ارز دیجیتال
خدمات پی‌پال و ویزا کارت
حواله‌جات ارزی و پرداخت بین‌المللی
مجوز توکن (Token Approval) چیست؟ آموزش لغو دسترسی کیف پول در 7 مرحله

تاریخ انتشار: 16 جولای 2026

مجوز توکن (Token Approval) چیست؟ آموزش لغو دسترسی کیف پول در 7 مرحله

دسته‌بندی: وبلاگ

خیلی از کاربران بازار ارز دیجیتال تصور می‌کنند تا زمانی که عبارت بازیابی (Seed Phrase) خود را با کسی به اشتراک نگذارند، کاملاً در امان هستند. اما یکی از رایج‌ترین روش‌های سرقت دارایی دیجیتال در سال‌های اخیر، اصلاً نیازی به دزدیدن کلید خصوصی ندارد؛ این روش از یک مکانیزم کاملاً قانونی و ضروری در دیفای به نام مجوز توکن (Token Approval) سوءاستفاده می‌کند. در این مقاله بررسی می‌کنیم مجوز توکن دقیقاً چیست، چرا می‌تواند خطرناک باشد و چطور می‌توان با چند اقدام ساده، احتمال سوءاستفاده از مجوزهای فعال و خطر سرقت دارایی از کیف پول ارز دیجیتال را به میزان محسوسی کاهش داد.

محافظت از عبارت بازیابی تنها یکی از لایه‌های امنیت دارایی دیجیتال است؛ برای شناخت نقش کلید خصوصی، امضای تراکنش و روش‌های حفاظت از اطلاعات حساس، پیشنهاد می‌کنیم راهنمای رمزنگاری و امنیت ارز دیجیتال را نیز مطالعه کنید.

مجوز توکن (Token Approval) چیست؟

هر بار که در یک صرافی غیرمتمرکز (DEX) سواپ انجام می‌دهید، یک NFT خرید می‌کنید یا در یک پروتکل دیفای وارد استخر نقدینگی می‌شوید، معمولاً باید یک تراکنش مقدماتی به نام «Approve» یا همان مجوز توکن امضا کنید. این تراکنش در واقع یک مجوز است که به یک قرارداد هوشمند اجازه می‌دهد بدون نیاز به تایید دستی شما در هر تراکنش، مقدار مشخصی (یا حتی نامحدود) از یک توکن خاص را از کیف پولتان جابه‌جا کند. این مکانیزم شبیه سپردن سوییچ ماشین به پارکبان است؛ شما دسترسی موقت می‌دهید تا کار انجام شود، اما اگر فراموش کنید سوییچ را پس بگیرید، آن دسترسی همچنان فعال باقی می‌ماند.

نکته مهم این‌جاست که مجوز توکن بعد از پایان تراکنش یا حتی بعد از قطع اتصال کیف پول از سایت، به‌صورت خودکار غیرفعال نمی‌شود. این مجوز تا زمانی که شخصاً آن را لغو نکنید، روی بلاک‌چین فعال باقی می‌ماند؛ حتی اگر ماه‌ها یا سال‌ها از آخرین باری که با آن دی‌اپ کار کرده‌اید گذشته باشد.

مجوز توکن یکی از اجزای اساسی برنامه‌های غیرمتمرکز است و بدون آن بسیاری از خدماتی مانند سواپ، وام‌دهی و تأمین نقدینگی قابل اجرا نیستند. برای آشنایی با ساختار این اکوسیستم، مقاله دیفای چیست و چگونه کار می‌کند؟ دید کامل‌تری در اختیار شما قرار می‌دهد.

مجوز توکن (Token Approval) چیست؟ آموزش لغو دسترسی کیف پول در 7 مرحله

چرا مجوز توکن می‌تواند به سرقت ارز دیجیتال منجر شود؟

بخش عمده‌ای از سرقت ارز دیجیتال در سال‌های اخیر، نه از طریق هک شبکه بلاک‌چین، بلکه از طریق فریب کاربران برای امضای یک مجوز توکن مخرب اتفاق افتاده است. طبق گزارش‌های منتشرشده توسط شرکت‌های تحلیل امنیتی زنجیره‌ای، خسارت ناشی از کلاهبرداری‌های مبتنی بر همین مجوزها تنها در یک سال، به بیش از صدها میلیون دلار رسیده است. چند عامل باعث خطرناک‌شدن این مکانیزم می‌شوند:

  • مجوزهای نامحدود: بسیاری از دی‌اپ‌ها به‌صورت پیش‌فرض درخواست مجوز نامحدود می‌دهند تا کاربر مجبور نباشد هر بار دوباره امضا کند؛ اما همین مجوز نامحدود یعنی یک قرارداد می‌تواند تمام موجودی آن توکن را در هر زمانی، حتی سال‌ها بعد، خالی کند.
  • مجوزهای فراموش‌شده: خیلی از کاربران بعد از یک بار استفاده از یک دی‌اپ، آن را فراموش می‌کنند؛ اما مجوز داده‌شده هنوز فعال است و اگر آن قرارداد بعداً هک یا مخرب شود، دارایی‌های قدیمی هم در معرض خطر قرار می‌گیرند.
  • کیف پول سخت‌افزاری هم تضمینی نیست: کیف پول سخت‌افزاری کلید خصوصی شما را ایمن نگه می‌دارد، اما اگر شما خودتان یک مجوز توکن مخرب را روی همان دستگاه امضا کنید، هیچ سخت‌افزاری جلوی اجرای آن را نمی‌گیرد؛ تصمیم درست گرفتن، مسئولیت خود کاربر است.

