TokenPocket Approve UI PoC

安全测试页：构造 BSC 主网 USDT 弹窗。approve 的 spender 固定为当前钱包，transfer 的收款地址也固定为当前钱包。

测试目标

网络

BSC Mainnet / Chain ID 56

RPC

Token

USDT 0x55d398326f99059ff775485246999027b3197955

Approve 测试

approve(self, uint256.max) / 显示 0

Transfer 测试

transfer(self, 1 USDT) / 显示 1 USDT

这个 PoC 只用于截图提交漏洞报告。点击按钮只打开钱包确认弹窗，请在钱包里拒绝交易。即使误提交，spender 也是当前钱包地址本身，不会授权给第三方。

我确认只测试钱包弹窗，并会在 TokenPocket 里拒绝这笔交易。

先连接钱包，再尝试添加/切换到本页 RPC。如果 TP 不允许覆盖 BSC 主网 RPC，可以手动添加同样的 RPC 地址后再回到页面测试。

当前钱包

未连接

spender / recipient

连接后等于当前钱包地址

连接钱包后生成 calldata。