GlossaryJanuary 2026

Approval Exploit

Approval exploit — это уязвимость безопасности, при которой злоумышленники злоупотребляют правами на расходование токенов (token allowance), чтобы переводить активы сверх того, что пользователь намеревался или осознавал, что разрешает.

Определение

Approval exploit — это класс рисков безопасности, при котором атакующий использует механизмы approval или allowance токенов, чтобы перемещать активы жертвы без дополнительного согласия. Обычно это происходит, когда смарт-контракт (smart contract) или интерфейс побуждает пользователя выдать чрезмерные или небезопасные разрешения на расходование, которые затем вызываются злоумышленником через вредоносные или скомпрометированные контракты. При этом эксплойт обычно не нарушает сам стандарт токена, а злоупотребляет легитимной моделью авторизации, заложенной в логику approval токена. В результате перевод средств технически является корректным на блокчейне (blockchain), хотя и нарушает ожидания пользователя относительно безопасности и допустимого объёма операций.

Этот риск тесно связан с тем, как состояния allowance токенов хранятся и используются смарт-контрактами (smart contract). Как только атакующий получает доступ к высокому или неограниченному allowance, он может многократно вызывать функции перевода от имени адреса пользователя, пока одобренный баланс не будет исчерпан. Approval exploit часто опирается на обманчивые транзакционные подсказки, вводящие в заблуждение названия контрактов или повторное использование ранее выданных разрешений в неожиданных сценариях. Ключевая характеристика — несоответствие между тем, что пользователь считает одобренным, и тем, что на практике реально позволяет текущий allowance.

Контекст и использование

В обсуждениях безопасности approval exploit рассматривается как риск злоупотребления правами доступа, а не как прямой сбой протокола. Он часто ассоциируется с токенами формата ERC-20, где отдельный шаг approval задаёт allowance, который могут тратить другие контракты. Когда эти allowance настроены неправильно, никогда не отзываются или выдаются недоверенным контрактам, они создают постоянную поверхность атаки, которую противники могут активировать позже. Таким образом, эксплойт находится на пересечении дизайна смарт-контрактов (smart contract), UX кошелька (wallet) и понимания пользователем ончейн-авторизации.

Термин часто используется вместе с понятием allowance, чтобы описать, насколько детализированными и отзывными должны быть права на расходование токенов. Аудиторы безопасности и разработчики протоколов рассматривают approval exploit как отдельную категорию угроз, которую необходимо учитывать при проектировании интерфейсов контрактов и потоков выдачи разрешений. В отчётах об инцидентах пометка атаки как approval exploit подчёркивает, что злоумышленник действовал в рамках формально выданных разрешений, даже если эти разрешения были получены или структурированы обманным или небезопасным образом. Такая классификация помогает отличать его от багов, возникающих из-за арифметических ошибок, reentrancy или других низкоуровневых изъянов смарт-контрактов (smart contract).

© 2025 Tokenoversity. Все права защищены.