چگونه مجوزهای (Token Approval) می‌توانند بدون اطلاع شما دارایی‌تان را تخلیه کنند؟

۱۲ تیر ۱۴۰۵

چگونه مجوزهای (Token Approval) می‌توانند بدون اطلاع شما دارایی‌تان را تخلیه کنند؟

بسیاری از کاربران تصور می‌کنند سرقت ارز دیجیتال فقط زمانی اتفاق می‌افتد که عبارت بازیابی (Seed Phrase) یا کلید خصوصی آن‌ها افشا شود. اما در سال‌های اخیر، بخش قابل توجهی از سرقت‌ها بدون دسترسی مستقیم به این اطلاعات انجام شده است. در بسیاری از این پرونده‌ها، مهاجم تنها از مجوزی (Token Approval) استفاده کرده که کاربر قبلاً هنگام اتصال کیف پول به یک وب‌سایت یا قرارداد هوشمند صادر کرده است. نتیجه این اشتباه می‌تواند انتقال دارایی بدون نیاز به تأیید مجدد از سوی کاربر باشد. آشنایی با نحوه عملکرد مجوزها، یکی از مهم‌ترین گام‌ها برای افزایش امنیت دارایی‌های دیجیتال است.

چگونه مجوزهای (Token Approval) می‌توانند بدون اطلاع شما دارایی‌تان را تخلیه کنند؟

Token Approval چیست؟

در بسیاری از شبکه‌های مبتنی بر قرارداد هوشمند، مانند اتریوم و شبکه‌های سازگار با آن، قراردادها برای انتقال برخی توکن‌ها باید از طرف کاربر مجوز دریافت کنند.

این مجوز مشخص می‌کند که یک قرارداد تا چه میزان اجازه دارد توکن‌های موجود در کیف پول شما را مدیریت یا منتقل کند.

در ظاهر، این سازوکار برای عملکرد برنامه‌های غیرمتمرکز ضروری است؛ اما اگر مجوز به یک قرارداد مخرب داده شود، همان قرارداد می‌تواند از این دسترسی سوءاستفاده کند.


چرا قراردادهای هوشمند به مجوز نیاز دارند؟

فرض کنید می‌خواهید در یک صرافی غیرمتمرکز توکن خود را با دارایی دیگری مبادله کنید. پیش از انجام معامله، قرارداد هوشمند باید اجازه داشته باشد توکن شما را جابه‌جا کند. به همین دلیل، کیف پول از شما درخواست Approve یا Allow می‌کند.

مشکل از جایی آغاز می‌شود که کاربر بدون بررسی جزئیات، این مجوز را صادر می‌کند؛ به‌ویژه زمانی که مقدار دسترسی به‌صورت Unlimited Approval باشد.

در چنین شرایطی، اگر قرارداد مخرب باشد یا بعداً آسیب‌پذیری پیدا کند، امکان برداشت بخش بزرگی از دارایی وجود خواهد داشت.

blog image

هکرها چگونه از Token Approval سوءاستفاده می‌کنند؟

روش کار معمولاً ساده اما مؤثر است:

  1. ایجاد یک وب‌سایت یا پروژه با ظاهر حرفه‌ای.
  2. ترغیب کاربر به اتصال کیف پول.
  3. نمایش درخواست Approval به‌جای یک تراکنش عادی.
  4. دریافت مجوز انتقال توکن.
  5. استفاده از این مجوز برای برداشت دارایی در زمان مناسب.

در بسیاری از پرونده‌ها، فاصله بین صدور مجوز و برداشت دارایی چند روز یا حتی چند هفته است. همین موضوع باعث می‌شود کاربر ارتباط بین این دو رویداد را تشخیص ندهد.


نشانه‌های یک قرارداد یا وب‌سایت مشکوک

پیش از امضای هر درخواست، این موارد را بررسی کنید:

  1. دامنه وب‌سایت را با دقت کنترل کنید.
  2. فقط به دلیل ظاهر حرفه‌ای یا تبلیغات گسترده اعتماد نکنید.
  3. متن درخواست کیف پول را بخوانید؛ آیا درخواست «Approve» است یا یک تراکنش معمولی؟
  4. اگر مجوز نامحدود (Unlimited) درخواست می‌شود، دلیل آن را بررسی کنید.
  5. سابقه پروژه، جامعه کاربری و منابع رسمی آن را ارزیابی کنید.

