GlossaryJanuary 2026

Approval Exploit

Een approval exploit is een beveiligingslek waarbij aanvallers misbruik maken van token allowance-machtigingen om assets over te dragen buiten de bedoeling of het begrip van de gebruiker om.

Definitie

Een approval exploit is een type beveiligingsrisico waarbij een aanvaller token approval- of allowance-mechanismen gebruikt om de assets van een slachtoffer te verplaatsen zonder verdere toestemming. Dit ontstaat meestal wanneer een smart contract of interface een gebruiker ertoe brengt om te grote of onveilige allowances te verlenen, die de aanvaller vervolgens kan aanroepen via kwaadaardige of gecompromitteerde contracten. De exploit doorbreekt doorgaans niet de onderliggende tokenstandaard, maar misbruikt in plaats daarvan het legitieme autorisatiemodel dat is vastgelegd in de approval-logica van de token. Daardoor is de overdracht van fondsen technisch gezien geldig on-chain, ook al gaat deze in tegen de verwachtingen van de gebruiker over veiligheid en reikwijdte.

Dit risico hangt nauw samen met de manier waarop token allowance-staten worden opgeslagen en aangeroepen door smart contracts. Zodra een aanvaller toegang heeft tot een hoge of onbeperkte allowance, kan hij herhaaldelijk transfer-functies aanroepen namens het adres van de gebruiker totdat het goedgekeurde saldo is leeggetrokken. Approval exploits vertrouwen vaak op misleidende transactieprompts, misleidende contractnamen of het hergebruiken van eerder verleende machtigingen op onverwachte manieren. Het kernkenmerk is de mismatch tussen wat de gebruiker denkt te hebben geautoriseerd en wat de allowance in de praktijk daadwerkelijk toestaat.

Context en gebruik

In beveiligingsdiscussies wordt een approval exploit gezien als een risico op misbruik van permissies in plaats van een direct protocolfalen. Het wordt vaak in verband gebracht met ERC-20-achtige tokendesigns, waarbij een aparte approval-stap een allowance instelt die andere contracten kunnen uitgeven. Wanneer deze allowances verkeerd zijn geconfigureerd, nooit worden ingetrokken of worden verleend aan niet-vertrouwde contracten, creëren ze een blijvend aanvalsoppervlak dat tegenstanders later kunnen activeren. De exploit bevindt zich daarom op het snijvlak van smart contract-design, wallet-UX en het begrip van gebruikers van on-chain autorisatiesemantiek.

De term wordt vaak samen met het concept allowance gebruikt om te beschrijven hoe fijnmazig of herroepbaar tokenmachtigingen zouden moeten zijn. Security-auditors en protocolontwerpers behandelen approval exploits als een aparte categorie dreiging waarmee rekening moet worden gehouden bij het ontwerpen van contractinterfaces en permissieflows. In incidentrapporten maakt het labelen van een aanval als een approval exploit duidelijk dat de aanvaller opereerde binnen formeel verleende machtigingen, ook al zijn die machtigingen op een misleidende of onveilige manier verkregen of gestructureerd. Deze classificatie helpt het te onderscheiden van bugs die voortkomen uit rekenfouten, reentrancy of andere low-level contractfouten.

© 2025 Tokenoversity. Alle rechten voorbehouden.