On-chain approvals: audit a protokoly pre bezpečné odvolanie prístupov

Tae Teo

On-chain approvals: význam a lokalizácia povolení

On-chain approvals predstavujú mechanizmus, ktorým majiteľ blockchainovej adresy udeľuje inému účtu alebo smart kontraktu právo nakladať s jeho digitálnymi aktívami bez potreby opakovaného podpisovania každej transakcie. Tento systém výrazne zjednodušuje interakciu s decentralizovanými aplikáciami (dApp) a efektívne znižuje potrebu neustáleho potvrdzovania jednotlivých prevodov.

V praxi sa najčastejšie stretávame s:

  • ERC-20 allowance prostredníctvom funkcie approve(spender, amount), ktorá umožňuje určitému „spenderovi“ prevádzať tokeny vlastníka cez metódu transferFrom až do schválenej sumy.
  • ERC-721 a ERC-1155 operator práva udelené cez funkciu setApprovalForAll(operator, true), ktoré autorizujú operátora spravovať všetky NFT daného vlastníka – napríklad predávať, presúvať alebo vystavovať na trhu.
  • Permit mechanizmy, napríklad EIP-2612 alebo Permit2, ktoré umožňujú udelenie povolenia off-chain prostredníctvom digitálneho podpisu, eliminujúce potrebu samostatnej on-chain transakcie pri schvaľovaní.

Všetky tieto povolenia sú zaznamenané priamo v storage príslušného smart kontraktu alebo v rámci špecializovaného frameworku pre spravovanie povolení a sú dostupné na prehliadanie cez blockchainové explorery či dedikované audítorské nástroje.

Rôzne druhy povolení a ich charakteristiky

ERC-20 allowance: flexibilita a potenciálne riziká

ERC-20 allowance je kvantitatívne ohraničené povolenie, ktoré definuje maximálnu sumu tokenov, ktorú môže spender prevádzať bez ďalšieho súhlasu vlastníka. Bežne sa však používa tzv. „infinite approval“ – povolenie s maximálnou hodnotou uint256 – aby sa predišlo opakovanému schvaľovaniu každej transakcie, čo však zvyšuje bezpečnostné riziká.

ERC-721 a ERC-1155: operator práva a možnosti per-token schválení

Pri NFT štandardoch ERC-721 a ERC-1155 sa povolenia spravidla udeľujú na úrovni celého portfólia vlastníka voči operátorovi pomocou setApprovalForAll. Niektoré implementácie však umožňujú aj individuálne schválenie konkrétneho tokenu cez funkciu approve(tokenId), čo prináša jemnejšiu granularitu kontroly.

Permit a Permit2: moderné off-chain povolenia

EIP-2612 Permit umožňuje, že majiteľ tokenov podpíše správu obsahujúcu nonce a deadline, čím schvaľuje spendera bez nutnosti on-chain transakcie. Tento podpis sa overuje smart kontraktom až pri prvom použití povolenia.

Permit2 (Uniswap) poskytuje rozšírené možnosti, ako sú povolenia pre viac tokenov naraz s jednotnou štruktúrou, jemnejšími limitmi podľa spendera a časovými obmedzeniami, čo znižuje potrebu uplatňovať „infinite approvals“ a zlepšuje bezpečnosť.

Hlavné riziká spojené s on-chain approvals

Bezpečnosť on-chain approvals môže byť ohrozená najmä v týchto oblastiach:

  • Neobmedzené ERC-20 schválenia: Ak je poskytnutý kontraktu nekonečný prístup k tokenom, kompromitovanie alebo zmena logiky tohto kontraktu môže viesť k okamžitému odčerpaní vašich tokenov.
  • Globálny operator pre NFT: V prípade, že je udelené schválenie na všetky tokeny voči single operatorovi, kompromitácia alebo škodlivé správanie operátora môže spôsobiť rýchlu stratu celej NFT zbierky.
  • Chránené podpisy v permit schémach: Ukradnutý alebo zneužitý podpis v platnosti (s aktuálnym nonce a pred uplynutím deadline) môže byť použitý na neželané prevody tokenov.

