همه مقالات
امنیت کیف‌پولقراردادهای هوشمندBEP20

مجوز توکن (Token Approval): چگونه کیف‌پول‌ها خالی می‌شوند و چطور دسترسی را لغو کنیم

راهنمای کاربردی برای درک مجوز توکن (Token Approval)، شیوه‌ای که قراردادهای مخرب با آن کیف‌پول‌ها را خالی می‌کنند، و مراحل بررسی و لغو ایمن این مجوزها در شبکه‌هایی مانند BEP20.

تیم پاپرینو5 دقیقه مطالعه

آیا تا به حال با یک کلیک روی دکمه‌ی «Approve» کیف‌پولتان را به یک اپلیکیشن غیرمتمرکز (dApp) وصل کرده‌اید و بعد کاملاً فراموشش کرده‌اید؟ همین لحظه‌ی گذرا ممکن است سال‌ها باز بماند، و این یکی از رایج‌ترین روش‌هایی است که امروز کیف‌پول‌ها را خالی می‌کند. در این راهنما توضیح می‌دهیم «مجوز توکن» (Token Approval) دقیقاً چیست، کلاهبرداران چگونه از آن سوءاستفاده می‌کنند و از همه مهم‌تر، چطور خودتان مجوزهای خود را قدم‌به‌قدم بررسی و لغو کنید.

مجوز توکن (Token Approval) یعنی چه؟

ارزهایی مثل USDT روی شبکه‌ی BEP20 نوعی توکن هستند و خودبه‌خود جابه‌جا نمی‌شوند. وقتی می‌خواهید از آن‌ها در یک اپلیکیشن غیرمتمرکز استفاده کنید — چه سواپ، چه تأمین نقدینگی، چه هر قرارداد هوشمند دیگری — آن قرارداد باید از قبل اجازه‌ی برداشت توکن از کیف‌پول شما را داشته باشد. این اجازه «Allowance» نام دارد و شما آن را از طریق یک تراکنش «Approve» اعطا می‌کنید.

مشکل اینجاست که تنظیم پیش‌فرض در بسیاری از اپلیکیشن‌ها درخواست مجوز نامحدود (Unlimited) است؛ یعنی: «به این قرارداد اجازه بده هر مقدار از این توکن را، هر زمان که خواست، تا ابد برداشت کند». شما فقط یک‌بار امضا می‌کنید، اما این در باز می‌ماند تا خودتان آن را ببندید.

امضای «Approve» در همان لحظه پولی جابه‌جا نمی‌کند، اما یک کلید دائمی در اختیار قرارداد می‌گذارد. خطر در مبلغ همین الان نیست، بلکه در مجوزی است که برای بعد باز می‌ماند.

قراردادهای سارق چگونه کیف‌پول‌ها را خالی می‌کنند؟

قراردادهای سارق (Approval Drainers) کیف‌پول شما را «هک» نمی‌کنند، بلکه شما را فریب می‌دهند تا خودتان آن مجوز را امضا کنید. سناریوی معمول این‌طور پیش می‌رود:

۱. به سایتی جعلی می‌رسید که شبیه یک پلتفرم معروف است، یا با پیامی درباره‌ی «جایزه» یا «توزیع رایگان» (Airdrop) وسوسه می‌شوید. ۲. سایت درخواست اتصال به کیف‌پول شما را می‌دهد و سپس پنجره‌ای برای امضا نشان می‌دهد که کاملاً عادی به نظر می‌رسد. ۳. آن امضا در واقع اعطای مجوز نامحدود روی توکنی است که در اختیار دارید (مثل USDT یا توکن شبکه). ۴. هیچ اتفاق قابل‌مشاهده‌ای رخ نمی‌دهد، پس فکر می‌کنید کار انجام نشده و سایت را ترک می‌کنید. ۵. ساعت‌ها یا روزها بعد، مهاجم تابع transferFrom را اجرا و موجودی شما را یک‌جا یا به‌تدریج برداشت می‌کند.

فریبنده‌ترین حالت، امضاهای Permit و Permit2 هستند: امضایی «خارج از زنجیره» که هیچ کارمزد گس ندارد و به‌عنوان تراکنش هم دیده نمی‌شود، اما مجوزی کامل اعطا می‌کند. به همین دلیل درخواست ممکن است کاملاً بی‌خطر به نظر برسد.

هیچ پلتفرم معتبری از شما نمی‌خواهد برای «دریافت جایزه» امضا کنید یا با اعطای مجوز روی توکن‌هایتان حساب خود را فعال‌سازی مجدد کنید. هر درخواست امضا در ازای پول رایگان تقریباً همیشه یک هشدار جدی است.

نشانه‌های هشدار پیش از امضا

  • سایت از طریق پیام خصوصی، تبلیغ پولی، یا حسابی به‌عنوان «پشتیبانی» که ابتدا با شما تماس گرفته به دستتان رسیده است.
  • پنجره‌ی کیف‌پول واژه‌ی Approve یا Permit را برای توکنی نشان می‌دهد که قصد سواپ آن را در حال حاضر ندارید.
  • مجوز درخواستی نامحدود است در حالی که شما فقط به مبلغی کوچک نیاز دارید.
  • قرارداد ذی‌نفع آدرسی ناآشنا و تأییدنشده است و در کاوشگر بلاک‌چین به‌عنوان یک قرارداد شناخته‌شده ظاهر نمی‌شود.
  • فشار و عجله‌ی زمانی وجود دارد: «این پیشنهاد ظرف چند دقیقه تمام می‌شود».

