SözlükJanuary 2026

Onay Açığı

Onay açığı, saldırganların token yetki (allowance) izinlerini kötüye kullanarak, bir kullanıcının niyet ettiği veya anladığı yetkilendirmenin ötesinde varlık transferi yapabildiği bir güvenlik zafiyetidir.

Tanım

Onay açığı, bir saldırganın token onay (approval) veya yetki (allowance) mekanizmalarını kullanarak kurbanın varlıklarını ek bir onaya ihtiyaç duymadan hareket ettirebildiği bir güvenlik riski sınıfıdır. Genellikle, bir smart contract (akıllı sözleşme) veya arayüz, kullanıcıyı aşırı veya güvensiz yetkiler vermeye yönlendirdiğinde ortaya çıkar; saldırgan daha sonra bu yetkileri kötü niyetli veya ele geçirilmiş sözleşmeler üzerinden çağırır. Bu tür bir açık, genellikle alttaki token standardını bozmaz; bunun yerine token’ın onay mantığına kodlanmış meşru yetkilendirme modelini istismar eder. Sonuç olarak, fon transferi zincir üzerinde teknik olarak geçerli olsa da, kullanıcının güvenlik ve kapsam konusundaki beklentilerini ihlal eder.

Bu risk, token yetki (allowance) durumlarının smart contract’ler (akıllı sözleşmeler) tarafından nasıl saklandığı ve referans alındığıyla yakından ilişkilidir. Bir saldırgan yüksek veya sınırsız bir yetkiye erişim sağladığında, onaylanmış bakiye tamamen boşalana kadar kullanıcının adresi adına transfer fonksiyonunu tekrar tekrar çağırabilir. Onay açıkları çoğunlukla yanıltıcı işlem onay pencerelerine, aldatıcı sözleşme isimlerine veya daha önce verilmiş izinlerin beklenmedik şekillerde yeniden kullanılmasına dayanır. Temel özellik, kullanıcının neyi yetkilendirdiğine inandığı ile yetkinin pratikte gerçekte neye izin verdiği arasındaki uyumsuzluktur.

Bağlam ve Kullanım

Güvenlik tartışmalarında onay açığı, doğrudan bir protokol hatasından ziyade bir yetki suistimali riski olarak ele alınır. Çoğunlukla, ayrı bir onay adımıyla diğer sözleşmelerin harcayabileceği bir yetki (allowance) belirlenen ERC-20 tarzı token tasarımlarıyla ilişkilendirilir. Bu yetkiler yanlış yapılandırıldığında, hiç iptal edilmediğinde veya güvenilmeyen sözleşmelere verildiğinde, saldırganların daha sonra aktive edebileceği kalıcı bir saldırı yüzeyi oluştururlar. Bu nedenle açık, smart contract (akıllı sözleşme) tasarımı, wallet’ların (cüzdanların) kullanıcı deneyimi ve zincir üzerindeki yetkilendirme kurallarının kullanıcı tarafından anlaşılması arasındaki kesişim noktasında yer alır.

Terim, genellikle token yetkilerinin (allowance) ne kadar ayrıntılı ve ne ölçüde geri alınabilir olması gerektiğini tartışmak için kullanılır. Güvenlik denetçileri ve protokol tasarımcıları, onay açıklarını, sözleşme arayüzleri ve yetki akışları tasarlanırken mutlaka dikkate alınması gereken ayrı bir tehdit kategorisi olarak görür. Olay raporlarında bir saldırının onay açığı olarak etiketlenmesi, saldırganın resmi olarak verilmiş izinler çerçevesinde hareket ettiğini, ancak bu izinlerin aldatıcı veya güvensiz bir şekilde elde edildiğini ya da yapılandırıldığını vurgular. Bu sınıflandırma, hatanın aritmetik hatalar, reentrancy veya diğer düşük seviye sözleşme kusurlarından kaynaklandığı durumlarla arasındaki farkı netleştirmeye yardımcı olur.

© 2025 Tokenoversity. Tüm hakları saklıdır.