approbation accorde à un contrat intelligent la permission de déplacer vos tokens en votre nom, souvent sans limite de dépense et sans date d’expiration. Si ce contrat est plus tard exploité, mis à jour vers une version malveillante, ou simplement abandonné, un attaquant peut vider votre portefeuille sans que vous ne signiez quoi que ce soit de nouveau. Comprendre comment auditer et révoquer ces approbations sur MetaMask et Rabby Wallet est l’une des habitudes de sécurité les plus pratiques que tout détenteur de crypto-monnaies peut développer. Ce guide vous guide à travers les étapes exactes sur les deux portefeuilles, explique les outils disponibles, et vous dit ce qu’il faut prioriser en premier.
Pourquoi les approbations de tokens sont un risque persistant
Les approbations de tokens sont régies par la fonction ERC-20 approve() et les fonctions ERC-721/ERC-1155 setApprovalForAll(). Lorsque vous appelez approve(spender, amount), vous autorisez une adresse spécifique — généralement un contrat intelligent — à transférer jusqu’à amount tokens de votre portefeuille à tout moment futur. La documentation des développeurs de la Fondation Ethereum confirme que les approbations restent valides indéfiniment sauf si elles sont explicitement révoquées par le propriétaire du token.
La conséquence pratique : les portefeuilles accumulent des dizaines ou des centaines d’approbations actives au fil du temps. Une analyse post-mortem de 2022 sur l’exploit Badger DAO, qui a entraîné environ 120 millions de dollars de pertes, a montré que les scripts injectés par les attaquants exploitaient les approbations illimitées existantes que les utilisateurs n’avaient jamais révoquées. Les tokens n’ont jamais quitté la garde des utilisateurs via une transaction malveillante qu’ils ont signée — l’approbation qu’ils ont signée des mois plus tôt a causé le dégât.
Comment révoquer les approbations de tokens directement dans MetaMask
MetaMask a ajouté une interface de gestion des approbations intégrée dans son extension. Le chemin diffère légèrement entre l’extension du navigateur et l’application mobile.
Extension MetaMask pour navigateur (v11+)
- Ouvrez MetaMask et cliquez sur le menu trois points dans le coin supérieur droit.
- Sélectionnez Paramètres → Sécurité et confidentialité.
- Faites défiler jusqu’à Approbations de tokens et cliquez sur Afficher sur Explorer — cela vous redirige vers l’outil Token Approvals d’Etherscan pour votre adresse connectée.
- Alternativement, accédez à Activité, trouvez la transaction d’approbation originale, et utilisez le lien Etherscan pour localiser le contrat du dépensier.
MetaMask lui-même n’affiche pas un tableau de bord complet des approbations dans l’extension au début de 2026 ; il s’appuie sur les explorateurs de blocs pour la liste complète. L’article de la Base de connaissances MetaMask intitulé « Comment révoquer les allocations de contrats intelligents/approbations de tokens » documente explicitement ce flux.
Utilisation de l’outil Token Approvals d’Etherscan
- Allez sur etherscan.io/tokenapprovalchecker et connectez votre portefeuille.
- L’outil liste chaque approbation ERC-20 active groupée par token, montrant l’adresse du dépensier et le montant approuvé.
- Cliquez sur Révoquer à côté de toute approbation que vous souhaitez supprimer. MetaMask vous invitera à confirmer une transaction qui appelle
approve(spender, 0), mettant l’allocation à zéro. - Payez les frais de gas pour confirmer. L’approbation est supprimée on-chain une fois que la transaction est minée.
Etherscan prend également en charge les approbations NFT ERC-721 via la même interface. Chaque révocation est une transaction on-chain séparée avec son propre coût de gas.
Comment révoquer les approbations de tokens dans Rabby Wallet
Rabby Wallet, développé par DeBank, est livré avec un tableau de bord de gestion des approbations natif — l’une de ses fonctionnalités de sécurité les plus citées. Contrairement à l’approche de redirection de MetaMask, Rabby affiche les approbations sans quitter l’interface du portefeuille.
Gestion intégrée des approbations de Rabby
- Ouvrez l’extension de navigateur Rabby et cliquez sur l’onglet Approvals dans la barre latérale (icône bouclier).
- Rabby récupère et catégorise vos approbations sur toutes les chaînes EVM connectées simultanément — Ethereum, Arbitrum, Base, Polygon, et autres.
- Chaque entrée affiche le token, le nom du contrat dépensier (quand identifiable), le montant approuvé, et un score de risque. Rabby signale les contrats marqués comme risqués par son moteur de sécurité.
