Wat is Token Approvals? Uitleg voor beginners
Je kent het wel: je wilt een nieuwe token kopen of een DeFi-app gebruiken, en plotseling verschijnt er een pop-up die vraagt om 'toestemming' of 'approval'.
Je klikt op 'Accepteren' zonder echt te lezen wat er staat, want je wilt snel verder. Grote kans dat je op dat moment een enorme veiligheidsrisico neemt.
Token approvals zijn een fundamenteel onderdeel van Ethereum en andere blockchains, maar ze zijn ook een geliefde prooi voor hackers. Een verkeerde goedkeuring kan ervoor zorgen dat al je tokens plotseling verdwijnen, zonder dat je er iets aan kunt doen. In dit artikel duiken we in de wereld van token approvals. We leggen uit wat het is, waarom het zo gevaarlijk kan zijn, en hoe je jezelf beschermt. Zo leer je om niet alleen sneller, maar ook slimmer te beleggen.
Wat zijn Token Approvals eigenlijk?
Stel je voor dat je een sleutel geeft aan een bewaker bij een kluis. De bewaker mag de kluis openen om er één specifieke doos uit te halen en deze weer te sluiten.
Hij kan niet zomaar alles meenemen. Token approvals werken op een vergelijkbare manier.
Ze zijn een soort digitale volmachten die je geeft aan een smart contract, zodat dit contract jouw tokens mag gebruiken. Waarom is dit nodig? Omdat blockchains anoniem en gedecentraliseerd zijn.
Een protocol zoals Uniswap of Aave heeft geen menselijke medewerker die jouw transactie handmatig goedkeurt. Het is een stuk code dat weet wat het moet doen, maar het heeft jouw expliciete toestemming nodig om bij je tokens te komen.
Zonder deze 'toestemming' zou elke transactie onmogelijk zijn. Het gaat hierbij meestal om zogenaamde 'fungible tokens' (zoals ETH, USDC of SHIB) die volgens de ERC-20 standaard zijn gemaakt. Wanneer je een token voor de eerste keer naar een smart contract stuurt, moet je deze goedkeuren. Je betaalt één keer gas om de toestemming te regelen, en daarna kun je meerdere keren transacties uitvoeren zonder opnieuw te hoeven betalen voor die specifieke goedkeuring.
Waarom dit superbelangrijk is (en gevaarlijk)
Het allergrootste gevaar van token approvals zit 'm in de 'rug pull' scams. Malicious developers bouwen een nep-app die er precies zo uitziet als een bekende DeFi-protocol.
Ze lokken je naar hun site en vragen je om een 'approval' te tekenen.
Zodra jij je handtekening zet via je wallet, geef je ze toestemming om jouw tokens te leeghalen. Ze hoeven niet eens je privésleutels te stelen; jij hebt ze zelf toegang gegeven. Een ander risico is dat je teveel toestemming geeft.
Sommige wallets en interfaces vragen bijvoorbeeld standaard voor een 'oneindige' goedkeuring (infinite approval). Dit betekent dat een protocol onbeperkt over jouw tokens kan beschikken. Handig voor de gebruiker (je hoeft nooit meer te approven), maar levensgevaarlijk als dat protocol later gehackt wordt of de developers kwaadwillend worden. Je loopt dan het risico dat al je tokens in één klap verdwijnen.
Let op: Een token approval is een transactie die je moet ondertekenen met je privésleutel. Zodra je deze ondertekent, is de toestemming actief totdat je deze intrekt. Het is geen tijdelijke toestemming.
Denk aan het verhaal van de Kucoin hack of de Ronin bridge exploit.
In beide gevallen werden niet direct gebruikers hun privésleutels gestolen, maar werden er slimme contracten misbruikt waar gebruikers teveel rechten aan hadden gegeven. Het is een stille dief die je zelf binnenlaat.
Hoe Token Approvals werken: de techniek
Elke ERC-20 token heeft een functie in zijn code die 'approve' heet. Wanneer je een transactie start om tokens te swappen, staken of lenen, roept de app deze functie aan.
