GlossaryJanuary 2026

Approval Exploit

Approval exploit er öryggisveikleiki þar sem árásaraðilar misnota heimildir fyrir token-allowance til að flytja eignir umfram það sem notandi ætlaði sér eða taldi sig hafa veitt heimild fyrir.

Skilgreining

Approval exploit er tegund öryggisáhættu þar sem árásaraðili nýtir sér approval- eða allowance-kerfi tokena til að færa eignir fórnarlambs án frekara samþykkis. Þetta gerist oft þegar smart contract (snjallsamningur) eða viðmót fær notanda til að veita of víðtækar eða óöruggar heimildir (allowance), sem árásaraðilinn getur síðan virkjað í gegnum illgjarnan eða málamiðlaðan samning. Exploit-ið brýtur yfirleitt ekki undirliggjandi token-staðal, heldur misnotar lögmætt heimildarlíkan sem er innbyggt í approval-rökfræði tokenins. Afleiðingin er sú að flutningur fjármuna er tæknilega gildur á keðjunni (on-chain), jafnvel þótt hann brjóti í bága við væntingar notandans um öryggi og umfang heimildarinnar.

Þessi áhætta tengist náið því hvernig allowance-staða tokena er geymd og vísað í af smart contracts (snjallsamningum). Þegar árásaraðili hefur fengið aðgang að háu eða ótakmörkuðu allowance getur hann ítrekað kallað á transfer-föll fyrir hönd vistfangs notandans þar til samþykkt inneign er uppurin. Approval exploits reiða sig oft á villandi viðskiptaglugga, blekkjandi heiti samninga eða endurnýtingu áður veittra heimilda á óvæntan hátt. Kjarninn er misræmi milli þess sem notandinn telur sig hafa heimilað og þess sem allowance-ið leyfir í raun og veru.

Samhengi og notkun

Í öryggisumræðu er approval exploit talið áhætta sem tengist misnotkun heimilda frekar en beinum bilun í prótokolli. Það tengist oft ERC-20-líkum token-hönnunum, þar sem sérstakt approval-skref skilgreinir allowance sem önnur contracts geta eytt. Þegar þessi allowance eru rangt stillt, aldrei afturkölluð eða veitt ótraustum contracts, myndast viðvarandi árásarflötur sem andstæðingar geta virkjað síðar. Exploit-ið er því á mörkum hönnunar smart contracts (snjallsamninga), notendaupplifunar í wallet og skilnings notenda á heimildum á keðjunni (on-chain authorization).

Hugtakið er oft notað samhliða allowance til að lýsa því hversu nákvæmar eða afturkræfar token-heimildir ættu að vera. Öryggisúttektaraðilar og hönnuðir prótokolla líta á approval exploits sem sérstakan hótunarflokk sem þarf að taka með í reikninginn þegar hannaðar eru contract-viðmót og heimildaflæði. Í atvikaskýrslum er árás flokkuð sem approval exploit til að undirstrika að árásaraðilinn starfaði innan formlega veitra heimilda, jafnvel þótt þær heimildir hafi verið fengnar eða uppbyggðar á blekkjandi eða óöruggan hátt. Þessi flokkun hjálpar til við að aðgreina slíkar árásir frá göllum sem stafa af reiknivillum, reentrancy eða öðrum lágstigs galla í contracts.

© 2025 Tokenoversity. Allur réttur áskilinn.