SlovníkJanuary 2026

Approval exploit

Approval exploit je bezpečnostní zranitelnost, při které útočníci zneužívají oprávnění (token allowance) k převodu aktiv nad rámec toho, co uživatel zamýšlel nebo si uvědomoval, že povolil.

Definice

Approval exploit je typ bezpečnostního rizika, při kterém útočník zneužije mechanismy token approval nebo allowance k přesunu aktiv oběti bez dalšího souhlasu. Typicky vzniká, když smart contract nebo uživatelské rozhraní přiměje uživatele udělit příliš vysoké nebo nebezpečné allowance, které pak útočník vyvolá prostřednictvím škodlivých nebo kompromitovaných kontraktů. Exploit obvykle nenarušuje samotný token standard, ale zneužívá legitimní model autorizace zakódovaný v approval logice tokenu. Výsledkem je, že převod prostředků je z pohledu blockchainu technicky platný, i když porušuje uživatelova očekávání ohledně bezpečnosti a rozsahu oprávnění.

Toto riziko úzce souvisí s tím, jak jsou stavy token allowance ukládány a jak k nim smart kontrakty přistupují. Jakmile má útočník přístup k vysoké nebo neomezené allowance, může opakovaně volat funkce pro převod jménem adresy uživatele, dokud není schválený zůstatek vyčerpán. Approval exploity často spoléhají na klamavé transakční výzvy, zavádějící názvy kontraktů nebo opětovné použití dříve udělených oprávnění nečekaným způsobem. Klíčovým znakem je nesoulad mezi tím, co si uživatel myslí, že autorizoval, a tím, co ve skutečnosti allowance v praxi umožňuje.

Kontext a použití

V bezpečnostních diskusích je approval exploit označován spíše jako riziko zneužití oprávnění než jako přímé selhání protokolu. Často se spojuje s tokeny ve stylu ERC-20, kde samostatný krok approval nastavuje allowance, kterou mohou utrácet jiné kontrakty. Pokud jsou tyto allowance špatně nastavené, nikdy nejsou zrušeny nebo jsou uděleny nedůvěryhodným kontraktům, vytvářejí trvalou útočnou plochu, kterou mohou protivníci později aktivovat. Exploit tak leží na průsečíku návrhu smart kontraktů, UX peněženek (wallet) a uživatelského porozumění tomu, jak funguje on-chain autorizace.

Tento pojem se často používá spolu s konceptem allowance k popisu toho, jak granulární nebo snadno odvolatelná by měla být oprávnění k tokenům. Bezpečnostní auditoři a návrháři protokolů považují approval exploity za samostatnou kategorii hrozeb, se kterou je nutné počítat při návrhu rozhraní kontraktů a toků oprávnění. V incidentních zprávách označení útoku jako approval exploit zdůrazňuje, že útočník jednal v rámci formálně udělených oprávnění, i když tato oprávnění získal nebo strukturoval klamavým či nebezpečným způsobem. Toto zařazení pomáhá odlišit takové útoky od chyb vyplývajících z aritmetických omylů, reentrancy nebo jiných nízkoúrovňových nedostatků kontraktů.

© 2025 Tokenoversity. Všechna práva vyhrazena.