Token onayları: cüzdanlar nasıl boşaltılır ve yetkiler nasıl iptal edilir
Token onaylarının (Token Approval) ne olduğunu, kötü amaçlı sözleşmelerin cüzdanları nasıl boşalttığını ve BEP20 gibi ağlarda onayların nasıl güvenle gözden geçirilip iptal edileceğini anlatan pratik bir rehber.
Cüzdanınızı bir dApp'e "Approve" adlı tek bir tıkla bağlayıp sonra tamamen unuttuğunuz oldu mu? Bu geçici an yıllarca açık kalabilir ve bugün cüzdanların boşaltılmasının en yaygın yollarından biridir. Bu rehberde "token onayı" (Token Approval) nedir, dolandırıcılar bunu nasıl kullanır ve en önemlisi, onaylarınızı kendiniz nasıl adım adım gözden geçirip iptal edersiniz, açıklıyoruz.
"Token onayı" (Token Approval) ne anlama gelir?
BEP20 ağındaki USDT gibi paralar kendi kendine hareket etmeyen token'lardır. Onları merkeziyetsiz bir uygulamada kullanmak istediğinizde — bir takas, bir likidite havuzu veya herhangi bir akıllı sözleşme — o sözleşmenin cüzdanınızdan token çekmek için önceden izne ihtiyacı vardır. Bu izne "allowance" denir ve bunu bir "Approve" işlemiyle verirsiniz.
Sorun şu ki birçok uygulamada varsayılan ayar sınırsız (Unlimited) bir yetki istiyor: yani "bu sözleşmeye, bu token'dan istediği miktarı, istediği zaman, sonsuza kadar çekme izni ver". Siz bir kez imzalarsınız, ama kapı siz kendiniz kapatana kadar açık kalır.
"Approve" imzalamak o anda paranızı hareket ettirmez, ama sözleşmeye kalıcı bir anahtar verir. Tehlike şu anki miktarda değil, ileride kullanılabilecek açık yetkidedir.
Kötü amaçlı sözleşmeler (drainer) cüzdanları nasıl boşaltır?
Drainer sözleşmeleri cüzdanınızı "hacklemez"; sizi izni kendi elinizle imzalamanız için kandırır. Tipik senaryo şöyledir:
- Bilinen bir platforma benzeyen sahte bir siteye ulaşırsınız ya da bir mesaj sizi "ödül" veya "airdrop" ile cezbeder.
- Site cüzdanınızı bağlamanızı ister, ardından sıradan görünen bir imza penceresi gösterir.
- Bu imza aslında sahip olduğunuz bir token üzerinde (USDT veya ağın kendi token'ı gibi) sınırsız bir onay veriyordur.
- Gözle görülür bir şey olmaz, siz de işlemin başarısız olduğunu düşünüp uzaklaşırsınız.
- Saatler veya günler sonra saldırgan
transferFromfonksiyonunu çağırır ve bakiyenizi tek seferde veya kademeli olarak çeker.
En tehlikeli tuzak Permit ve Permit2 imzalarıdır: gas ücreti gerektirmeyen ve işlem olarak görünmeyen bir "zincir dışı" (off-chain) imza, yine de tam yetki verir. Bu yüzden istek son derece masum görünebilir.
Hiçbir ciddi platform sizden "ödül için imza atmanızı" ya da token'larınız üzerinde yetki vererek hesabınızı yeniden aktive etmenizi istemez. Bedava para karşılığında imza isteyen her talep neredeyse kesin bir alarm işaretidir.
İmzalamadan önce uyarı işaretleri
- Site size özel bir mesaj, ücretli bir reklam veya size önce yazan bir "destek" hesabı üzerinden ulaştı.
- Cüzdan penceresi, şu an takas etmeyi düşünmediğiniz bir token için
ApproveveyaPermitgösteriyor. - Talep edilen yetki sınırsız, oysa sizin ihtiyacınız olan yalnızca küçük bir miktar.
- Yararlanan sözleşme adresi tanımadığınız, doğrulanmamış ve bir blockchain gezgininde bilinen bir sözleşme olarak görünmeyen bir adres.
- Aciliyet ve zaman baskısı: "Teklif birkaç dakika içinde sona eriyor."
Onaylarınızı nasıl gözden geçirir ve iptal edersiniz?
İyi haber şu ki onaylar istediğiniz zaman iptal edilebilir ve iptal işlemi basittir. Fikir, izin verilen limiti sıfıra döndüren bir işlem göndermenizdir.
