Tutti gli articoli
Sicurezza dei walletContratti smartBEP20

Approvazioni dei token (Token Approval): come i wallet vengono svuotati e come revocare gli accessi

Guida pratica per capire le approvazioni dei token (Token Approval) nei contratti smart, come i contratti drainer svuotano i wallet, e i passaggi per controllare e revocare in sicurezza le autorizzazioni su reti come BEP20.

Team Paperino5 min di lettura

Ti è mai capitato di collegare il tuo wallet a un'app decentralizzata (dApp) con un semplice clic su "Approve", per poi dimenticartene completamente? Quell'istante fugace può restare aperto per anni, ed è uno dei modi più comuni con cui oggi i wallet vengono svuotati. In questa guida spieghiamo cos'è l'"approvazione del token" (Token Approval), come la sfruttano i truffatori e, soprattutto, come controllare e revocare tu stesso le tue autorizzazioni, passo dopo passo.

Cosa significa "approvazione del token" (Token Approval)?

Monete come USDT sulla rete BEP20 sono token: non si muovono da sole. Quando vuoi usarle in un'app decentralizzata — uno swap, un pool di liquidità o qualsiasi altro contratto smart — quel contratto ha bisogno di un permesso preventivo per prelevare il token dal tuo wallet. Questo permesso si chiama "Allowance", e lo concedi firmando una transazione "Approve".

Il problema è che l'impostazione predefinita in molte app richiede un'autorizzazione illimitata (Unlimited): in pratica "permetti a questo contratto di prelevare qualsiasi quantità di questo token, in qualsiasi momento, senza scadenza". Firmi una sola volta, ma la porta resta aperta finché non la chiudi tu stesso.

Firmare "Approve" non muove i tuoi fondi in quel preciso istante, ma consegna al contratto una chiave permanente. Il rischio non sta nell'importo di adesso, ma nell'autorizzazione che resta aperta dopo.

Come i contratti drainer svuotano i wallet?

I contratti drainer (Approval Drainers) non "violano" il tuo wallet: ti convincono a firmare tu stesso l'autorizzazione. Lo schema tipico è questo:

  1. Arrivi su un sito falso che imita una piattaforma nota, oppure ti attira un messaggio con una "ricompensa" o un "airdrop" gratuito.
  2. Il sito chiede di collegare il tuo wallet, poi mostra una finestra di firma che sembra di routine.
  3. In realtà quella firma concede un'autorizzazione illimitata su un token che possiedi (come USDT o il token nativo della rete).
  4. Non succede nulla di visibile, quindi pensi che il tentativo sia fallito e te ne vai.
  5. Dopo ore o giorni, l'attaccante esegue la funzione transferFrom e preleva il tuo saldo, tutto insieme o poco alla volta.

L'inganno più pericoloso riguarda le firme Permit e Permit2: una firma "off-chain" che non costa gas e non compare come transazione, ma che concede comunque un'autorizzazione completa. Per questo la richiesta può sembrare del tutto innocua.

Nessuna piattaforma seria ti chiederà mai di "firmare per ricevere una ricompensa" o di riattivare un account concedendo un'autorizzazione sui tuoi token. Qualsiasi richiesta di firma in cambio di denaro gratuito è un segnale d'allarme quasi certo.

Segnali d'allarme prima di firmare

  • Il sito ti è arrivato tramite un messaggio privato, un link sponsorizzato o un account di "supporto" che ti ha scritto per primo.
  • La finestra del wallet mostra la parola Approve o Permit per un token che non intendi scambiare adesso.
  • L'autorizzazione richiesta è illimitata, mentre ti servirebbe solo un importo minimo.
  • Il contratto beneficiario è un indirizzo sconosciuto, non verificato, che non compare come contratto noto sull'explorer della blockchain.
  • Pressione e urgenza artificiale: "l'offerta scade tra pochi minuti".

Come controllare e revocare le tue autorizzazioni?

La buona notizia è che le autorizzazioni si possono revocare in qualsiasi momento, e la procedura è semplice. L'idea è inviare una transazione che riporta a zero il limite consentito.

I passaggi pratici

  1. Apri uno strumento affidabile per il controllo delle autorizzazioni (Revoke Tool) tramite browser, assicurandoti di digitare tu stesso l'indirizzo del sito, non seguendo un link da un messaggio.
  2. Collega il tuo wallet, oppure — meglio ancora — incolla solo il tuo indirizzo pubblico per una visualizzazione senza connessione, ed esegui la revoca solo dopo aver verificato tutto.
  3. Scegli la rete corretta (ad esempio BNB Smart Chain per i token BEP20).
  4. Esamina l'elenco delle autorizzazioni: per ogni riga trovi il token, il contratto beneficiario e il limite consentito.
  5. Individua le autorizzazioni illimitate o i contratti che non riconosci, e premi "Revoke".
  6. Firma la transazione di revoca, paga la piccola commissione di gas e attendi la conferma.

Ogni revoca è una transazione on-chain e costa una piccola commissione di gas. Stabilisci le priorità: revoca prima le autorizzazioni illimitate sui token di maggior valore (USDT, token nativo della rete).

Metodi per controllare le autorizzazioni

MetodoCome funzionaNota
Strumento di revoca dedicatoMostra tutte le autorizzazioni e le revoca con un clicIl più veloce; verifica con attenzione l'indirizzo del sito
Explorer della blockchainSezione "Token Approvals" nell'explorer della reteAffidabile, dati diretti dalla catena
Il wallet stessoAlcuni wallet offrono una sezione autorizzazioni integrataComodo se disponibile nel tuo wallet

Abitudini che ti proteggono in futuro

  • Limita l'importo: quando firmi un "Approve", scegli un'autorizzazione pari a quanto ti serve davvero, non "illimitata", se l'app lo consente.
  • Controlla periodicamente: rivedi le tue autorizzazioni ogni poche settimane, e dopo ogni interazione con un nuovo sito.
  • Separa i tuoi wallet: un wallet "di prova" piccolo per interagire con siti nuovi, e un wallet "cassaforte" che non colleghi mai a nessuna dApp.
  • Leggi la finestra di firma: capisci il nome della funzione e il contratto beneficiario prima di premere; se non capisci, non firmare.
  • Diffida delle firme senza gas: una firma Permit può non costare commissioni, ma concede comunque un'autorizzazione completa.

Questo contenuto ha finalità puramente educativa per aumentare la tua consapevolezza in materia di sicurezza, e non costituisce consulenza finanziaria, legale o religiosa. Gli strumenti di revoca e i nomi delle reti cambiano nel tempo, quindi verifica sempre tu stesso le fonti ufficiali prima di collegare il tuo wallet o firmare. La responsabilità di proteggere le tue chiavi e le tue autorizzazioni ricade solo su di te.

In sintesi

L'approvazione del token è uno strumento indispensabile per le app decentralizzate, ma è anche la porta sul retro più sfruttata. La regola è semplice: concedi solo ciò di cui hai davvero bisogno, e revoca ciò che non usi più. Rendi il controllo delle autorizzazioni un'abitudine periodica, come fai con la pulizia del tuo wallet, e chiuderai ai truffatori le porte più larghe prima ancora che bussino. In Paperino crediamo che la sicurezza inizi dalla consapevolezza: un'unica revoca fatta oggi può proteggere l'intero tuo saldo domani.

Pronto ad attraversare?

Registrati, scegli la tua prima papera e inizia a incassare USDT.

Inizia ora

Articoli correlati

La fortuna aiuta gli audaci. Attraversa con coraggio: le ricompense sono reali.