Metódy kontroly existujúcich povolení

Prehliadanie a audit schválení je možné realizovať niekoľkými spôsobmi:

  1. Blockchainové explorery: Väčšina explorerov umožňuje vo svojich sekciách tokenov zobraziť „Allowance“ a „Approved Operators“ vrátane percentuálneho a sumárneho rozpisu povolení.
  2. Specializované revoke nástroje: Tieto platformy poskytujú intuitívny prehľad o všetkých udelených povoleniach naprieč rôznymi tokenmi a dAppkami na danej sieti, často aj s možnosťou ich jedným klikom odvolať.
  3. Priama interakcia s kontraktom: Pokročilí používatelia môžu čítať stav z blockchain storage, respektíve volať funkcie ako allowance(owner, spender) a isApprovedForAll(owner, operator) cez sekciu „Read Contract“ na block exploreroch.

Dôležité je kontrolovať povolenia na všetkých sietiach, kde aktívne operujete (Ethereum mainnet, L2 riešenia, sidechainy), nakoľko každý reťazec má vlastný samostatný stav.

Audit a správa povolení – detailný postup

  1. Vyberte konkrétnu sieť (napríklad Ethereum mainnet) a pripojte vašu peňaženku k nástroju pre správu povolení.
  2. Zobrazte si zoznam „spenderov“ a „operatorov“ zoradený podľa možného rizika – sledujte neznáme kontrakty, nekonečné schválenia, staré a neaktívne dApp.
  3. Overte autenticitu kontraktov – porovnajte adresy so zdrojmi od vývojárov, skontrolujte verifikovaný kód a hodnotenia komunity.
  4. Identifikujte, ktoré povolenia sú nevyhnutné pre váš súčasný spôsob používania, a ktoré možno považovať za „legacy“ alebo nepotrebné.
  5. Postupne odvolajte najrizikovejšie alebo nepoužívané schválenia pomocou revoke nástrojov alebo manuálnych metodík.
  6. Nezabudnite proces zopakovať aj pre sekundárne siete ako Arbitrum, Optimism či Polygon.

Technická realizácia odvolania (revoke) ERC-20 allowance

Odvolanie povolenia znamená vykonanie on-chain transakcie, ktorá nastaví hodnotu allowance na 0 pre pár (owner, spender). Môžete použiť user-friendly UI nástroj na revoke alebo priamo využiť funkciu approve(spender, 0) cez sekciu „Write Contract“ na block exploreri.

Niektoré tokeny implementujú dvojkrokové schvaľovanie, kde je potrebné najskôr nastaviť allowance na 0 a potom na požadovanú hodnotu, čo zabraňuje potenciálnym race condition útokom. Poplatok za túto transakciu (gas) hradí vlastník účtu, ktorý odvoláva schválenie, a operácia musí prebehnúť v sieti, v ktorej bolo pôvodné schválenie udelené.

Odvolanie operator práv pre ERC-721 a ERC-1155

Pri NFT kontraktoch sa na odvolanie prevádzkových práv používa funkcia setApprovalForAll(operator, false). Tento krok môžete spraviť cez disponujúce UI nástroje alebo priamym volaním kontraktu v bloku „Write Contract“.

Pred potvrdením negácie povolenia vždy overte správnosť adresy NFT kolekcie a adresu operátora, čiže marketplace alebo agenta kontraktu. Pokiaľ používate viacero marketplace účtov alebo agentov, kontrola musí pokryť všetky relevantné adresy.

Podrobná analýza permit a permit2 mechanizmov

EIP-2612 Permit pracuje s parametrami deadline (koniec platnosti) a nonce (jedinečný poradový parameter). Nepoužitý permit s uplynulou platnosťou automaticky stráca validitu, a využitý nonce zabraňuje opakovanému použitiu rovnakého podpisu.

