Jedes Mal, wenn Sie mit einer dezentralen Anwendung interagieren – Token tauschen, Liquidität bereitstellen, ein NFT prägen – haben Sie mit hoher Wahrscheinlichkeit eine Token-Genehmigung unterzeichnet. Diese Genehmigung gewährt einem Smart Contract die Berechtigung, Ihre Token in Ihrem Namen zu bewegen, oft ohne Ausgabenlimit und ohne Ablaufdatum. Falls dieser Contract später ausgenutzt wird, auf eine bösartige Version aktualisiert wird oder einfach aufgegeben wird, kann ein Angreifer Ihr Wallet leeren, ohne dass Sie etwas Neues unterzeichnen müssen. Zu verstehen, wie Sie diese Genehmigungen in MetaMask und Rabby Wallet überprüfen und widerrufen, ist eine der praktischsten Sicherheitsgewohnheiten, die jeder Crypto-Nutzer entwickeln kann. Diese Anleitung führt Sie durch die genauen Schritte in beiden Wallets, erklärt die verfügbaren Tools und zeigt Ihnen, was Sie zuerst priorisieren sollten.
Warum Token-Genehmigungen ein anhaltendes Risiko darstellen
Token-Genehmigungen werden durch die ERC-20 approve()-Funktion und die ERC-721/ERC-1155 setApprovalForAll()-Funktion gesteuert. Wenn Sie approve(spender, amount) aufrufen, autorisieren Sie eine bestimmte Adresse – normalerweise einen Smart Contract – bis zu amount Token jederzeit in der Zukunft von Ihrem Wallet zu transferieren. Die Dokumentation der Ethereum Foundation bestätigt, dass Genehmigungen unbegrenzt gültig bleiben, es sei denn, der Token-Eigentümer widerruft sie explizit.
Die praktische Konsequenz: Wallets sammeln im Laufe der Zeit Dutzende oder Hunderte von aktiven Genehmigungen an. Eine Nachbetrachtung des Badger DAO-Exploits von 2022, die zu ungefähr 120 Millionen Dollar Verlusten führte, zeigte, dass von Angreifern injizierte Skripte bestehende unbegrenzte Genehmigungen nutzten, die Benutzer nie widerrufen hatten. Die Token verließen das Wallet der Benutzer nicht durch eine bösartige Transaktion, die sie unterzeichnet hatten – die Genehmigung, die sie Monate zuvor unterzeichnet hatten, verursachte den Schaden.
So widerrufen Sie Token-Genehmigungen direkt in MetaMask
MetaMask hat eine integrierte Verwaltungsoberfläche für Genehmigungen hinzugefügt. Der Pfad unterscheidet sich leicht zwischen der Browser-Erweiterung und der mobilen App.
MetaMask Browser-Erweiterung (v11+)
- Öffnen Sie MetaMask und klicken Sie auf das Drei-Punkte-Menü in der oberen rechten Ecke.
- Wählen Sie Einstellungen → Sicherheit & Datenschutz.
- Scrollen Sie zu Token-Genehmigungen und klicken Sie auf Im Explorer anzeigen – dies leitet zu Ethersans Token-Genehmigungstool für Ihre verbundene Adresse weiter.
- Alternativ navigieren Sie zu Aktivität, suchen Sie die ursprüngliche Genehmigungstransaktion und nutzen Sie den Etherscan-Link, um den Spender-Contract zu lokalisieren.
MetaMask selbst zeigt ab Anfang 2026 kein vollständiges Genehmigungs-Dashboard innerhalb der Erweiterung; es verlässt sich auf Block-Explorer für die vollständige Liste. Der MetaMask Knowledge Base-Artikel mit dem Titel “Wie man Smart Contract Zulagen/Token-Genehmigungen widerruft” dokumentiert diesen Ablauf explizit.
Verwendung von Etherscan’s Token-Genehmigungstool
- Gehen Sie zu etherscan.io/tokenapprovalchecker und verbinden Sie Ihr Wallet.
- Das Tool listet alle aktiven ERC-20-Genehmigungen gruppiert nach Token auf und zeigt die Spender-Adresse und den genehmigten Betrag.
- Klicken Sie auf Widerrufen neben einer Genehmigung, die Sie entfernen möchten. MetaMask fordert Sie auf, eine Transaktion zu bestätigen, die
approve(spender, 0)aufruft und die Zulage auf null setzt. - Zahlen Sie die Gas-Gebühr zur Bestätigung. Die Genehmigung wird in der Blockchain entfernt, sobald die Transaktion bestätigt ist.
Etherscan unterstützt auch ERC-721 NFT-Genehmigungen über die gleiche Oberfläche. Jeder Widerruf ist eine separate On-Chain-Transaktion mit eigenen Gas-Kosten.
So widerrufen Sie Token-Genehmigungen in Rabby Wallet
Rabby Wallet, entwickelt von DeBank, wird mit einem nativen Genehmigungsverwaltungs-Dashboard geliefert – eines seiner am meisten zitierten Sicherheitsmerkmale. Im Gegensatz zu MetaMasks Weiterleitungsansatz zeigt Rabby Genehmigungen an, ohne die Wallet-UI zu verlassen.
Rabby’s integrierte Genehmigungsverwaltung
- Öffnen Sie die Rabby Browser-Erweiterung und klicken Sie auf den Tab Genehmigungen in der Seitenleiste (Schildsymbol).
- Rabby ruft Ihre Genehmigungen über alle verbundenen EVM-Chains gleichzeitig ab und kategorisiert sie – Ethereum, Arbitrum, Base, Polygon und andere.
