مجوز توکن (Token Approval): چگونه کیفپولها خالی میشوند و چطور دسترسی را لغو کنیم
راهنمای کاربردی برای درک مجوز توکن (Token Approval)، شیوهای که قراردادهای مخرب با آن کیفپولها را خالی میکنند، و مراحل بررسی و لغو ایمن این مجوزها در شبکههایی مانند BEP20.
آیا تا به حال با یک کلیک روی دکمهی «Approve» کیفپولتان را به یک اپلیکیشن غیرمتمرکز (dApp) وصل کردهاید و بعد کاملاً فراموشش کردهاید؟ همین لحظهی گذرا ممکن است سالها باز بماند، و این یکی از رایجترین روشهایی است که امروز کیفپولها را خالی میکند. در این راهنما توضیح میدهیم «مجوز توکن» (Token Approval) دقیقاً چیست، کلاهبرداران چگونه از آن سوءاستفاده میکنند و از همه مهمتر، چطور خودتان مجوزهای خود را قدمبهقدم بررسی و لغو کنید.
مجوز توکن (Token Approval) یعنی چه؟
ارزهایی مثل USDT روی شبکهی BEP20 نوعی توکن هستند و خودبهخود جابهجا نمیشوند. وقتی میخواهید از آنها در یک اپلیکیشن غیرمتمرکز استفاده کنید — چه سواپ، چه تأمین نقدینگی، چه هر قرارداد هوشمند دیگری — آن قرارداد باید از قبل اجازهی برداشت توکن از کیفپول شما را داشته باشد. این اجازه «Allowance» نام دارد و شما آن را از طریق یک تراکنش «Approve» اعطا میکنید.
مشکل اینجاست که تنظیم پیشفرض در بسیاری از اپلیکیشنها درخواست مجوز نامحدود (Unlimited) است؛ یعنی: «به این قرارداد اجازه بده هر مقدار از این توکن را، هر زمان که خواست، تا ابد برداشت کند». شما فقط یکبار امضا میکنید، اما این در باز میماند تا خودتان آن را ببندید.
امضای «Approve» در همان لحظه پولی جابهجا نمیکند، اما یک کلید دائمی در اختیار قرارداد میگذارد. خطر در مبلغ همین الان نیست، بلکه در مجوزی است که برای بعد باز میماند.
قراردادهای سارق چگونه کیفپولها را خالی میکنند؟
قراردادهای سارق (Approval Drainers) کیفپول شما را «هک» نمیکنند، بلکه شما را فریب میدهند تا خودتان آن مجوز را امضا کنید. سناریوی معمول اینطور پیش میرود:
۱. به سایتی جعلی میرسید که شبیه یک پلتفرم معروف است، یا با پیامی دربارهی «جایزه» یا «توزیع رایگان» (Airdrop) وسوسه میشوید.
۲. سایت درخواست اتصال به کیفپول شما را میدهد و سپس پنجرهای برای امضا نشان میدهد که کاملاً عادی به نظر میرسد.
۳. آن امضا در واقع اعطای مجوز نامحدود روی توکنی است که در اختیار دارید (مثل USDT یا توکن شبکه).
۴. هیچ اتفاق قابلمشاهدهای رخ نمیدهد، پس فکر میکنید کار انجام نشده و سایت را ترک میکنید.
۵. ساعتها یا روزها بعد، مهاجم تابع transferFrom را اجرا و موجودی شما را یکجا یا بهتدریج برداشت میکند.
فریبندهترین حالت، امضاهای Permit و Permit2 هستند: امضایی «خارج از زنجیره» که هیچ کارمزد گس ندارد و بهعنوان تراکنش هم دیده نمیشود، اما مجوزی کامل اعطا میکند. به همین دلیل درخواست ممکن است کاملاً بیخطر به نظر برسد.
هیچ پلتفرم معتبری از شما نمیخواهد برای «دریافت جایزه» امضا کنید یا با اعطای مجوز روی توکنهایتان حساب خود را فعالسازی مجدد کنید. هر درخواست امضا در ازای پول رایگان تقریباً همیشه یک هشدار جدی است.
نشانههای هشدار پیش از امضا
- سایت از طریق پیام خصوصی، تبلیغ پولی، یا حسابی بهعنوان «پشتیبانی» که ابتدا با شما تماس گرفته به دستتان رسیده است.
- پنجرهی کیفپول واژهی
ApproveیاPermitرا برای توکنی نشان میدهد که قصد سواپ آن را در حال حاضر ندارید. - مجوز درخواستی نامحدود است در حالی که شما فقط به مبلغی کوچک نیاز دارید.
