OrdbogJanuary 2026

Approval exploit

Et approval exploit er en sikkerhedssårbarhed, hvor angribere misbruger token-allowance-tilladelser til at overføre aktiver ud over den godkendelse, brugeren havde til hensigt eller forstod.

Definition

Et approval exploit er en type sikkerhedsrisiko, hvor en angriber udnytter token-approval- eller allowance-mekanismer til at flytte en brugers aktiver uden yderligere samtykke. Det opstår typisk, når en smart contract eller brugerflade får en bruger til at give for høje eller usikre allowances, som angriberen derefter kan udnytte gennem ondsindede eller kompromitterede contracts. Exploitet bryder som regel ikke den underliggende tokenstandard, men misbruger i stedet den legitime godkendelsesmodel, der er kodet i tokenets approval-logik. Som følge heraf er overførslen af midler teknisk gyldig on-chain, selvom den strider mod brugerens forventninger til sikkerhed og omfang.

Denne risiko er tæt knyttet til, hvordan token-allowance-tilstande gemmes og refereres af smart contracts. Når en angriber først har adgang til en høj eller ubegrænset allowance, kan vedkommende gentagne gange kalde transfer-funktioner på vegne af brugerens adresse, indtil den godkendte saldo er tømt. Approval exploits bygger ofte på vildledende transaktionsprompter, misvisende contract-navne eller genbrug af tidligere givne tilladelser på uventede måder. Det centrale kendetegn er misforholdet mellem, hvad brugeren tror, vedkommende har godkendt, og hvad allowance’en i praksis faktisk tillader.

Kontekst og brug

I sikkerhedsdiskussioner omtales et approval exploit som en risiko for misbrug af tilladelser snarere end en direkte protokolfejl. Det forbindes ofte med ERC-20-lignende tokendesigns, hvor et separat approval-step sætter en allowance, som andre contracts kan bruge. Når disse allowances er fejlkonfigurerede, aldrig bliver tilbagekaldt eller gives til upålidelige contracts, skaber de en vedvarende angrebsflade, som modstandere senere kan aktivere. Exploitet befinder sig derfor i krydsfeltet mellem smart contract-design, wallet-UX og brugerens forståelse af on-chain-godkendelseslogik.

Begrebet bruges ofte sammen med allowance for at beskrive, hvor granulære eller tilbagekaldelige token-tilladelser bør være. Sikkerhedsrevisorer og protokoldesignere betragter approval exploits som en særskilt trusselskategori, der skal tages højde for, når man designer contract-interfaces og tilladelsesflows. I hændelsesrapporter fremhæver det at kalde et angreb et approval exploit, at angriberen handlede inden for formelt tildelte tilladelser, selvom disse tilladelser blev opnået eller struktureret på en vildledende eller usikker måde. Denne klassificering hjælper med at skelne det fra fejl, der stammer fra aritmetiske fejl, reentrancy eller andre lavniveau-kontraktfejl.

© 2025 Tokenoversity. Alle rettigheder forbeholdes.