OpenZeppelin 完成对 Argent Labs 的 yearly-approval-contract（专注 yearly_allowance.cairo Starknet 模块）的安全审计。审计涵盖 365 天周期内 ERC-20 周期性支出限额的津贴生命周期、支出执行与管理控制。共发现 6 个问题：0 关键、0 高危、0 中危、2 低危。1 个低危已修复，另 1 个被确认但未修；另有 4 条提示。

关键事实

• 2 个低危：缺失代币地址校验与额度竞态条件
• 代币地址校验问题被确认但未修；竞态条件通过文档说明缓解
• 合约执行年度支出上限，但依赖运营方与所有者信任假设
• 用户更新前应将额度归零，避免被运营方抢跑
• 撤销 ERC-20 授权但未禁用合约会导致后续转账失败