DeFi におけるトークンの承認とは何ですか?また、それがセキュリティ リスクになるのはなぜですか?

DeFi におけるトークンの承認を理解する

1. 分散型金融 (DeFi) では、トークンの承認は、スマート コントラクトが特定の量のトークンを使用できるようにするブロックチェーン上のトランザクションです。このメカニズムは、分散型取引所、融資プラットフォーム、イールド ファーミング プロトコルと対話するために不可欠です。承認がなければ、スワップや入金を開始したとしても、これらのプラットフォームはトークンを移動できません。

2. ユーザーが Uniswap などのプラットフォームで ERC-20 トークンを取引したい場合、または資産を Aave に入金したい場合、資金にアクセスするにはまずプロトコルのスマート コントラクトを承認する必要があります。このプロセスには、トークン契約内の許容変数を更新し、支出者がいくら引き出すことができるかを指定するトランザクションへの署名が含まれます。

3. 承認はオンチェーンに記録され、手動で取り消されるか、別の承認によって上書きされるまでアクティブのままです。従来の財務上の許可とは異なり、ブロックチェーンの承認は、新しいトランザクションによって許可が明示的に削減またはリセットされない限り、元に戻すことはできません。

4. ほとんどのウォレットでは、対話中に承認アクションが表示され、多くの場合「USDC の承認」などのラベルが付けられます。ユーザーは、複数のステップからなる DeFi 運用における他の日常的なステップと同じように扱い、その影響を見逃してしまう可能性があります。ただし、慎重に管理しないと、この 1 つのアクションが重大なリスクにさらされる可能性があります。

トークン承認の潜在的なセキュリティ リスク

1.大きなリスクの 1 つは、許容量が無制限であることです。多くの dApp は、ユーザーのトークンを非常に高額 (場合によっては事実上無限) 使用する許可を要求します。その後、脆弱性や悪意のあるアップデートによってスマート コントラクトが侵害された場合、攻撃者は影響を受けるウォレットから承認されたトークンをすべて流出させる可能性があります。

2. 詐欺プロジェクトやフィッシング サイトは、ユーザーを騙して悪意のある契約を承認させることがよくあります。これらの偽のインターフェイスは正規のプラットフォームを模倣し、ユーザーに承認への署名を促し、ユーザーの資産を制御できるようにします。承認されると、攻撃者は被害者からのさらなる介入なしでいつでも出金を実行できます。

3. 正規のプロトコルであっても、ガバナンスが変更されたりハッキングされたりすると、リスクが生じる可能性があります。かつては安全だった承認済みの契約が、後で有害なロジックを含むようにアップグレードされる可能性があります。承認はアップグレード後も持続するため、以前に付与されたアクセスは取り消されない限り有効です。

4. これらの取引を取り消す集中的な権限はありません。ブロックチェーンの不変性とは、承認が確認されると、トークン所有者のみが取り消しトランザクションを通じて承認をキャンセルできることを意味します。これにより、アクティブな割り当てを監視および管理する全責任がユーザーに課せられます。

承認リスクの管理と軽減

1. トークンを承認する際には、必ず許容量を確認してください。上限金額をやみくもに承認するのではなく、カスタム制限を設定できるプラットフォームまたはウォレット ツールを選択してください。許容範囲を必要なものだけに制限すると、潜在的な損失が軽減されます。

2. ブロックチェーン エクスプローラー、または Revoke.cash や Blockaid などの専用セキュリティ ツールを使用して、既存の承認を監査します。これらのサービスはウォレットをスキャンし、支出権限のある有効な契約をすべてリストし、不要な契約を取り消すことができます。

3.古い承認を定期的にクリーンアップします。時間が経つにつれて、ユーザーは過去のインタラクションから数十のアクティブな手当を蓄積します。未使用のアクセス許可を取り消すと、攻撃対象領域が最小限に抑えられ、ウォレット全体の衛生状態が向上します。

4. 強化された承認制御を提供するウォレットの使用を検討してください。最新のウォレットの中には、異常に高額な手当についてユーザーに警告したり、署名プロセス中に既知の悪意のある契約を強調表示したりして、偶発的な暴露を防ぐものもあります。

よくある質問

トークンを承認するとどうなりますか?トークンを承認すると、指定された量のトークンをウォレットから転送する許可がスマート コントラクトに与えられます。資金はすぐには送金されませんが、契約によって開始される将来の送金が可能になります。

承認だけで誰かが私のトークンを盗むことができますか?はい、悪意のある契約または侵害された契約が高額な許可で承認された場合、追加の同意なしに transferFrom 関数を呼び出してトークンを移動できます。承認自体がこのアクションを有効にします。

トークンの承認を取り消すにはどうすればよいですか?契約の許容範囲をゼロに戻すブロックチェーン トランザクションを送信することで、承認を取り消すことができます。これは、ウォレットのインターフェイスまたは Revoke.cash などの専門 Web サイトを通じて行うことができます。

トークンの承認はイーサリアムに固有のものですか?いいえ、この概念は、Binance Smart Chain、Polygon、Arbitrum などの他の EVM 互換ブロックチェーンにも存在します。 ERC-20 スタイルのトークンを使用するネットワークは、同様の承認メカニズムを実装します。