Was ist eine Token-Genehmigung in DeFi und warum kann sie ein Sicherheitsrisiko darstellen?

Token-Genehmigungen in DeFi verstehen

1. Im dezentralen Finanzwesen (DeFi) ist eine Token-Genehmigung eine Transaktion auf der Blockchain, die es einem Smart Contract ermöglicht, eine bestimmte Menge Ihrer Token auszugeben. Dieser Mechanismus ist für die Interaktion mit dezentralen Börsen, Kreditplattformen und Yield-Farming-Protokollen unerlässlich. Ohne Genehmigung können diese Plattformen Ihre Token nicht verschieben, selbst wenn Sie einen Tausch oder eine Einzahlung veranlassen.

2. Wenn Benutzer ERC-20-Tokens auf Plattformen wie Uniswap handeln oder Vermögenswerte bei Aave einzahlen möchten, müssen sie zunächst den Smart Contract des Protokolls genehmigen, um auf ihre Gelder zugreifen zu können. Bei diesem Vorgang wird eine Transaktion unterzeichnet, die eine Vergütungsvariable im Token-Vertrag aktualisiert und angibt, wie viel der Spender abheben kann.

3. Die Genehmigung wird in der Kette aufgezeichnet und bleibt aktiv, bis sie manuell widerrufen oder durch eine andere Genehmigung überschrieben wird. Im Gegensatz zu herkömmlichen Finanzgenehmigungen sind Blockchain-Genehmigungen irreversibel, es sei denn, eine neue Transaktion reduziert oder setzt die Genehmigung ausdrücklich zurück.

4. Die meisten Wallets zeigen die Genehmigungsaktion während der Interaktion an, oft mit der Bezeichnung „USDC genehmigen“ oder ähnlich. Benutzer übersehen möglicherweise die Auswirkungen und behandeln es wie jeden anderen Routineschritt in einem mehrstufigen DeFi-Vorgang. Allerdings kann diese einzelne Aktion ein erhebliches Risiko darstellen, wenn sie nicht sorgfältig gehandhabt wird.

Mögliche Sicherheitsrisiken von Token-Genehmigungen

1. Ein großes Risiko sind unbegrenzte Zertifikate. Viele dApps verlangen die Erlaubnis, einen extrem hohen Betrag – manchmal praktisch unendlich – der Token eines Benutzers auszugeben. Wenn der Smart Contract später aufgrund einer Schwachstelle oder eines böswilligen Updates kompromittiert wird, können Angreifer alle genehmigten Token aus den betroffenen Wallets entfernen.

2. Betrugsprojekte und Phishing-Seiten verleiten Benutzer häufig dazu, böswillige Verträge zu genehmigen. Diese gefälschten Schnittstellen ahmen legitime Plattformen nach und fordern Benutzer auf, Genehmigungen zu unterzeichnen, wodurch sie die Kontrolle über ihre Vermögenswerte erhalten. Nach der Genehmigung können Angreifer jederzeit und ohne weitere Interaktion des Opfers Abhebungen durchführen.

3. Selbst legitime Protokolle können Risiken bergen, wenn sie Governance-Änderungen unterliegen oder gehackt werden. Ein genehmigter Vertrag, der einst sicher war, könnte später um schädliche Logik erweitert werden. Da Genehmigungen über Upgrades hinweg bestehen bleiben, bleibt der zuvor gewährte Zugriff gültig, sofern er nicht widerrufen wird.

4. Es gibt keine zentrale Behörde zur Rückabwicklung dieser Transaktionen. Die Unveränderlichkeit der Blockchain bedeutet, dass eine einmal bestätigte Genehmigung nur vom Token-Inhaber durch eine Widerrufstransaktion widerrufen werden kann. Dadurch liegt die volle Verantwortung beim Benutzer für die Überwachung und Verwaltung seiner aktiven Berechtigungen.

Genehmigungsrisiken verwalten und mindern

1. Überprüfen Sie bei der Genehmigung eines Tokens immer den Freibetrag. Wählen Sie Plattformen oder Wallet-Tools, die es ermöglichen, benutzerdefinierte Limits festzulegen, anstatt Höchstbeträge blind zu genehmigen. Durch die Beschränkung des Zuschusses auf das Notwendige werden potenzielle Verluste verringert.

2. Verwenden Sie Blockchain-Explorer oder spezielle Sicherheitstools wie Revoke.cash oder Blockaid, um bestehende Genehmigungen zu prüfen. Diese Dienste scannen Ihr Portemonnaie und listen alle aktiven Verträge mit Ausgabeberechtigungen auf, sodass Sie unnötige Verträge widerrufen können.

3. Bereinigen Sie regelmäßig alte Genehmigungen. Im Laufe der Zeit sammeln Benutzer Dutzende aktive Zertifikate aus vergangenen Interaktionen an. Der Widerruf ungenutzter Berechtigungen minimiert die Angriffsfläche und verbessert die allgemeine Wallet-Hygiene.

4. Erwägen Sie die Verwendung von Wallets, die erweiterte Genehmigungskontrollen bieten. Einige moderne Wallets warnen Benutzer vor ungewöhnlich hohen Zertifikaten oder heben bekannte böswillige Verträge während des Unterzeichnungsvorgangs hervor und tragen so dazu bei, eine versehentliche Offenlegung zu verhindern.

Häufig gestellte Fragen

Was passiert, wenn ich einen Token genehmige? Durch die Genehmigung eines Tokens erhält ein Smart Contract die Erlaubnis, eine bestimmte Menge dieses Tokens aus Ihrem Wallet zu übertragen. Dabei werden Gelder nicht sofort überwiesen, sondern es werden künftige, durch den Vertrag initiierte Überweisungen ermöglicht.

Kann jemand meine Token nur aufgrund einer Genehmigung stehlen? Ja, wenn ein böswilliger oder manipulierter Vertrag mit einem hohen Kontingent genehmigt wurde, kann die Funktion „transferFrom“ aufgerufen werden, um Ihre Token ohne zusätzliche Zustimmung zu verschieben. Die Genehmigung selbst ermöglicht diese Aktion.

Wie widerrufe ich eine Token-Genehmigung? Sie können eine Genehmigung widerrufen, indem Sie eine Blockchain-Transaktion senden, die die Vertragsmenge auf Null zurücksetzt. Dies kann über Ihre Wallet-Schnittstelle oder spezielle Websites wie Revoke.cash erfolgen.

Gibt es Token-Genehmigungen nur für Ethereum? Nein, das Konzept existiert auf anderen EVM-kompatiblen Blockchains wie Binance Smart Chain, Polygon und Arbitrum. Jedes Netzwerk, das ERC-20-Token verwendet, implementiert ähnliche Genehmigungsmechanismen.