- قرارداد ذینفع آدرسی ناآشنا و تأییدنشده است و در کاوشگر بلاکچین بهعنوان یک قرارداد شناختهشده ظاهر نمیشود.
- فشار و عجلهی زمانی وجود دارد: «این پیشنهاد ظرف چند دقیقه تمام میشود».
چگونه مجوزهایتان را بررسی و لغو کنید؟
خبر خوب این است که مجوزها را میتوان هر زمان لغو کرد و این کار ساده است. ایده این است که تراکنشی میفرستید که سقف مجاز را به صفر برمیگرداند.
مراحل عملی
۱. یک ابزار معتبر برای بررسی مجوزها (Revoke Tool) را در مرورگر باز کنید و آدرس آن را خودتان تایپ کنید، نه از روی لینکی در یک پیام. ۲. کیفپول خود را وصل کنید، یا بهتر: فقط آدرس عمومی خود را برای مشاهده بدون اتصال وارد کنید و پس از اطمینان، عملیات لغو را انجام دهید. ۳. شبکهی درست را انتخاب کنید (مثلاً BNB Smart Chain برای توکنهای BEP20). ۴. فهرست مجوزها را بررسی کنید: هر ردیف شامل توکن، قرارداد ذینفع و سقف مجاز است. ۵. دنبال مجوزهای نامحدود یا قراردادهایی که نمیشناسید بگردید و روی «Revoke» بزنید. ۶. تراکنش لغو را امضا کنید، کارمزد گس اندکی بپردازید و منتظر تأیید بمانید.
هر تراکنش لغو روی زنجیره کارمزد گس کوچکی دارد. اولویتبندی کنید: ابتدا مجوزهای نامحدود روی توکنهای باارزش (USDT، توکنهای شبکه) را لغو کنید.
روشهای بررسی مجوزها
| روش | نحوهی کارکرد | نکته |
|---|---|---|
| ابزار تخصصی لغو مجوز | همهی مجوزها را نشان میدهد و با یک کلیک لغو میکند | سریعترین روش؛ آدرس سایت را دقیق بررسی کنید |
| کاوشگر بلاکچین | تب «Token Approvals» در کاوشگر شبکه | معتبر و مستقیماً برگرفته از دادههای زنجیره |
| خود کیفپول | برخی کیفپولها بخش مدیریت مجوز داخلی دارند | اگر کیفپول شما این قابلیت را دارد، عملی است |
عادتهایی که آیندهی شما را حفظ میکنند
- مبلغ را مشخص کنید: در هر «Approve»، اگر اپلیکیشن اجازه میدهد، مجوزی بهاندازهی نیاز واقعی خود انتخاب کنید، نه «نامحدود».
- دورهای بررسی کنید: هر چند هفته یکبار، و بعد از هر تعامل با یک سایت جدید، مجوزهایتان را چک کنید.
- کیفپولهایتان را جدا کنید: یک کیفپول کوچک «آزمایشی» برای تعامل با سایتهای جدید، و یک کیفپول «خزانه» که به هیچ dAppای وصل نمیکنید.
- پنجرهی امضا را بخوانید: پیش از کلیک، نام تابع و قرارداد ذینفع را بفهمید؛ اگر متوجه نشدید، امضا نکنید.
- مراقب امضاهای بدون گس باشید: امضای
Permitممکن است کارمزدی نداشته باشد، اما همچنان مجوزی کامل اعطا میکند.
این محتوا صرفاً برای افزایش آگاهی امنیتی شماست و توصیهی مالی، حقوقی یا شرعی محسوب نمیشود. ابزارهای لغو مجوز و نام شبکهها ممکن است تغییر کنند، پس همیشه پیش از اتصال کیفپول یا امضا کردن، خودتان از منابع رسمی مطمئن شوید. مسئولیت حفاظت از کلیدهای خصوصی و مجوزهایتان تنها بر عهدهی خود شماست.
جمعبندی
مجوز توکن ابزاری ضروری برای اپلیکیشنهای غیرمتمرکز است، اما در عین حال پرکاربردترین در پشتی برای سوءاستفاده هم هست. قاعده ساده است: فقط به اندازهی نیازتان مجوز بدهید و آنچه را دیگر استفاده نمیکنید لغو کنید. بررسی مجوزها را مثل نظافت دورهای کیفپول به یک عادت تبدیل کنید تا بزرگترین درهای ورود کلاهبرداران را پیش از آنکه بکوبند ببندید. ما در پاپرینو معتقدیم امنیت با آگاهی آغاز میشود: یک لغو مجوز امروز میتواند فردا تمام موجودی شما را حفظ کند.
مقالات مرتبط
بخت یار دلیران است. شجاعانه عبور کنید — پاداشها واقعیاند.