RečnikJanuary 2026

Approval exploit

Approval exploit je bezbednosna ranjivost u kojoj napadači zloupotrebljavaju token allowance dozvole da bi preneli sredstva izvan nivoa ovlašćenja koji je korisnik nameravao ili razumeo.

Definicija

Approval exploit je vrsta bezbednosnog rizika u kojoj napadač koristi mehanizme token approval ili allowance da bi pomerio imovinu žrtve bez njenog daljeg pristanka. Tipično nastaje kada smart contract ili interfejs navede korisnika da odobri prevelike ili nesigurne allowance vrednosti, koje napadač zatim poziva preko zlonamernih ili kompromitovanih contract-a. Eksploit obično ne narušava sam token standard, već zloupotrebljava legitiman model ovlašćivanja ugrađen u approval logiku tokena. Kao rezultat, prenos sredstava je tehnički ispravan on-chain, iako krši korisnikova očekivanja u pogledu bezbednosti i obima ovlašćenja.

Ovaj rizik je usko povezan sa načinom na koji se allowance stanja tokena čuvaju i na koji im smart contract-i pristupaju. Kada napadač dobije pristup visokom ili neograničenom allowance-u, može više puta pozivati transfer funkcije u ime korisnikove adrese dok se odobreni balans potpuno ne isprazni. Approval exploit-i se često oslanjaju na obmanjujuće transakcione prozore, zavaravajuća imena contract-a ili ponovno korišćenje ranije datih dozvola na neočekivane načine. Suštinska karakteristika je nesklad između onoga što korisnik veruje da je ovlastio i onoga što allowance u praksi zaista dozvoljava.

Kontekst i upotreba

U bezbednosnim diskusijama, approval exploit se navodi kao rizik zloupotrebe dozvola, a ne kao direktan neuspeh protokola. Često je povezan sa ERC-20 tipom dizajna tokena, gde se u posebnom approval koraku postavlja allowance koji drugi contract-i mogu trošiti. Kada su ti allowance-i pogrešno podešeni, nikada opozvani ili dodeljeni nepoverljivim contract-ima, oni stvaraju trajnu napadnu površinu koju protivnici kasnije mogu aktivirati. Eksploit se zato nalazi na preseku dizajna smart contract-a, UX-a wallet-a i korisničkog razumevanja on-chain semantike ovlašćivanja.

Ovaj termin se često koristi zajedno sa pojmom allowance da bi se opisalo koliko granularne ili opozive token dozvole treba da budu. Bezbednosni revizori i dizajneri protokola tretiraju approval exploit-e kao posebnu kategoriju pretnje koju moraju uzeti u obzir pri dizajniranju contract interfejsa i tokova dozvola. U izveštajima o incidentima, označavanje napada kao approval exploit naglašava da je napadač delovao unutar formalno dodeljenih dozvola, iako su te dozvole pribavljene ili strukturisane na obmanjujući ili nesiguran način. Ova klasifikacija pomaže da se razlikuje od bagova koji proističu iz aritmetičkih grešaka, reentrancy problema ili drugih niskonivojskih nedostataka u contract-ima.

© 2025 Tokenoversity. Sva prava zadržana.