Kahulugan
Ang approval exploit ay isang klase ng panganib sa seguridad kung saan ginagamit ng isang umaatake ang token approval o allowance mechanisms para mailipat ang mga asset ng biktima nang hindi na muling humihingi ng pahintulot. Karaniwan itong nangyayari kapag ang isang smart contract o interface ay nakahihikayat sa user na magbigay ng sobra o hindi ligtas na allowances, na pagkatapos ay ginagamit ng umaatake sa pamamagitan ng malicious o compromised na mga contract. Karaniwan, hindi nito binabasag ang mismong token standard, kundi inaabuso nito ang lehitimong authorization model na nakapaloob sa approval logic ng token. Dahil dito, ang paglipat ng pondo ay teknikal na balido on-chain, kahit na nilalabag nito ang inaasahan ng user tungkol sa kaligtasan at saklaw ng kanyang pahintulot.
Malapit na kaugnay ang panganib na ito sa kung paano ini-store at nire-refer ng mga smart contract ang token allowance states. Kapag nakakuha ang umaatake ng mataas o unlimited na allowance, maaari niyang paulit-ulit na tawagin ang mga transfer function sa ngalan ng address ng user hanggang sa maubos ang approved balance. Madalas na umaasa ang mga approval exploit sa mapanlinlang na transaction prompts, nakalilitong pangalan ng contract, o muling paggamit ng dati nang naibigay na permissions sa paraang hindi inaasahan. Ang pangunahing katangian nito ay ang hindi pagtutugma ng pinaniniwalaan ng user na kanyang inaprubahan at ng aktwal na pinahihintulutan ng allowance sa praktika.
Konteksto at Paggamit
Sa mga talakayan tungkol sa seguridad, tinutukoy ang approval exploit bilang isang panganib na nagmumula sa pag-abuso ng permissions, hindi bilang direktang pagkabigo ng protocol. Madalas itong iugnay sa mga token design na gaya ng ERC-20, kung saan may hiwalay na approval step na nagse-set ng allowance na maaaring gastusin ng ibang mga contract. Kapag mali ang pagkaka-configure ng mga allowance na ito, hindi kailanman ni-revoke, o ibinigay sa mga contract na hindi mapagkakatiwalaan, lumilikha ito ng tuloy-tuloy na attack surface na maaaring gamitin ng mga kalaban sa hinaharap. Dahil dito, ang exploit ay nasa gitna ng disenyo ng smart contract, UX ng wallet, at pag-unawa ng user sa on-chain authorization semantics.
Kadalasang ginagamit ang terminong ito kasabay ng konsepto ng allowance para ilarawan kung gaano dapat ka-granular o kadaling i-revoke ang token permissions. Tinuturing ng mga security auditor at protocol designer ang approval exploits bilang isang hiwalay na kategorya ng banta na kailangang isaalang-alang kapag nagdidisenyo ng contract interfaces at permission flows. Sa mga incident report, kapag tinawag ang isang pag-atake na approval exploit, binibigyang-diin na kumilos ang umaatake sa loob ng pormal na ibinigay na permissions, kahit na ang mga permission na iyon ay nakuha o inistruktura sa mapanlinlang o hindi ligtas na paraan. Nakakatulong ang klasipikasyong ito para maiba ito sa mga bug na nagmumula sa arithmetic errors, reentrancy, o iba pang low-level na depekto sa contract.