چگونه هکرها از مجوز توکن برای سرقت استفاده می‌کنند؟

آشنایی با روش کار کلاهبرداران، اولین قدم برای جلوگیری از سرقت کیف پول کریپتو است:

فیشینگ در لحظات بحرانی

یکی از هوشمندانه‌ترین ترفندهای اخیر، سوءاستفاده از لحظاتی است که یک پروتکل واقعاً هک می‌شود. در چنین شرایطی، تیم‌های امنیتی معمولاً به کاربران توصیه می‌کنند فوراً مجوزهای خود را لغو کنند؛ اما کلاهبرداران دقیقاً همین توصیه را دستاویز قرار می‌دهند و ظرف چند ساعت، دامنه‌های جعلی شبیه به ابزارهای لغو دسترسی واقعی می‌سازند. کاربری که با عجله و نگرانی وارد یکی از این سایت‌های جعلی می‌شود و فکر می‌کند در حال لغو دسترسی است، در واقع دسترسی کامل به دارایی‌اش را در اختیار مهاجم قرار می‌دهد.

امضاهای آفلاین (Permit و Permit2)

برای کاهش کارمزد تراکنش، بسیاری از پروتکل‌ها از استانداردی به نام Permit استفاده می‌کنند که در آن کاربر به‌جای ارسال یک تراکنش واقعی، صرفاً یک پیام را به‌صورت آفلاین امضا می‌کند. مشکل این‌جاست که این امضا هم می‌تواند توسط یک سایت مخرب گرفته شود و بعداً برای برداشت دارایی از کیف پول استفاده شود، بدون نیاز به هیچ تایید بیشتری از سوی قربانی.

دور زدن هشدارهای امنیتی با آدرس‌های از‌پیش‌محاسبه‌شده

برخی کیف پول‌ها و افزونه‌های امنیتی، آدرس‌های شناخته‌شده کلاهبرداری را هشدار می‌دهند. اما مهاجمان با استفاده از تکنیک‌های فنی، می‌توانند آدرس یک قرارداد هوشمند را از قبل محاسبه کنند و کاربر را برای امضای مجوز به سمت آدرسی که هنوز «تمیز» به نظر می‌رسد هدایت کنند؛ درست بعد از امضا، قرارداد مخرب روی همان آدرس مستقر و بلافاصله فعال می‌شود.

مجوز توکن (Token Approval) چیست؟ آموزش لغو دسترسی کیف پول در 7 مرحله

چک‌لیست علائم هشدار قبل از امضای هر تراکنش

پیش از تایید هر مجوز توکن، این نکات را بررسی کنید:

  • آدرس دقیق سایت را با آدرس رسمی پروژه مقایسه کنید (کلاهبرداران اغلب از دامنه‌های بسیار شبیه به نام‌های اصلی استفاده می‌کنند).
  • اگر پیامی با فوریت بالا (مثل «همین الان اقدام کنید وگرنه دارایی‌تان در خطر است») شما را به یک سایت هدایت می‌کند، مشکوک باشید؛ این دقیقاً همان تکنیکی است که کلاهبرداران برای ایجاد عجله و کاهش دقت کاربر استفاده می‌کنند.
  • مقدار درخواستی مجوز را بررسی کنید؛ اگر امکانش هست، به‌جای مجوز نامحدود، مقدار مشخصی را وارد کنید.
  • هرگز صرفاً بر اساس ظاهر یک سایت یا حساب شبکه اجتماعی قضاوت نکنید؛ حساب‌های رسمی هم می‌توانند هک یا جعل شوند.