Ak máte potrebu odvolať povolenie udelené týmto spôsobom, môžete:

  • nastaviť allowance na 0 klasickým approve, čím efektívne blokujete ďalšie využívanie povolenia,
  • využiť dodatočné funkcie frameworku (ak sú dostupné) na „invalidate“ alebo „lockdown“ schválení.

Permit2 umožňuje celoštandardné spravovanie povolení na úrovni token/spender páru s časovými limitmi. Revokáciu vykonáte cez kompatibilné UI nástroje alebo priamo volaním príslušných metód kontraktu Permit2.

Špecifiká správy povolení na L2 riešeniach a multireťazcová koordinácia

Každá blockchainová sieť uchováva vlastný samostatný stav, preto povolenia udelené na Ethereum mainnete sa automaticky neprekladajú na L2 riešenia ako Arbitrum či Optimism. Toto platí i pre sidechainy ako Polygon.

Revokácia musí byť vykonaná na rovnakej sieti, kde bolo schválenie pôvodne udelené, pričom treba zohľadniť rôzne výšky poplatkov a odlišné časy finality blokov či možnú variabilitu v zobrazení dát v exploreroch.

Bezpečnostné odporúčania pri udeľovaní nových povolení

  • Minimalizujte rozsah a trvanie povolení. Pokiaľ je to možné, vyhnite sa infinite approval a namiesto toho nastavte schválenia len na potrebnú sumu pre danú operáciu.
  • Preferujte časovo limitované a per-spender schválenia, využívajte moderné mechanizmy ako Permit2 alebo zodpovedajúce framewoky.
  • Vždy pracujte len s overenými dApp a kontraktmi, ktoré majú verifikovaný kód, prešli bezpečnostnými auditmi a pochádzajú z dôveryhodných zdrojov.
  • Pri správe NFT zvážte používanie dedikovanej „trading“ peňaženky s obmedzenými právami, oddelenej od primárnej „trezorovej“ peňaženky pre dlhodobé držanie.
  • Aktivujte notifikácie z peňaženky a aktívne monitorujte udalosti Approval a ApprovalForAll vo vašich transakčných historiách.
  • Vo väčších tímoch implementujte multisig riešenia a role-based prístupové politiky, aby boli úverové práva rozdelené podľa potreby a zodpovednosti.

Odporúčané kroky pri podozrení na bezpečnostný incident

  1. Okamžite odpojte peňaženku od podozrivej dApp alebo webových služieb, čím zabavíte ďalšie potenciálne podpisovanie transakcií. Samotné odpojenie však neodvoláva on-chain approvals.
  2. Zabezpečte okamžitú revokáciu všetkých neznámych alebo neautorizovaných povolení použitím revoke nástrojov na všetkých príslušných sieťach.
  3. Preverte aktuálny stav allowancov a operator práv prostredníctvom block explorerov alebo priamo vo vašich peňaženkách.
  4. Kontaktujte podporu dApp alebo služby, kde ste zaznamenali neobvyklé správanie, a informujte príslušné komunity a fóra o potenciálnom incidente.
  5. Ak máte podozrenie na kompromitáciu súkromných kľúčov, okamžite zorganizujte presun aktív do novej, bezpečnej peňaženky s náležitými bezpečnostnými opatreniami.
  6. V prípade väčších incidentov zvážte audit vašich smart kontraktov a implementáciu ďalších bezpečnostných protokolov vrátane multisignature schém.

Pri správe on-chain povolení je kľúčové byť vždy obozretný a preventívny. Pravidelná kontrola, minimalizácia práv a rýchla reakcia na podozrivé aktivity výrazne znižujú riziko zneužitia vašich digitálnych aktív. Využívanie moderných nástrojov a transparentných procesov pomáha udržať bezpečnosť vo svete decentralizovaných financií.

Ďalšie články