DeFi에서 토큰 승인이란 무엇이며 왜 보안 위험이 될 수 있나요?

DeFi의 토큰 승인 이해

1. 탈중앙화 금융(DeFi)에서 토큰 승인은 스마트 계약이 특정 금액의 토큰을 사용할 수 있도록 하는 블록체인의 거래입니다. 이 메커니즘은 분산형 거래소, 대출 플랫폼 및 수확량 농업 프로토콜과 상호 작용하는 데 필수적입니다. 승인이 없으면 이러한 플랫폼은 귀하가 스왑이나 예금을 시작하더라도 토큰을 이동할 수 없습니다.

2. 사용자가 Uniswap과 같은 플랫폼에서 ERC-20 토큰을 거래하거나 Aave에 자산을 예치하려는 경우 자금에 액세스하려면 먼저 프로토콜의 스마트 계약을 승인해야 합니다. 이 프로세스에는 토큰 계약 내에서 허용량 변수를 업데이트하는 거래에 서명하고 지출자가 인출할 수 있는 금액을 지정하는 작업이 포함됩니다.

3. 승인은 온체인에 기록되며 수동으로 취소되거나 다른 승인으로 덮어쓰기될 때까지 활성 상태로 유지됩니다. 기존 금융 권한과 달리 블록체인 승인은 새로운 거래가 명시적으로 허용량을 줄이거나 재설정하지 않는 한 되돌릴 수 없습니다.

4. 대부분의 지갑은 상호 작용 중에 "USDC 승인" 또는 이와 유사한 라벨이 붙은 승인 작업을 표시합니다. 사용자는 이를 다단계 DeFi 운영의 다른 일상적인 단계처럼 취급하여 의미를 간과할 수 있습니다. 그러나 주의 깊게 관리하지 않으면 이 단일 작업으로 인해 상당한 위험이 노출될 수 있습니다.

토큰 승인의 잠재적인 보안 위험

1. 한 가지 주요 위험은 무제한 허용량입니다. 많은 dApp은 사용자 토큰 중 매우 많은 양(때로는 사실상 무한함)을 사용할 수 있는 권한을 요청합니다. 나중에 취약점이나 악의적인 업데이트로 인해 스마트 계약이 손상되면 공격자는 영향을 받는 지갑에서 승인된 모든 토큰을 빼낼 수 있습니다.

2. 사기 프로젝트와 피싱 사이트는 종종 사용자를 속여 악성 계약을 승인하도록 유도합니다. 이러한 가짜 인터페이스는 합법적인 플랫폼을 모방하고 사용자에게 승인에 서명하라는 메시지를 표시하여 자산에 대한 제어권을 부여합니다. 일단 승인되면 공격자는 피해자와의 추가 상호 작용 없이 언제든지 인출을 실행할 수 있습니다.

3. 합법적인 프로토콜이라도 거버넌스가 변경되거나 해킹당할 경우 위험을 초래할 수 있습니다. 한때 안전했던 승인된 계약은 나중에 유해한 논리를 포함하도록 업그레이드될 수 있습니다. 승인은 업그레이드 전반에 걸쳐 지속되므로 이전에 부여된 액세스 권한은 취소되지 않는 한 유효하게 유지됩니다.

4. 이러한 거래를 되돌릴 수 있는 중앙화된 권한은 없습니다. 블록체인 불변성은 일단 승인이 확인되면 토큰 보유자만이 취소 거래를 통해 승인을 취소할 수 있음을 의미합니다. 이는 활성 허용량을 모니터링하고 관리하는 전적인 책임을 사용자에게 부여합니다.

승인 위험 관리 및 완화

1. 토큰 승인 시 항상 허용량을 검토하세요. 맹목적으로 최대 금액을 승인하는 대신 맞춤형 한도를 설정할 수 있는 플랫폼이나 지갑 도구를 선택하세요. 필요한 만큼만 허용량을 제한하면 잠재적인 손실이 줄어듭니다.

2. 블록체인 탐색기나 Revoke.cash 또는 Blockaid와 같은 전용 보안 도구를 사용하여 기존 승인을 감사합니다. 이 서비스는 지갑을 스캔하고 지출 권한이 있는 모든 활성 계약을 나열하여 불필요한 계약을 취소할 수 있습니다.

3. 오래된 승인을 정기적으로 정리하십시오. 시간이 지남에 따라 사용자는 과거 상호 작용을 통해 수십 개의 활성 허용량을 축적합니다. 사용하지 않는 권한을 취소하면 공격 표면이 최소화되고 전반적인 지갑 위생이 향상됩니다.

4. 향상된 승인 제어 기능을 제공하는 지갑 사용을 고려하세요. 일부 최신 지갑은 사용자에게 비정상적으로 높은 허용량에 대해 경고하거나 서명 과정에서 알려진 악성 계약을 강조하여 우발적인 노출을 방지합니다.

자주 묻는 질문

토큰을 승인하면 어떻게 되나요? 토큰을 승인하면 지갑에서 해당 토큰의 특정 금액을 전송할 수 있는 스마트 계약 권한이 부여됩니다. 즉시 자금을 이체하지는 않지만 계약에 따라 향후 이체를 시작할 수 있습니다.

누군가 승인만으로 내 토큰을 훔칠 수 있나요? 예, 악의적이거나 손상된 계약이 높은 허용량으로 승인된 경우 transferFrom 함수를 호출하여 추가 동의 없이 토큰을 이동할 수 있습니다. 승인 자체로 이 작업이 가능해집니다.

토큰 승인을 취소하려면 어떻게 해야 하나요? 계약 허용량을 다시 0으로 설정하는 블록체인 트랜잭션을 보내 승인을 취소할 수 있습니다. 이는 지갑 인터페이스나 Revoke.cash와 같은 전문 웹사이트를 통해 수행할 수 있습니다.

토큰 승인은 이더리움에만 고유합니까? 아니요, 이 개념은 Binance Smart Chain, Polygon 및 Arbitrum과 같은 다른 EVM 호환 블록체인에 존재합니다. ERC-20 스타일 토큰을 사용하는 모든 네트워크는 유사한 승인 메커니즘을 구현합니다.