Սահմանում
Approval exploit-ը անվտանգության ռիսկի տեսակ է, երբ հարձակվողը օգտագործում է թոքենի approval կամ allowance մեխանիզմները՝ զոհի ակտիվները տեղափոխելու առանց հետագա համաձայնության։ Դա սովորաբար առաջանում է այն դեպքում, երբ smart contract-ը կամ ինտերֆեյսը օգտատիրոջը դրդում է տրամադրել չափազանց մեծ կամ ոչ անվտանգ allowance-ներ, որոնք հարձակվողը հետո կանչում է չարամիտ կամ կոմպրոմետացված contract-ների միջոցով։ Exploit-ը սովորաբար չի խախտում հիմքում ընկած թոքենի ստանդարտը, այլ չարաշահում է թոքենի approval logic-ում կոդավորված օրինական authorization մոդելը։ Արդյունքում, միջոցների փոխանցումը տեխնիկապես վավեր է blockchain-ում, թեև այն խախտում է օգտատիրոջ անվտանգության և ծավալի վերաբերյալ սպասումները։
Այս ռիսկը սերտորեն կապված է այն բանի հետ, թե ինչպես են smart contract-ները պահում և օգտագործում թոքենների allowance-ի վիճակները։ Երբ հարձակվողը ստանում է բարձր կամ անսահման allowance, նա կարող է կրկնակի կանչել transfer ֆունկցիաները օգտատիրոջ հասցեի անունից, մինչև որ ամբողջ հաստատված մնացորդը սպառվի։ Approval exploit-ները հաճախ հիմնվում են մոլորեցնող transaction prompt-ների, շփոթեցնող contract-անունների կամ նախկինում տրված թույլտվությունների անսպասելի օգտագործման վրա։ Հիմնական առանձնահատկությունն այն է, որ գոյություն ունի անհամապատասխանություն այն բանի միջև, ինչ օգտատերը կարծում է, թե ինքը թույլատրել է, և այն բանի, ինչ allowance-ը իրականում թույլ է տալիս գործնականում։
Համատեքստ և օգտագործում
Անվտանգության քննարկումներում approval exploit-ը դիտարկվում է որպես թույլտվությունների չարաշահման ռիսկ, այլ ոչ թե ուղղակի պրոտոկոլային ձախողում։ Այն հաճախ կապվում է ERC-20 տիպի թոքենների դիզայնի հետ, որտեղ առանձին approval քայլը սահմանում է allowance, որը կարող են ծախսել այլ contract-ներ։ Երբ այդ allowance-ները սխալ են կարգավորված, երբեք չեն չեղարկվում կամ տրվում են ոչ վստահելի contract-ներին, դրանք ստեղծում են մշտական հարձակման մակերես, որը հակառակորդները կարող են ակտիվացնել ավելի ուշ։ Այս exploit-ը, հետևաբար, գտնվում է smart contract-ի դիզայնի, wallet-ի UX-ի և օգտատիրոջ՝ on-chain authorization-ի իմաստաբանության ընկալման հատման կետում։
Այս տերմինը հաճախ օգտագործվում է allowance հասկացության հետ միասին՝ նկարագրելու, թե որքան մանրամասն և որքան հեշտ չեղարկվող պետք է լինեն թոքենների թույլտվությունները։ Անվտանգության աուդիտորները և պրոտոկոլների դիզայներները approval exploit-ները դիտում են որպես սպառնալիքի առանձին կատեգորիա, որը պետք է հաշվի առնել contract-ների ինտերֆեյսներն ու թույլտվությունների հոսքերը նախագծելիս։ Ինցիդենտների հաշվետվություններում հարձակումը approval exploit անվանելը ընդգծում է, որ հարձակվողը գործել է պաշտոնապես տրված թույլտվությունների շրջանակում, թեև այդ թույլտվությունները ձեռք են բերվել կամ կառուցվել մոլորեցնող կամ ոչ անվտանգ ձևով։ Այս դասակարգումը օգնում է այն տարբերակել սխալներից, որոնք առաջանում են թվաբանական սխալներից, reentrancy-ից կամ contract-ների այլ ցածր մակարդակի թերություններից։