كل المقالات
أمان المحفظةالعقود الذكيةBEP20

صلاحيات العقود (Token Approval): كيف تُسرَق المحافظ وكيف تلغي الصلاحيات

دليل عملي لفهم صلاحيات العقود الذكية (Token Approval) وكيف تُفرِّغ عقود السرقة المحافظ، وخطوات مراجعة الصلاحيات وإلغائها بأمان على شبكات مثل BEP20.

فريق بابيرينو4 دقيقة قراءة

هل سبق أن ربطت محفظتك بموقع لامركزي (dApp) بضغطة واحدة اسمها "Approve"، ثم نسيت الأمر تمامًا؟ هذه اللحظة العابرة قد تبقى مفتوحة لسنوات، وهي واحدة من أكثر الطرق شيوعًا التي تُفرَّغ بها المحافظ اليوم. في هذا الدليل نشرح ما هي "صلاحية العقد" (Token Approval)، وكيف يستغلها المحتالون، والأهم: كيف تراجع صلاحياتك وتلغيها بنفسك خطوة بخطوة.

ما معنى "صلاحية العقد" (Token Approval)؟

عملات مثل USDT على شبكة BEP20 هي عملات من نوع الرموز (Tokens)، لا تتحرك تلقائيًا. عندما تريد استخدامها في تطبيق لامركزي — مبادلة، سيولة، أو أي عقد ذكي — يحتاج ذلك العقد إلى إذن مسبق بسحب الرمز من محفظتك. هذا الإذن اسمه "Allowance"، وأنت تمنحه عبر معاملة "Approve".

المشكلة أن الإعداد الافتراضي في كثير من التطبيقات يطلب صلاحية غير محدودة (Unlimited)، أي: "اسمح لهذا العقد بسحب أي كمية من هذا الرمز، في أي وقت، إلى ما لا نهاية". أنت توقّع مرة واحدة، لكن الباب يبقى مفتوحًا حتى تغلقه بنفسك.

التوقيع على "Approve" لا يحرّك أموالك في تلك اللحظة، لكنه يمنح العقد مفتاحًا دائمًا. الخطر ليس في المبلغ الآن، بل في الصلاحية المفتوحة لاحقًا.

كيف تُفرِّغ عقود السرقة المحافظ؟

عقود السرقة (Approval Drainers) لا "تخترق" محفظتك، بل تخدعك لتوقّع الإذن بنفسك. السيناريو المعتاد:

  1. تصل إلى موقع مزيّف يشبه منصة معروفة، أو تُغريك رسالة بـ"مكافأة" أو "توزيع مجاني" (Airdrop).
  2. يطلب الموقع الاتصال بمحفظتك، ثم يعرض نافذة توقيع تبدو روتينية.
  3. التوقيع في الحقيقة هو منح صلاحية غير محدودة على رمز تملكه (مثل USDT أو رمز شبكة).
  4. لا يحدث شيء ظاهري، فتظن أن الأمر فشل وتغادر.
  5. بعد ساعات أو أيام، ينفّذ المهاجم دالة transferFrom ويسحب رصيدك دفعةً واحدة أو تدريجيًا.

الخداع الأخطر هو توقيعات Permit وPermit2: توقيع "خارج السلسلة" لا يكلّفك رسوم غاز ولا يظهر كمعاملة، لكنه يمنح صلاحية كاملة. لهذا قد يبدو الطلب بريئًا تمامًا.

لا توجد منصة جادة تطلب منك "توقيع مكافأة" أو إعادة تفعيل حساب عبر منح صلاحية على رموزك. أي طلب توقيع مقابل مال مجاني هو إشارة خطر شبه مؤكدة.

علامات إنذار قبل التوقيع

  • الموقع وصلك عبر رسالة خاصة أو رابط مدفوع أو حساب "دعم" راسلك أولًا.
  • نافذة المحفظة تعرض كلمة Approve أو Permit لرمز لا تنوي مبادلته الآن.
  • الصلاحية المطلوبة غير محدودة بينما تحتاج مبلغًا صغيرًا فقط.
  • العقد المستفيد عنوان غريب غير موثّق ولا يظهر في مستكشف البلوكتشين كعقد معروف.
  • إلحاح وضغط زمني: "العرض ينتهي خلال دقائق".

