私たちが新しい暗号プロジェクトを操作するとき、多くの場合、最初にトークンを承認 (承認) するようページに表示されます。このステップは、プロジェクトがウォレット内のコインを取引、ステーク、貸し出し、またはその他の方法で操作できるようにするために必要です。
現在、市場に出ているプロジェクトの 99% は、この承認機能をスマート コントラクトに書き込むときに、トークンの承認値を無制限に設定しています。これは、ユーザーが今後対話するたびに追加の認証手順を実行する必要がないようにするために行われます。
ただし、これはスマート コントラクトの運用において最も懸念されるセキュリティ脆弱性の 1 つでもあります。これは、たとえ私たちがプロトコルにコインを入れなかったとしても、プロジェクトチームは同じアドレスからコインを引き出す権限を持っていることを意味します。この操作では秘密キーで署名する必要がないため、承認を与える際には注意が必要です。
注意: リカバリフレーズが漏洩すると、ハードウェアウォレットが使用されているかどうかに関係なく、すべてのコインが失われます。過剰な承認が取り消されず、プロジェクトチームが悪意を持って行動した場合、ハードウェアウォレットの使用に関係なく、すべてのコインが失われます。プロジェクトチームが予告なく終了した場合、ハードウェアウォレットの使用に関係なく、すべてのコインが失われます。