Pratik adımlar
- Tarayıcınızdan güvenilir bir onay gözden geçirme (Revoke) aracı açın ve adresi bir mesajdaki bağlantıdan değil, kendiniz yazarak girin.
- Cüzdanınızı bağlayın ya da daha iyisi: yalnızca genel adresinizi yapıştırarak bağlantı kurmadan görüntüleyin, her şeyi doğruladıktan sonra iptali gerçekleştirin.
- Doğru ağı seçin (örneğin BEP20 token'ları için BNB Smart Chain).
- Onay listesini inceleyin: her satırda bir token, yararlanan sözleşme ve izin verilen limit görünür.
- Sınırsız yetkileri veya tanımadığınız sözleşmeleri arayın ve "Revoke" düğmesine tıklayın.
- İptal işlemini imzalayın, küçük gas ücretini ödeyin ve onaylanmasını bekleyin.
Zincir üzerindeki her iptal işlemi küçük bir gas ücreti gerektirir. Önceliklendirin: önce en değerli token'lardaki (USDT, ağ token'ları) sınırsız yetkileri iptal edin.
Onaylarınızı gözden geçirme yöntemleri
| Yöntem | Nasıl çalışır | Not |
|---|---|---|
| Özel iptal (revoke) aracı | Tüm onaylarınızı gösterir ve tek tıkla iptal eder | En hızlısı; sitenin adresini dikkatle kontrol edin |
| Blockchain gezgini | Ağ gezgininde "Token Approvals" sekmesi | Güvenilir ve doğrudan zincir verisinden |
| Cüzdanın kendisi | Bazı cüzdanlarda yerleşik bir onaylar bölümü bulunur | Cüzdanınızda varsa pratik bir seçenek |
Sizi gelecekte koruyacak alışkanlıklar
- Miktarı belirleyin: herhangi bir "Approve" işleminde, uygulama izin veriyorsa "sınırsız" yerine ihtiyacınız kadar bir yetki seçin.
- Düzenli olarak gözden geçirin: onaylarınızı birkaç haftada bir ve yeni bir siteyle her etkileşiminizden sonra kontrol edin.
- Cüzdanlarınızı ayırın: yeni sitelerle etkileşim için küçük bir "deneme" cüzdanı, hiçbir dApp'e bağlamadığınız bir "kasa" cüzdanı bulundurun.
- İmza penceresini okuyun: tıklamadan önce fonksiyon adını ve yararlanan sözleşmeyi anlayın; anlamıyorsanız imzalamayın.
- Gas ücretsiz imzalara dikkat edin: bir
Permitimzası ücretsiz olabilir ama yine de tam yetki verir.
Bu içerik yalnızca güvenlik farkındalığınızı artırmaya yönelik eğitim amaçlıdır; finansal, hukuki veya dini bir tavsiye değildir. İptal araçları ve ağ isimleri zamanla değişebilir, bu yüzden cüzdanınızı bağlamadan veya herhangi bir şey imzalamadan önce her zaman resmi kaynakları kendiniz doğrulayın. Anahtarlarınızı ve yetkilerinizi koruma sorumluluğu yalnızca size aittir.
Sonuç
Token onayı, merkeziyetsiz uygulamalar için gerekli bir araçtır, ama aynı zamanda en çok istismar edilen arka kapıdır. Kural basittir: yalnızca ihtiyacınız olanı verin, artık kullanmadığınızı iptal edin. Onaylarınızı gözden geçirmeyi, cüzdanınızı düzenli tutmak gibi bir alışkanlık haline getirin; böylece dolandırıcıların en çok güvendiği kapıyı, onlar daha kapıyı çalmadan kapatmış olursunuz. Paperino'da güvenliğin farkındalıkla başladığına inanıyoruz: bugün yapacağınız tek bir iptal, yarın tüm bakiyenizi koruyabilir.
İlgili makaleler
- Adres zehirleme dolandırıcılığı: kendi geçmişinizden yanlış adresi kopyalamak neden tüm paranıza mal olabilir?
- Pano ele geçirme kötü amaçlı yazılımı: USDT adresinizi kopyaladığınız an değiştiren virüs
- Cüzdanınızın kurtarma ifadesini ve özel anahtarını nasıl korursunuz: yeni başlayanlar için rehber
- BEP20 Standardının Arkasındaki Ağ: BNB Smart Chain Nedir?
Talih cesurdan yana. Cesaretle geç — ödüller gerçek.