- Jeder Eintrag zeigt den Token, den Spender-Contract-Namen (sofern identifizierbar), den genehmigten Betrag und eine Risikobewertung. Rabby kennzeichnet Contracts, die von seiner Sicherheits-Engine als riskant markiert sind.
- Klicken Sie auf Widerrufen neben einer Genehmigung. Bestätigen Sie die Transaktion in der Wallet-Aufforderung.
Die Rabby-Dokumentation beschreibt diese Funktion unter “Approval Management” im offiziellen Help Center. Die Kettenübergreifende Ansicht ist besonders nützlich, da viele Benutzer Genehmigungen vergessen, die auf Layer-2-Netzwerken gewährt wurden, wo Gas billig war und Genehmigungen leichtfertig unterzeichnet wurden.
Third-Party-Widerruftools, die es zu kennen lohnt
Zwei zusätzliche Tools werden häufig verwendet und sind es wert, neben den nativen Features Ihres Wallets zu speichern.
- Revoke.cash – Ein Open-Source-Tool (MIT-Lizenz, Quellcode auf GitHub), das über 80 EVM-kompatible Ketten unterstützt. Es zeigt Token- und NFT-Genehmigungen an, sortiert nach Risikostufe und ermöglicht Massen-Widerrufe, wenn das Netzwerk dies unterstützt. Die Projektdokumentation vermerkt, dass es Daten direkt aus On-Chain-Logs liest und keine E-Mail oder Kontoerstellung erfordert.
- DeBank’s Genehmigungsscanner – In die DeBank-Portfolio-Oberfläche integriert. Da Rabby auf DeBank-Infrastruktur aufgebaut ist, sind die in beiden Tools angezeigten Daten konsistent.
Wenn Sie ein Third-Party-Tool verwenden, überprüfen Sie die Domain sorgfältig, bevor Sie Ihr Wallet verbinden. Phishing-Seiten, die Revoke.cash nachahmen, sind in Suchanzeigen aufgetaucht – navigieren Sie immer von einer gespeicherten URL oder der verifizierten GitHub-Seite des Projekts.
Was Sie beim Überprüfen von Genehmigungen priorisieren sollten
Ein Wallet mit 200 Genehmigungen erfordert nicht 200 Widerrufe. Wenden Sie einen Triage-Ansatz an:
- Unbegrenzte Genehmigungen zuerst. Jede Genehmigung, die “Unbegrenzt” oder eine sehr große Zahl anzeigt (z.B. 2^256 − 1, der maximale uint256-Wert), sollte sofort überprüft werden. Dies sind die Einträge mit dem höchsten Risiko.
- Inaktive oder veraltete Protokolle. Wenn Sie ein Protokoll nicht mehr verwenden, widerrufen Sie seine Genehmigungen. Selbst überprüfte Contracts können aktualisiert werden oder das Eigentum kann übertragen werden.
- Unbekannte oder unverifiedte Spender-Adressen. Wenn Etherscan oder Rabby den Spender-Contract nicht namentlich identifizieren können, behandeln Sie ihn als erhöhtes Risiko.
- NFT setApprovalForAll-Zuweisungen. Diese ermöglichen einem Contract, jedes NFT in der Sammlung von Ihrem Wallet zu transferieren. Widerrufen Sie diese, es sei denn, Sie verwenden aktiv den genehmigten Marketplace oder Contract.
Die Gas-Kosten-Realität beim Widerrufen von Genehmigungen
Jeder Widerruf ist eine On-Chain-Transaktion. Im Ethereum-Mainnet verbraucht das Widerrufen einer ERC-20-Genehmigung typischerweise etwa 45.000–60.000 Gas. Bei moderaten Gas-Preisen kostet dies einen Bruchteil eines Dollars bis wenige Dollar. In Layer-2-Netzwerken wie Arbitrum oder Optimism sind die Kosten vernachlässigbar – oft unter einem Cent.
Wenn Sie viele Genehmigungen im Mainnet widerrufen müssen, erwägen Sie, die Arbeit über mehrere Sitzungen während Low-Gas-Perioden zu verteilen (typischerweise nachts UTC an Wochentagen, nach historischen Ethereum-Gas-Daten). Einige Tools wie Revoke.cash unterstützen Multi-Widerruf-Transaktionen auf Ketten, die EIP-2612 Permit-ähnliche Muster implementieren, aber Standard-ERC-20-Widerrufe erfordern einzelne Transaktionen.
Was dies für Sie bedeutet
Token-Genehmigungshygiene ist keine einmalige Aufgabe – es ist eine wiederkehrende Praxis. Nehmen Sie sich nach jeder signifikanten DeFi-Sitzung zwei Minuten Zeit, um im Tab “Genehmigungen” von Rabby oder in Revoke.cash Genehmigungen zu entfernen, die Sie nicht mehr benötigen. Wenn Sie hauptsächlich MetaMask verwenden, speichern Sie Etherscan’s Token-Genehmigungsprüfer und führen Sie ihn monatlich aus. Priorisieren Sie unbegrenzte Genehmigungen und Genehmigungen, die Contracts gewährt wurden, mit denen Sie nicht mehr interagieren. Die Gas-Kosten für das Widerrufen von Genehmigungen sind fast immer geringer als die Kosten einer einzelnen ausgebeuteten Position.
Sowohl MetaMask als auch Rabby verbessern weiterhin ihre nativen Genehmigungstools – MetaMasks Q4-2025-Roadmap erwähnte verbesserte In-Wallet-Genehmigungssichtbarkeit – aber keines der Wallets hindert Sie daran, Genehmigungen zu erteilen. Die Verantwortung für deren Überprüfung und Widerruf liegt bei Ihnen.
