その夜、相場は特に動きがなく、私は暇だったのでいくつかの放置していたコインをある担保プロトコルに預けて少しでも利益を得ようと思った。アプリを開き、預金を選択すると、ウォレットのポップアップが出てきた——画面にはボタンが一つだけ：Approve。

私の指はそこで一瞬止まった。何を承認するのか？画面は問題なさそうだが、このボタンはいつも空白の小切手に署名しているような気がしてならない。その一瞬の躊躇は、実はほとんどのウォレットのリスクの根源に触れている。

DeFiで担保、借入、またはステーキングを行う場合、その流れはこうだ：トークンをプロトコルにロックしたいが、直接送金するのではなく、まずスマートコントラクトに権限を与える——条件が満たされたときにあなたのウォレットからトークンを引き出せるようにする。これを業界ではAllowance、つまり許可額と呼ぶ。例えば、ある担保採掘プロジェクトに参加し、担保資産を使ってステーブルコインを生成し、そのステーブルコインをステーキングして利益を得る場合、最初にそのプロトコルのコントラクトに権限を付与し、あなたの担保品を動かせるようにしなければならない。

ここで見落としがちな細かい点がある：ほぼすべての主流トークン——ステーブルコイン、大部分のアルトコイン、クロスチェーンのラップトークン——はERC-20規格に従っており、この承認ステップを経る必要がある。ETHのようなネイティブチェーンのコインだけが通常これを回避できる。だから、あなたはすでに多くの承認を済ませているかもしれないが、特に気にしていなかっただけだ。

さらに悪いことに、多くのウォレットはデフォルトで無制限の許可額を設定している——まるで鍵を渡すようなもので、しかも永久に有効だ。これは一度コントラクトがハッキングされたり、攻撃を受けたりした場合、あなたの資産が無制限に引き出されるリスクを伴う。