Je wallet stuurt een transactie naar het token-contract met twee parameters: de adres van de 'spender' (het protocol) en het 'amount' (het bedrag). Je hebt drie hoofdscenario's: De meeste wallets (zoals MetaMask) tonen je een waarschuwing als je een transactie goedkeurt.
- Approven voor één specifiek bedrag: Je geeft toestemming voor precies het bedrag dat je wilt gebruiken. Veilig, maar je moet het bij elke nieuwe transactie opnieuw doen (en gas betalen).
- Approven voor een oneindig bedrag: De 'infinite approval'. Je geeft het protocol toestemming om altijd over je tokens te beschikken. Handig, maar riskant.
- Revoken (intrekken): Je trekt een eerdere goedkeuring in. Dit kan door een transactie te sturen die de goedkeuring op 0 zet.
Ze laten zien welk adres toegang krijgt en tot welk bedrag. Helaas lezen de meeste gebruikers deze waarschuwingen niet.
Ze klikken blindelings op 'Volgende' en 'Bevestigen'. En precies daar schuilt het gevaar. Een slimme contract-aanval maakt hier handig gebruik van.
De hacker zet een nep-token op en vraagt je om deze te 'swappen'. In de transactie zit verborgen dat je eigenlijk toestemming geeft om je wél waardevolle tokens (zoals ETH of USDC) te versturen. Omdat de transactie ingewikkeld is, zie je dit niet terug in de simpele interface van je wallet.
Praktische tips: Zo blijf je veilig
Gelukkig is het makkelijk om jezelf te beschermen tegen misbruik van token approvals. Het kost je hooguit een paar minuten tijd en een beetje gasgeld.
- Gebruik een 'vault' of aparte wallet: Splits je activa. Gebruik één wallet voor dagelijkse DeFi-activiteiten en een andere, koude wallet (hardware wallet) voor je lange-termijn holdings. Zo beperk je de schade.
- Check je approvals regelmatig: Er zijn websites die je een overzicht geven van alle openstaande goedkeuringen. Zoek naar 'Etherscan token approvals', 'Revoke.cash' of 'Unrekt'. Verbind je wallet en zie direct welke adressen nog steeds toegang hebben.
- Revoken na gebruik: Heb je eenmalig een nieuwe, obscure app gebruikt? Trek de goedkeuring direct daarna in. Het kost een paar euro aan gas, maar het voorkomt een potentiële catastrofe.
- Lees de transactie-details: Neem de seconde tijd om te kijken wat je wallet je vertelt. Zie je 'Infinite Approval' staan bij een onbekend project? Wees extreem terughoudend.
- Wees voorzichtig met nieuwe projecten: Als een compleet nieuw protocol om oneindige goedkeuring vraagt, is dat een enorme rode vlag. Grote, gevestigde namels zoals Uniswap of Aave zijn doorgaans veilig, maar zijn ook niet onfeilbaar.
Volg onderstaande stappen om je portfolio veilig te stellen. Voor de echte waaghalzen is er nog een techniek: je kunt een 'permit' of 'signature' gebruiken.
Dit is een nieuwe standaard (EIP-2612) waarbij je een digitale handtekening geeft in plaats van een directe transactie te sturen. Dit voorkomt dat je tokens direct worden weggehaald, maar het is technisch complexer en niet overal beschikbaar.
Conclusie: Machtigingen beheren is basisvaardigheid
Token approvals zijn een onzichtbaar maar cruciaal onderdeel van de crypto-wereld. Ze zijn de sleutel tot DeFi, maar ook een open deur voor hackers als je ze onbeheerd achterlaat.
Begrijpen hoe ze werken, is net zo belangrijk als het begrijpen van je privésleutels.
Het is het verschil tussen een slachtoffer worden van de volgende grote hack of veilig je weg vervolgen. Zie het niet als een lastige technische hindernis, maar als een standaard veiligheidscheck. Net als je de deur op slot doet als je het huis verlaat, controleer je je token approvals voordat je blindelings op 'Accepteren' drukt.
In de wereld van crypto ben je je eigen bank en bewaker. Zorg dat je de sleutels niet zomaar uitdeelt.