Tüm makaleler
cüzdan güvenliğiakıllı sözleşmelerBEP20

Token onayları: cüzdanlar nasıl boşaltılır ve yetkiler nasıl iptal edilir

Token onaylarının (Token Approval) ne olduğunu, kötü amaçlı sözleşmelerin cüzdanları nasıl boşalttığını ve BEP20 gibi ağlarda onayların nasıl güvenle gözden geçirilip iptal edileceğini anlatan pratik bir rehber.

Paperino Ekibi4 dk okuma

Cüzdanınızı bir dApp'e "Approve" adlı tek bir tıkla bağlayıp sonra tamamen unuttuğunuz oldu mu? Bu geçici an yıllarca açık kalabilir ve bugün cüzdanların boşaltılmasının en yaygın yollarından biridir. Bu rehberde "token onayı" (Token Approval) nedir, dolandırıcılar bunu nasıl kullanır ve en önemlisi, onaylarınızı kendiniz nasıl adım adım gözden geçirip iptal edersiniz, açıklıyoruz.

"Token onayı" (Token Approval) ne anlama gelir?

BEP20 ağındaki USDT gibi paralar kendi kendine hareket etmeyen token'lardır. Onları merkeziyetsiz bir uygulamada kullanmak istediğinizde — bir takas, bir likidite havuzu veya herhangi bir akıllı sözleşme — o sözleşmenin cüzdanınızdan token çekmek için önceden izne ihtiyacı vardır. Bu izne "allowance" denir ve bunu bir "Approve" işlemiyle verirsiniz.

Sorun şu ki birçok uygulamada varsayılan ayar sınırsız (Unlimited) bir yetki istiyor: yani "bu sözleşmeye, bu token'dan istediği miktarı, istediği zaman, sonsuza kadar çekme izni ver". Siz bir kez imzalarsınız, ama kapı siz kendiniz kapatana kadar açık kalır.

"Approve" imzalamak o anda paranızı hareket ettirmez, ama sözleşmeye kalıcı bir anahtar verir. Tehlike şu anki miktarda değil, ileride kullanılabilecek açık yetkidedir.

Kötü amaçlı sözleşmeler (drainer) cüzdanları nasıl boşaltır?

Drainer sözleşmeleri cüzdanınızı "hacklemez"; sizi izni kendi elinizle imzalamanız için kandırır. Tipik senaryo şöyledir:

  1. Bilinen bir platforma benzeyen sahte bir siteye ulaşırsınız ya da bir mesaj sizi "ödül" veya "airdrop" ile cezbeder.
  2. Site cüzdanınızı bağlamanızı ister, ardından sıradan görünen bir imza penceresi gösterir.
  3. Bu imza aslında sahip olduğunuz bir token üzerinde (USDT veya ağın kendi token'ı gibi) sınırsız bir onay veriyordur.
  4. Gözle görülür bir şey olmaz, siz de işlemin başarısız olduğunu düşünüp uzaklaşırsınız.
  5. Saatler veya günler sonra saldırgan transferFrom fonksiyonunu çağırır ve bakiyenizi tek seferde veya kademeli olarak çeker.

En tehlikeli tuzak Permit ve Permit2 imzalarıdır: gas ücreti gerektirmeyen ve işlem olarak görünmeyen bir "zincir dışı" (off-chain) imza, yine de tam yetki verir. Bu yüzden istek son derece masum görünebilir.

Hiçbir ciddi platform sizden "ödül için imza atmanızı" ya da token'larınız üzerinde yetki vererek hesabınızı yeniden aktive etmenizi istemez. Bedava para karşılığında imza isteyen her talep neredeyse kesin bir alarm işaretidir.

İmzalamadan önce uyarı işaretleri

  • Site size özel bir mesaj, ücretli bir reklam veya size önce yazan bir "destek" hesabı üzerinden ulaştı.
  • Cüzdan penceresi, şu an takas etmeyi düşünmediğiniz bir token için Approve veya Permit gösteriyor.
  • Talep edilen yetki sınırsız, oysa sizin ihtiyacınız olan yalnızca küçük bir miktar.
  • Yararlanan sözleşme adresi tanımadığınız, doğrulanmamış ve bir blockchain gezgininde bilinen bir sözleşme olarak görünmeyen bir adres.
  • Aciliyet ve zaman baskısı: "Teklif birkaç dakika içinde sona eriyor."