كيف تراجع صلاحياتك وتلغيها؟

الخبر الجيد أن الصلاحيات قابلة للإلغاء في أي وقت، والإلغاء بسيط. الفكرة أنك تُرسل معاملة تعيد الحد المسموح إلى صفر.

الخطوات العملية

  1. افتح أداة موثوقة لمراجعة الصلاحيات (Revoke Tool) عبر متصفح، وتأكد من كتابة العنوان يدويًا لا من رابط في رسالة.
  2. اربط محفظتك، أو الأفضل: الصق عنوانك العام فقط للعرض دون اتصال، ثم نفّذ الإلغاء بعد التأكد.
  3. اختر الشبكة الصحيحة (مثل BNB Smart Chain لرموز BEP20).
  4. راجع قائمة الصلاحيات: لكل صف رمز، عقد مستفيد، وحد مسموح.
  5. ابحث عن الصلاحيات غير المحدودة أو عقود لا تعرفها، واضغط "Revoke".
  6. وقّع معاملة الإلغاء وادفع رسوم الغاز البسيطة، وانتظر تأكيدها.

كل إلغاء معاملة على السلسلة تكلّف رسوم غاز صغيرة. رتّب حسب الأولوية: ألغِ أولًا الصلاحيات غير المحدودة على الرموز ذات القيمة (USDT، رموز الشبكة).

طرق مراجعة الصلاحيات

الطريقةكيف تعململاحظة
أداة إلغاء متخصصةتعرض كل الصلاحيات وتلغيها بضغطةالأسرع؛ تحقّق من عنوان الموقع بدقة
مستكشف البلوكتشينتبويب "Token Approvals" في مستكشف الشبكةموثوق ومباشر من بيانات السلسلة
المحفظة نفسهابعض المحافظ توفّر قسم صلاحيات مدمجًاعملي إن كان متاحًا في محفظتك

عادات تحميك مستقبلًا

  • حدّد المبلغ: عند أي "Approve"، اختر صلاحية بمقدار حاجتك لا "غير محدودة" إن سمح التطبيق.
  • راجع دوريًا: افحص صلاحياتك كل بضعة أسابيع، وبعد أي تفاعل مع موقع جديد.
  • افصل محافظك: محفظة "تجريبية" صغيرة للتفاعل مع مواقع جديدة، ومحفظة "خزنة" لا تربطها بأي dApp.
  • اقرأ نافذة التوقيع: افهم اسم الدالة والعقد المستفيد قبل الضغط؛ إن لم تفهم، لا توقّع.
  • احذر التوقيعات بلا غاز: توقيع Permit قد يكون بلا رسوم لكنه صلاحية كاملة.

هذا المحتوى تعليمي لرفع وعيك الأمني فقط، وليس نصيحة مالية أو قانونية أو شرعية. أدوات الإلغاء وأسماء الشبكات تتغيّر، فتحقّق دائمًا من المصادر الرسمية بنفسك قبل ربط محفظتك أو التوقيع. مسؤولية حماية مفاتيحك وصلاحياتك تقع عليك وحدك.

الخلاصة

صلاحية العقد أداة ضرورية للتطبيقات اللامركزية، لكنها أيضًا الباب الخلفي الأكثر استغلالًا. القاعدة بسيطة: لا تمنح إلا ما تحتاجه، وألغِ ما لم تعد تستخدمه. اجعل مراجعة الصلاحيات عادة دورية كتنظيف محفظتك، وستغلق على المحتالين أوسع أبوابهم قبل أن يطرقوها. في بابيرينو نؤمن أن الأمان يبدأ بالوعي: خطوة إلغاء واحدة اليوم قد تحمي رصيدك بالكامل غدًا.

جاهز للعبور؟

سجّل، خُذ أول بطّة لك، وابدأ بكسب الـUSDT.

ابدأ الآن

مقالات ذات صلة

الأرباح حقيقية — اعبر واجمعها، وتصير لك.