定義
Approval exploit(承認悪用)とは、攻撃者がトークンの承認(approval)やアローワンス(allowance)の仕組みを利用し、被害者の追加の同意なしに資産を移動させてしまうタイプのセキュリティリスクです。これは通常、smart contract(スマートコントラクト)やインターフェースがユーザーに対して、過剰または安全でないアローワンスを付与させるよう誘導し、その後、攻撃者が悪意のある、もしくは乗っ取られたコントラクトを通じてその権限を行使することで発生します。この攻撃は、基盤となるトークン標準そのものを破るわけではなく、トークンの承認ロジックに組み込まれた正当な認可モデルを逆手に取るものです。その結果、資金の移転はオンチェーン上では技術的に有効である一方で、ユーザーが想定していた安全性や権限の範囲を明らかに逸脱することになります。
このリスクは、トークンのアローワンス状態がどのように保存され、smart contract(スマートコントラクト)から参照されるかと密接に関係しています。攻撃者が高額または無制限のアローワンスにアクセスできるようになると、承認された残高が枯渇するまで、ユーザーのアドレスになり代わって transfer 関数を繰り返し呼び出すことができます。Approval exploit は、多くの場合、紛らわしいトランザクション承認画面、誤解を招くコントラクト名、あるいは過去に付与された権限を想定外の形で再利用することに依存します。根本的な特徴は、ユーザーが「自分はこの範囲までしか承認していない」と考えている内容と、実際にアローワンスが許している操作範囲との間に大きなギャップがある点です。
文脈と使われ方
セキュリティに関する議論では、approval exploit(承認悪用)は、プロトコルそのものの直接的な故障というより、「権限の乱用リスク」として言及されます。これはしばしば、ERC-20 形式のトークン設計と結び付けて語られます。この設計では、別途 approval ステップを踏んでアローワンスを設定し、他のコントラクトがその残高を消費できるようにします。これらのアローワンスが誤って設定されたまま放置されたり、取り消されなかったり、信頼できないコントラクトに対して付与されたりすると、攻撃者が後から悪用できる恒常的な攻撃面が生まれます。そのため、この種の exploit は、smart contract(スマートコントラクト)の設計、wallet(ウォレット)の UX、そしてオンチェーンの認可の意味合いに対するユーザーの理解が交差する領域に位置づけられます。
この用語は、アローワンスという概念と並べて使われることが多く、「トークンの権限をどの程度細かく、またどのように取り消し可能にすべきか」を説明する際に用いられます。セキュリティ監査人やプロトコル設計者は、approval exploit を、コントラクトのインターフェースや権限フローを設計する際に必ず考慮すべき、独立した脅威カテゴリーとして扱います。インシデントレポートにおいて、ある攻撃を approval exploit と分類することは、「攻撃者が形式上は正当に付与された権限の範囲内で行動していた」ことを強調するものです。ただし、その権限は、だましのようなまたは安全でない形で取得・構成されていたという点が問題となります。この分類によって、算術エラー、reentrancy(リエントランシー)、その他の低レベルなコントラクトバグに起因する不具合とは区別しやすくなります。