چگونه مجوزهایتان را بررسی و لغو کنید؟

خبر خوب این است که مجوزها را می‌توان هر زمان لغو کرد و این کار ساده است. ایده این است که تراکنشی می‌فرستید که سقف مجاز را به صفر برمی‌گرداند.

مراحل عملی

۱. یک ابزار معتبر برای بررسی مجوزها (Revoke Tool) را در مرورگر باز کنید و آدرس آن را خودتان تایپ کنید، نه از روی لینکی در یک پیام. ۲. کیف‌پول خود را وصل کنید، یا بهتر: فقط آدرس عمومی خود را برای مشاهده بدون اتصال وارد کنید و پس از اطمینان، عملیات لغو را انجام دهید. ۳. شبکه‌ی درست را انتخاب کنید (مثلاً BNB Smart Chain برای توکن‌های BEP20). ۴. فهرست مجوزها را بررسی کنید: هر ردیف شامل توکن، قرارداد ذی‌نفع و سقف مجاز است. ۵. دنبال مجوزهای نامحدود یا قراردادهایی که نمی‌شناسید بگردید و روی «Revoke» بزنید. ۶. تراکنش لغو را امضا کنید، کارمزد گس اندکی بپردازید و منتظر تأیید بمانید.

هر تراکنش لغو روی زنجیره کارمزد گس کوچکی دارد. اولویت‌بندی کنید: ابتدا مجوزهای نامحدود روی توکن‌های باارزش (USDT، توکن‌های شبکه) را لغو کنید.

روش‌های بررسی مجوزها

روشنحوه‌ی کارکردنکته
ابزار تخصصی لغو مجوزهمه‌ی مجوزها را نشان می‌دهد و با یک کلیک لغو می‌کندسریع‌ترین روش؛ آدرس سایت را دقیق بررسی کنید
کاوشگر بلاک‌چینتب «Token Approvals» در کاوشگر شبکهمعتبر و مستقیماً برگرفته از داده‌های زنجیره
خود کیف‌پولبرخی کیف‌پول‌ها بخش مدیریت مجوز داخلی دارنداگر کیف‌پول شما این قابلیت را دارد، عملی است

عادت‌هایی که آینده‌ی شما را حفظ می‌کنند

  • مبلغ را مشخص کنید: در هر «Approve»، اگر اپلیکیشن اجازه می‌دهد، مجوزی به‌اندازه‌ی نیاز واقعی خود انتخاب کنید، نه «نامحدود».
  • دوره‌ای بررسی کنید: هر چند هفته یک‌بار، و بعد از هر تعامل با یک سایت جدید، مجوزهایتان را چک کنید.
  • کیف‌پول‌هایتان را جدا کنید: یک کیف‌پول کوچک «آزمایشی» برای تعامل با سایت‌های جدید، و یک کیف‌پول «خزانه» که به هیچ dApp‌ای وصل نمی‌کنید.
  • پنجره‌ی امضا را بخوانید: پیش از کلیک، نام تابع و قرارداد ذی‌نفع را بفهمید؛ اگر متوجه نشدید، امضا نکنید.
  • مراقب امضاهای بدون گس باشید: امضای Permit ممکن است کارمزدی نداشته باشد، اما همچنان مجوزی کامل اعطا می‌کند.

این محتوا صرفاً برای افزایش آگاهی امنیتی شماست و توصیه‌ی مالی، حقوقی یا شرعی محسوب نمی‌شود. ابزارهای لغو مجوز و نام شبکه‌ها ممکن است تغییر کنند، پس همیشه پیش از اتصال کیف‌پول یا امضا کردن، خودتان از منابع رسمی مطمئن شوید. مسئولیت حفاظت از کلیدهای خصوصی و مجوزهایتان تنها بر عهده‌ی خود شماست.

جمع‌بندی

مجوز توکن ابزاری ضروری برای اپلیکیشن‌های غیرمتمرکز است، اما در عین حال پرکاربردترین در پشتی برای سوءاستفاده هم هست. قاعده ساده است: فقط به اندازه‌ی نیازتان مجوز بدهید و آنچه را دیگر استفاده نمی‌کنید لغو کنید. بررسی مجوزها را مثل نظافت دوره‌ای کیف‌پول به یک عادت تبدیل کنید تا بزرگ‌ترین درهای ورود کلاهبرداران را پیش از آنکه بکوبند ببندید. ما در پاپرینو معتقدیم امنیت با آگاهی آغاز می‌شود: یک لغو مجوز امروز می‌تواند فردا تمام موجودی شما را حفظ کند.

آماده عبور هستید؟

ثبت‌نام کنید، اولین اردک خود را بگیرید و کسب USDT را شروع کنید.

شروع کنید

مقالات مرتبط

بخت یار دلیران است. شجاعانه عبور کنید — پاداش‌ها واقعی‌اند.