Token Approval

Token Approval ist eine On-Chain-Genehmigung, mit der ein Wallet-Inhaber einem Smart Contract das Recht einräumt, eine bestimmte Menge eines ERC-20-Tokens (oder einer anderen Token-Norm) in seinem Namen zu bewegen – ohne dass bei jeder einzelnen Aktion eine erneute Bestätigung erforderlich ist.

Warum Token Approvals existieren

Das Ethereum-Token-Modell sieht vor, dass Token-Transfers vom Eigentümer initiiert werden müssen. Dezentrale Protokolle – etwa Börsen, Lending-Plattformen oder Staking-Contracts – benötigen jedoch die Fähigkeit, Tokens eigenständig zu verschieben, um Swaps, Liquiditätsbereitstellungen oder Zinsauszahlungen abwickeln zu können. Die Approval-Transaktion ist der technische Weg, diesen Zugriff zu gewähren: Sie schreibt in den Token-Contract ein, dass Adresse X bis zu Betrag Y vom Guthaben der eigenen Wallet verwenden darf. Erst danach kann der Smart Contract seine Funktion ausführen.

Da die Genehmigung selbst eine eigene Blockchain-Transaktion ist, entstehen dafür separate Gaskosten – unabhängig von der eigentlichen Folge-Aktion wie dem Swap.

Unlimited Approval und das damit verbundene Risiko

Viele Protokolle beantragen standardmäßig eine unbegrenzte Genehmigung (Unlimited Approval). Das spart zukünftige Approval-Transaktionen und damit Gas, bedeutet aber: Der Smart Contract darf theoretisch das gesamte Token-Guthaben zu jedem späteren Zeitpunkt abziehen – auch Wochen oder Monate nach der letzten aktiven Nutzung.

Wird ein solcher Contract kompromittiert oder war er von Anfang an bösartig, reicht die einmalig erteilte Genehmigung aus, um alle betroffenen Token ohne weitere Bestätigung durch den Nutzer zu transferieren. Besonders gefährlich ist das bei Wallets, die über lange Zeit mit vielen Protokollen interagiert haben und akkumulierte Approvals nicht aktiv verwalten.

Praxisbeispiel: Wer Token A auf einer dezentralen Börse gegen Token B tauscht, erteilt beim ersten Mal eine Approval für Token A. Wird diese Approval auf „unbegrenzt" gesetzt und der Contract später ausgenutzt, sind alle Token A in der Wallet gefährdet – nicht nur der ursprünglich gehandelte Betrag.

Approvals aktiv verwalten

Nutzer können erteilte Genehmigungen jederzeit widerrufen. Dafür existieren spezialisierte Tools (darunter Revoke.cash), die alle aktiven Approvals einer Wallet-Adresse anzeigen und das Entziehen einzelner Genehmigungen per Transaktion ermöglichen. Auch das Widerrufen kostet Gas. Eine empfohlene Praxis ist, Approvals auf den tatsächlich benötigten Betrag zu begrenzen und nicht mehr genutzte Genehmigungen regelmäßig zu bereinigen.

Verwandte Begriffe

• Approval-Phishing
• Non-Custodial Wallet
• Burner Wallet
• Honeypot-Token