Kryptolehti.fi Oppaat
Ladataan markkinadataa…
Yksi allekirjoitus vei lähes miljoonan – näin token-hyväksyntä tyhjensi lompakon

Yksi allekirjoitus vei lähes miljoonan – näin token-hyväksyntä tyhjensi lompakon

9. heinäkuuta 2026 klo 12.27 Markkinat Lasse Braden
Lue tiivistelmä

Uhri allekirjoitti Ethereumissa hyväksynnän, jonka luuli vaarattomaksi, ja antoi samalla hyökkääjälle rajattoman oikeuden varoihinsa. Sama kaava toistui kuun aikana toisessa iskussa, jossa katosi 1,65 miljoonaa dollaria.

Yksi allekirjoitus riitti tyhjentämään lompakon lähes miljoonalla dollarilla. Uhri hyväksyi Ethereum-lohkoketjussa haitallisen token-hyväksyntäpyynnön, ja hyökkääjä sai käyttöönsä koko saldon.

Tapaus sattui keskiviikkona. Lohkoketjuturvayhtiö Scam Sniffer kertoo, että uhri menetti 999 999 USDT:tä eli lähes miljoonan dollarin edestä Tetherin USDT-stablecoinia allekirjoitettuaan pyynnön, jonka luuli vaarattomaksi. Uhrin osoite alkaa 0x8c94 ja päättyy 530f89.

Miten yksittäinen hyväksyntä voi viedä koko lompakon? Vastaus piilee token-hyväksynnän mekanismissa.

Token-hyväksyntä (approval)

Kun annat sovellukselle luvan käyttää tokeneitasi, allekirjoitat lohkoketjuun hyväksynnän, joka määrittää kulutusoikeuden rajan. Rajattomaksi asetettu hyväksyntä antaa vastaanottajalle oikeuden siirtää tokeneita ilman ylärajaa milloin tahansa.

Skripti laski jäljellä olevan saldon

Hyökkäys ei mennyt heti nappiin. Scam Snifferin mukaan hyökkääjät yrittivät ensin nostaa tasan miljoonan multicall-transaktioilla, mutta siirto epäonnistui, koska lompakossa oli hieman alle miljoona.

Sekunteja myöhemmin hyökkäys korjasi itsensä.

– Skripti laski summan uudelleen ja nosti tarkalleen jäljellä olevan saldon, Scam Sniffer kertoo.

Juuri tässä on hyväksyntä-phishingin vaara. Käyttäjä luulee hyväksyvänsä vaarattoman tapahtuman, mutta myöntää tosiasiassa rajattoman kulutusoikeuden varoihinsa. Loppu on automaation varassa.

Ilmiö ei rajoitu yhteen uhriin. Phishing-huijaukset aiheuttivat vuonna 2025 yhteensä 723 miljoonan dollarin tappiot 248 tapauksessa, ja hyväksyntään perustuvat hyökkäykset ovat niistä yleisimpiä.

Houkuttimena toimivat usein aidon näköiset sivustot ja pyynnöt, jotka jäljittelevät tuttuja palveluita. Uhri ei näe siirtoa vaan pelkän allekirjoituspyynnön, jonka todellinen sisältö jää lompakko-ohjelman tekniseen tekstiin.

Toinen tapaus samalta kuulta

Vastaava isku osui aiemmin samassa kuussa toiseen haltijaan. Tämä menetti noin 1,65 miljoonaa dollaria yhdistettyään lompakkonsa väärennettyyn pörssiin ja allekirjoitettuaan haitallisen älysopimuksen.

– Hyväksyntä antoi hyökkääjille rajattoman käyttöoikeuden ja mahdollisti automaattisen tyhjennyksen, joka valutti varat, tutkija Ryan Coleman sanoo.

Kaava toistuu. Uhri altistuu haitalliselle hyväksynnälle, minkä jälkeen tyhjennys tapahtuu ilman lisävahvistuksia.

Näin suojaudut

Vanhat hyväksynnät kannattaa käydä läpi säännöllisesti. Aiemmin myönnetyt kulutusoikeudet jäävät voimaan, kunnes ne perutaan erikseen esimerkiksi revoke-työkalulla. Käyttäjä voi tarkistaa lompakkonsa aktiiviset hyväksynnät ja perua rajattomat oikeudet, joita mikään palvelu ei enää tarvitse.

Tuntematonta approval-pyyntöä ei pidä allekirjoittaa. Ennen allekirjoitusta on syytä tarkistaa, mitä oikeutta pyyntö todella myöntää ja onko raja rajaton. Epäselvässä tilanteessa pyynnön voi hylätä ja palata asiaan vasta, kun palvelun aitous on varmistettu.

Hyväksyntään perustuvat huijaukset ovat toistuva ilmiö, eivät yksittäistapaus. Viime vuonna phishing vei sadoilta uhreilta yhteensä satoja miljoonia dollareita, ja rajattomat hyväksynnät ovat näissä iskuissa yleisin väline. Lohkoketjussa allekirjoitettua hyväksyntää ei voi perua jälkikäteen ilman käyttäjän omaa toimenpidettä, joten vastuu jää lopulta hänelle itselleen.

LB
Lasse Braden

Päätoimittaja

Kryptolehti.fi:n päätoimittaja ja kryptovaluutta-analyytikko.

Lisää Kryptolehti suosikkilähteeksi Googlessa

Vaatii Google-tilille kirjautumisen.

Lue myös