- Cliquez sur Révoquer à côté de toute approbation. Confirmez la transaction dans l’invite du portefeuille.
La documentation de Rabby décrit cette fonctionnalité sous « Approval Management » dans son centre d’aide officiel. La vue multi-chaînes est particulièrement utile car de nombreux utilisateurs oublient les approbations accordées sur les réseaux Layer 2 où le gas était bon marché et les approbations étaient signées casuellemment.
Outils de révocation tiers à connaître
Deux outils supplémentaires sont largement utilisés et méritent d’être mis en signet à côté des fonctionnalités natives de votre portefeuille.
- Revoke.cash — Un outil open-source (licence MIT, source sur GitHub) qui prend en charge plus de 80 chaînes compatibles EVM. Il affiche les approbations de tokens et NFT, les trie par niveau de risque, et permet les révocations par lot où le réseau le supporte. La documentation du projet note qu’il lit les données directement depuis les journaux on-chain et ne nécessite pas d’e-mail ou de création de compte.
- Analyseur d’approbations DeBank — Intégré dans l’interface de portefeuille DeBank. Parce que Rabby est construit sur l’infrastructure DeBank, les données affichées dans les deux outils sont cohérentes.
Lors de l’utilisation de tout outil tiers, vérifiez soigneusement le domaine avant de connecter votre portefeuille. Des sites de phishing imitant Revoke.cash sont apparus dans les annonces de recherche — naviguez toujours à partir d’une URL mise en signet ou de la page GitHub vérifiée du projet.
Ce à quoi prioriser lors de l’audit des approbations
Un portefeuille avec 200 approbations ne nécessite pas 200 révocations. Appliquez une approche de triage :
- Approbations illimitées en premier. Toute approbation montrant « Illimité » ou un nombre très grand (p. ex., 2^256 − 1, la valeur uint256 maximale) doit être examinée immédiatement. Ce sont les entrées à plus haut risque.
- Protocoles inactifs ou obsolètes. Si vous n’utilisez plus un protocole, révoquez ses approbations. Même les contrats audités peuvent être mis à jour ou avoir leur propriété transférée.
- Adresses de dépensiers inconnues ou non vérifiées. Si Etherscan ou Rabby ne peut pas identifier le contrat du dépensier par nom, traitez-le comme un risque élevé.
- Allocations NFT setApprovalForAll. Celles-ci permettent à un contrat de transférer n’importe quel NFT de la collection de votre portefeuille. Révoquez-les sauf si vous utilisez activement le marché approuvé ou le contrat.
La réalité du coût du gas pour révoquer les approbations
Chaque révocation est une transaction on-chain. Sur le réseau principal Ethereum, révoquer une approbation ERC-20 consomme généralement environ 45 000–60 000 gas. Aux prix de gas modérés, cela coûte une fraction de dollar à quelques dollars. Sur les réseaux Layer 2 comme Arbitrum ou Optimism, le coût est négligeable — souvent moins d’un cent.
Si vous avez de nombreuses approbations à révoquer sur le réseau principal, envisagez de regrouper le travail sur plusieurs sessions pendant les périodes de gas faible (généralement tard la nuit UTC en semaine, selon les données historiques de gas Ethereum). Certains outils comme Revoke.cash prennent en charge les transactions multi-révocation sur les chaînes qui implémentent les modèles de style EIP-2612 permit, mais les révocations ERC-20 standard nécessitent des transactions individuelles.
Ce que cela signifie pour vous
L’hygiène d’approbation de tokens n’est pas une tâche ponctuelle — c’est une pratique récurrente. Après toute session DeFi importante, passez deux minutes dans l’onglet Approvals de Rabby ou sur Revoke.cash pour supprimer les approbations dont vous n’avez plus besoin. Si vous utilisez principalement MetaMask, mettez en signet le vérificateur d’approbations de tokens d’Etherscan et exécutez-le mensuellement. Priorisez les approbations illimitées et les approbations accordées aux contrats avec lesquels vous n’interagissez plus. Le coût du gas pour révoquer les approbations est presque toujours inférieur au coût d’une seule position exploitée.
MetaMask et Rabby continuent d’améliorer leurs outils natifs de gestion des approbations — la feuille de route Q4 2025 de MetaMask faisait référence à une visibilité améliorée des approbations dans le portefeuille — mais aucun des deux portefeuilles ne vous empêche d’accorder des approbations en premier lieu. La responsabilité de les auditer et de les révoquer reste sur vous.
