マガジン内検索

墨汁マガジンVol.764「DeFiやNFTにおける適切なApprove管理とは?Approveの仕組みから見るリスク」

目次
  • 1 Approveの必要性
  • 2 Approveの仕組みから見るリスク
  • 3 Approve時の注意点
    • 3.1 Approveの種類
    • 3.2 確認方法
  • 4 適切なApprove管理とは?
  • 5 無限Approveしても良い例
  • 6 Approve管理方法
  • 7 まとめ

イーサリアムやEVM経済圏におけるDeFiやNFTのセキュリティ対策として”コントラクトアドレスの適切なApprove管理”というものがあります。このApprove管理は古参DeFiユーザーに取って常に意識するセキュリティ管理方法ですがあまり認知されておらず、クロスチェーンDEXアグリゲーターの”Transit Swap”のハッキングによって再度意識すべき点であると言えるでしょう。

本稿ではDeFiやNFTにおけるコントラクトの適切なApprove管理の考え方について投資家向けにわかりやすく解説を行います。Transit Swapのハッキングの攻撃概要については

 

Approveの必要性

まず前提知識として

 

「Approveはコントラクト実行において必ず必要であるが、セキュリティの落とし穴ともなる」

 

ということを理解しておく必要があるでしょう。

例えばCurve FinanceのようなDeFiのDEXにおいてUSDCをDAIにスワップする場合、3Poolのようなスワップで利用する流動性プールのコントラクトアドレスにApproveで許可を出す必要があります。

 

このApproveが必要な理由として、

 

「EOAアカウント(個人アドレス)のUSDCをCurve Financeの3Poolが引出しをし、代わりにDAIを受取るというスワップをするという残高変更を許可する」

 

ためです。

 

EOAアカウントの残高変更(送金)する際に許可なく行える場合、悪意のあるコントラクトが勝手にUSDCを引出しすることができるということになってしまう

Check

 

Approveの仕組みから見るリスク

ではまずApproveの仕組みについて見てみましょう。

Approveに

*ここから先はオンラインサロン会員専用です
マガジン内検索