چند دقیقه بررسی می‌تواند از خسارت‌های سنگین جلوگیری کند.


چگونه مجوزهای فعال را بررسی و لغو کنیم؟

یکی از بهترین عادت‌های امنیتی، بررسی دوره‌ای مجوزهای فعال است.

اگر دیگر از یک برنامه غیرمتمرکز استفاده نمی‌کنید، بهتر است دسترسی آن را لغو کنید. این کار باعث می‌شود حتی در صورت بروز مشکل در آن قرارداد، امکان استفاده از مجوز قبلی وجود نداشته باشد.

لغو مجوزها ممکن است کارمزد شبکه داشته باشد، اما این هزینه در مقایسه با ارزش دارایی، معمولاً ناچیز است.


جدول بررسی سریع

موردوضعیت ایمن

دامنه رسمی پروژه

بررسی شود

درخواست Approval

با دقت مطالعه شود

Unlimited Approval

فقط در صورت ضرورت

بررسی دوره‌ای مجوزها

توصیه می‌شود

لغو دسترسی‌های بلااستفاده

ضروری

blog image


باکس نکته تحلیلگر

در بسیاری از پرونده‌های بررسی‌شده، مهاجم هرگز به عبارت بازیابی یا کلید خصوصی قربانی دسترسی نداشته است. سوءاستفاده تنها با استفاده از مجوزی انجام شده که کاربر قبلاً و با رضایت خود صادر کرده بود.


باکس اشتباه رایج

بسیاری از کاربران تصور می‌کنند با بستن مرورگر یا حذف یک برنامه غیرمتمرکز، دسترسی آن نیز از بین می‌رود. در واقع، مجوز صادرشده روی بلاکچین باقی می‌ماند تا زمانی که به‌صورت آگاهانه لغو شود.


سوالات متداول (FAQ)

آیا Approval همان انتقال دارایی است؟

خیر. Approval فقط مجوز استفاده از توکن را صادر می‌کند، اما همین مجوز می‌تواند در آینده برای انتقال دارایی مورد استفاده قرار گیرد.

آیا همه درخواست‌های Approval خطرناک هستند؟

خیر. بسیاری از برنامه‌های معتبر برای عملکرد طبیعی به این مجوز نیاز دارند. مهم این است که از اعتبار پروژه اطمینان حاصل کنید و نوع دسترسی را بررسی نمایید.

آیا حذف کیف پول یا مرورگر باعث حذف مجوزها می‌شود؟

خیر. مجوزها روی بلاکچین ثبت می‌شوند و باید به‌طور جداگانه لغو شوند.

هر چند وقت یک‌بار باید مجوزها را بررسی کنیم؟

اگر به‌طور فعال از برنامه‌های غیرمتمرکز استفاده می‌کنید، بررسی دوره‌ای (برای مثال هر چند هفته یا هر ماه) می‌تواند ریسک را کاهش دهد.


جمع‌بندی

سرقت دارایی‌های دیجیتال همیشه نتیجه افشای اطلاعات محرمانه نیست. گاهی یک مجوز ساده که بدون دقت صادر شده، راه را برای برداشت دارایی باز می‌کند.

شناخت مفهوم Token Approval، بررسی درخواست‌های کیف پول، استفاده از پروژه‌های معتبر و بازبینی منظم مجوزهای فعال، از مهم‌ترین اقداماتی است که هر کاربر باید انجام دهد. امنیت در بلاکچین تنها به فناوری وابسته نیست؛ بلکه به تصمیم‌هایی بستگی دارد که کاربران هنگام تعامل با قراردادهای هوشمند می‌گیرند.


Call To Action

پیش از اتصال کیف پول به هر وب‌سایت یا امضای هر درخواست، چند دقیقه برای بررسی آن زمان بگذارید. اگر مدتی است مجوزهای فعال کیف پول خود را بازبینی نکرده‌اید، اکنون فرصت مناسبی است تا دسترسی‌های غیرضروری را شناسایی و در صورت لزوم لغو کنید.

رمز عبور

جهت ورود به رمز عبور خود را وارد کنید.

ibcd logo