那個 вечір, ринок майже не рухався, я без справи подумав, що можу кинути кілька невикористаних монет у якийсь протокол застави, щоб заробити трохи доходу. Відкрив додаток, обрав депозит, спливло вікно гаманця — на екрані лише одна кнопка: Approve.

Мій палець зупинився там. Що саме схвалювати? Інтерфейс виглядає без проблем, але ця кнопка завжди викликає відчуття підписання порожнього чекa. Той момент вагання насправді вже торкнувся кореня ризиків більшості гаманців.

У DeFi граючи з заставою, позиками або стейкінгом, процес такий: ти хочеш заблокувати токени у протоколі, але не просто переказати їх напряму, а спершу надати смарт-контракту дозвіл — дозволити йому у разі виконання умов взяти токени з твого гаманця. Це називається Allowance, тобто затвердження ліміту. Наприклад, щоб взяти участь у проекті заставного майнінгу, потрібно заставити активи для генерації стабільних монет, а потім поставити ці монети у стейкінг для отримання доходу, — спершу потрібно дати контракту дозвіл, щоб він міг рухати ваші заставні активи.

Є один легко пропускаємий нюанс: майже всі основні токени — стабільні монети, більшість альткоїнів, крос-ланчові токени — дотримуються стандарту ERC-20 і потребують цього дозволу. Лише ETH, як нативна валюта ланцюга, зазвичай можна обійти. Тому ви, можливо, вже давали багато таких дозволів, просто не звертали уваги.

Ще гірше, що багато гаманців за замовчуванням надають безлімітний дозвіл — фактично, передають ключі назовні, і він залишається дійсним назавжди. Це означає, що якщо контракт буде зламаний або хтось почне атаку, ваші активи можуть бути виведені без обмежень.