Анықтама
Approval exploit – бұл қауіпсіздік тәуекелдерінің бір түрі, онда шабуылдаушы токенге approval немесе allowance беру механизмдерін пайдаланып, құрбанның активтерін қосымша келісімсіз жылжытады. Әдетте бұл смарт контракт немесе интерфейс пайдаланушыны шамадан тыс немесе қауіпсіз емес allowance беруге итермелеген кезде пайда болады, ал шабуылдаушы кейін осы рұқсаттарды зиянды немесе бұзылған контракттар арқылы іске қосады. Мұндай exploit, әдетте, токен стандартының өзін бұзбайды, керісінше токеннің approval логикасына енгізілген заңды авторизация моделін теріс пайдаланады. Соның салдарынан қаражат аударымы блокчейн (blockchain) деңгейінде техникалық тұрғыдан дұрыс болып саналады, бірақ пайдаланушының қауіпсіздік пен өкілеттік шекарасы туралы күткеніне қайшы келеді.
Бұл тәуекел токеннің allowance күйі смарт контракттарда қалай сақталатынына және қалай пайдаланылатынына тығыз байланысты. Шабуылдаушы жоғары немесе шексіз allowance-қа қол жеткізгеннен кейін, пайдаланушы адресінің атынан transfer функцияларын қайта-қайта шақырып, бекітілген балансты толық сарқып біткенше жалғастыра алады. Approval exploit көбіне алдамшы транзакция растау терезелеріне, жаңылыстыратын контракт атауларына немесе бұрын берілген рұқсаттарды күтпеген тәсілмен қайта пайдалануға сүйенеді. Мұндағы негізгі сипат – пайдаланушы өз өкілеттігін қалай түсінеді және іс жүзінде allowance неге рұқсат беретінінің арасындағы алшақтық.
Контекст және қолданылуы
Қауіпсіздік туралы талқылауларда approval exploit протоколдың тікелей істен шығуынан гөрі, рұқсаттарды теріс пайдалану тәуекелі ретінде қарастырылады. Ол жиі ERC-20 үлгісіндегі токен дизайндарымен байланыстырылады, мұнда бөлек approval қадамы басқа контракттар жұмсай алатын allowance мөлшерін орнатады. Бұл allowance дұрыс бапталмаған, ешқашан кері қайтарылмаған немесе сенімсіз контракттарға берілген жағдайда, кейін қарсыластар іске қоса алатын тұрақты шабуыл беті пайда болады. Сондықтан exploit смарт контракт дизайны, wallet интерфейсі (UX) және пайдаланушының on-chain авторизация семантикасын түсінуі тоғысатын жерде орналасады.
Бұл термин allowance ұғымымен қатар жиі қолданылады және токен рұқсаттары қаншалықты нақты әрі қайтарылатын болуы керектігін сипаттауға көмектеседі. Қауіпсіздік аудиторы мен протокол дизайнерлері approval exploit-терді контракт интерфейстері мен рұқсат беру процестерін жобалағанда ескерілуі тиіс жеке қауіп-қатер санаты ретінде қарайды. Инциденттер туралы есептерде шабуылды approval exploit деп атау шабуылдаушы ресми берілген рұқсаттар шеңберінде әрекет еткенін, бірақ бұл рұқсаттар алдамшы немесе қауіпсіз емес тәсілмен алынғанын не құрылымдалғанын көрсетеді. Мұндай жіктеу оны арифметикалық қателерден, reentrancy шабуылдарынан немесе басқа да төмен деңгейлі контракт ақауларынан туындайтын багтардан ажыратуға көмектеседі.