Onaylarınızı nasıl gözden geçirir ve iptal edersiniz?

İyi haber şu ki onaylar istediğiniz zaman iptal edilebilir ve iptal işlemi basittir. Fikir, izin verilen limiti sıfıra döndüren bir işlem göndermenizdir.

Pratik adımlar

  1. Tarayıcınızdan güvenilir bir onay gözden geçirme (Revoke) aracı açın ve adresi bir mesajdaki bağlantıdan değil, kendiniz yazarak girin.
  2. Cüzdanınızı bağlayın ya da daha iyisi: yalnızca genel adresinizi yapıştırarak bağlantı kurmadan görüntüleyin, her şeyi doğruladıktan sonra iptali gerçekleştirin.
  3. Doğru ağı seçin (örneğin BEP20 token'ları için BNB Smart Chain).
  4. Onay listesini inceleyin: her satırda bir token, yararlanan sözleşme ve izin verilen limit görünür.
  5. Sınırsız yetkileri veya tanımadığınız sözleşmeleri arayın ve "Revoke" düğmesine tıklayın.
  6. İptal işlemini imzalayın, küçük gas ücretini ödeyin ve onaylanmasını bekleyin.

Zincir üzerindeki her iptal işlemi küçük bir gas ücreti gerektirir. Önceliklendirin: önce en değerli token'lardaki (USDT, ağ token'ları) sınırsız yetkileri iptal edin.

Onaylarınızı gözden geçirme yöntemleri

YöntemNasıl çalışırNot
Özel iptal (revoke) aracıTüm onaylarınızı gösterir ve tek tıkla iptal ederEn hızlısı; sitenin adresini dikkatle kontrol edin
Blockchain gezginiAğ gezgininde "Token Approvals" sekmesiGüvenilir ve doğrudan zincir verisinden
Cüzdanın kendisiBazı cüzdanlarda yerleşik bir onaylar bölümü bulunurCüzdanınızda varsa pratik bir seçenek

Sizi gelecekte koruyacak alışkanlıklar

  • Miktarı belirleyin: herhangi bir "Approve" işleminde, uygulama izin veriyorsa "sınırsız" yerine ihtiyacınız kadar bir yetki seçin.
  • Düzenli olarak gözden geçirin: onaylarınızı birkaç haftada bir ve yeni bir siteyle her etkileşiminizden sonra kontrol edin.
  • Cüzdanlarınızı ayırın: yeni sitelerle etkileşim için küçük bir "deneme" cüzdanı, hiçbir dApp'e bağlamadığınız bir "kasa" cüzdanı bulundurun.
  • İmza penceresini okuyun: tıklamadan önce fonksiyon adını ve yararlanan sözleşmeyi anlayın; anlamıyorsanız imzalamayın.
  • Gas ücretsiz imzalara dikkat edin: bir Permit imzası ücretsiz olabilir ama yine de tam yetki verir.

Bu içerik yalnızca güvenlik farkındalığınızı artırmaya yönelik eğitim amaçlıdır; finansal, hukuki veya dini bir tavsiye değildir. İptal araçları ve ağ isimleri zamanla değişebilir, bu yüzden cüzdanınızı bağlamadan veya herhangi bir şey imzalamadan önce her zaman resmi kaynakları kendiniz doğrulayın. Anahtarlarınızı ve yetkilerinizi koruma sorumluluğu yalnızca size aittir.

Sonuç

Token onayı, merkeziyetsiz uygulamalar için gerekli bir araçtır, ama aynı zamanda en çok istismar edilen arka kapıdır. Kural basittir: yalnızca ihtiyacınız olanı verin, artık kullanmadığınızı iptal edin. Onaylarınızı gözden geçirmeyi, cüzdanınızı düzenli tutmak gibi bir alışkanlık haline getirin; böylece dolandırıcıların en çok güvendiği kapıyı, onlar daha kapıyı çalmadan kapatmış olursunuz. Paperino'da güvenliğin farkındalıkla başladığına inanıyoruz: bugün yapacağınız tek bir iptal, yarın tüm bakiyenizi koruyabilir.

Geçmeye hazır mısın?

Kayıt ol, ilk ördeğini kap ve USDT kazanmaya başla.

Başla

İlgili makaleler

Talih cesurdan yana. Cesaretle geç — ödüller gerçek.