آموزش گام‌به‌گام لغو دسترسی کیف پول

پاسخ به سوال «چگونه دسترسی توکن را لغو کنیم» با ابزارهایی مثل Revoke.cash و Etherscan Token Approval Checker بسیار ساده است:

  1. وارد وب‌سایت رسمی ابزار لغو دسترسی مثل Revoke.cash شوید (آدرس را حتماً از منبع رسمی پروژه یا بوکمارک قبلی خودتان بردارید، نه از لینکی که در شبکه‌های اجتماعی برایتان ارسال شده).
  2. کیف پول خود را متصل کنید یا آدرس آن را به‌صورت فقط-خواندنی وارد کنید تا لیست کامل مجوزهای فعال را ببینید.
  3. مجوزهایی که دیگر استفاده نمی‌کنید یا نمی‌شناسیدشان را شناسایی کنید؛ به‌خصوص مجوزهای نامحدود و مجوزهای مربوط به پروتکل‌های قدیمی و فراموش‌شده.
  4. روی گزینه Revoke کلیک کنید و تراکنش را در کیف پول خود تایید کنید. این کار معمولاً نیازمند پرداخت کارمزد شبکه است، اما در برابر ریسکی که کاهش می‌دهد، هزینه ناچیزی محسوب می‌شود.
  5. این کار را به یک عادت دوره‌ای (مثلاً ماهانه) تبدیل کنید؛ دقیقاً مثل چک‌کردن صورت‌حساب بانکی.

پاسخ به سوال «ابزار Revoke.cash چیست» هم ساده است: این پلتفرم یکی از شناخته‌شده‌ترین و متن‌بازترین ابزارهای رایگان برای مدیریت و لغو مجوز توکن است که از بیش از صد شبکه مختلف پشتیبانی می‌کند.

تفاوت لغو دسترسی (Revoke) با قطع اتصال کیف پول (Disconnect)

یکی از رایج‌ترین سوءتفاهم‌ها این است که قطع اتصال کیف پول از یک سایت، معادل لغو دسترسی است. این تصور کاملاً اشتباه است: دکمه Disconnect فقط باعث می‌شود آن سایت دیگر آدرس و موجودی کیف پول شما را نبیند، اما مجوزهایی که قبلاً امضا کرده‌اید، همچنان روی بلاک‌چین فعال باقی می‌مانند. تنها راه واقعی برای بستن این دسترسی، امضای یک تراکنش Revoke جداگانه است.

اگر کیف پول هک شده باشد، چه باید کرد؟

اگر متوجه شدید دارایی از کیف پولتان برداشت شده:

  • بلافاصله تمام مجوزهای فعال باقی‌مانده را لغو کنید تا از سرقت بیشتر جلوگیری شود؛ توجه داشته باشید که لغو دسترسی، دارایی‌های قبلاً سرقت‌شده را برنمی‌گرداند، فقط جلوی ادامه سرقت را می‌گیرد.
  • اگر مشکوک هستید که عبارت بازیابی (Seed Phrase) شما هم لو رفته، دیگر لغو دسترسی کافی نیست؛ باید فوراً یک کیف پول جدید بسازید و باقی‌مانده دارایی‌ها را به آن منتقل کنید.
  • ماجرا را به مراجع مربوطه گزارش دهید و در انجمن‌های امنیتی پروژه مربوطه هم مطرح کنید تا سایر کاربران هم آگاه شوند.

مجوز توکن (Token Approval) چیست؟ آموزش لغو دسترسی کیف پول در 7 مرحله

چطور با نگهداری دارایی در صرافی معتبر ریسک را کاهش دهیم؟

بخش زیادی از ریسک مجوز توکن مربوط به تعامل مستقیم با قراردادهای هوشمند دیفای است. اگر به دنبال روشی ساده‌تر برای خرید، فروش و نگهداری ارز دیجیتال هستید که این لایه از ریسک را کاهش می‌دهد، استفاده از یک صرافی معتبر مثل ویکی‌اکسچنج می‌تواند گزینه مناسبی باشد؛ چرا که در تعاملات معمول خرید و فروش داخل صرافی، نیازی به امضای مجوز توکن برای قراردادهای شخص ثالث ندارید.

برای شروع کافی است از صفحه ثبت‌نام حساب کاربری خود را بسازید، مراحل احراز هویت آنی را طی کنید، حساب خود را به‌صورت ریالی یا با استیبل‌کوین شارژ کنید و از صفحه خرید و فروش ارز دیجیتال یا بخش خرید آنی ارز معاملات خود را انجام دهید.

با این حال، اگر قصد دارید دارایی خود را به کیف پول شخصی منتقل کنید یا مستقیماً با دی‌اپ‌ها تعامل داشته باشید، رعایت نکات این مقاله برای امنیت کیف پول ارز دیجیتال شما ضروری است.

برای بررسی و لغو مجوزهای فعال کیف پول خودتان هم می‌توانید به وب‌سایت رسمی Revoke.cash مراجعه کنید.

 

این محتوا صرفاً جنبه آموزشی دارد. رعایت نکات امنیتی کیف پول مسئولیت شخصی هر کاربر است و هیچ روشی به‌طور کامل ریسک را از بین نمی‌برد.

پرسش و پاسخ

مجوز توکن (Token Approval) دقیقاً چیست؟

مجوزی است که به یک قرارداد هوشمند اجازه می‌دهد بدون تایید دستی در هر تراکنش، مقدار مشخصی از یک توکن را از کیف پول شما جابه‌جا کند. این مجوز تا زمانی که شخصاً لغو نشود، فعال باقی می‌ماند.

آیا قطع اتصال کیف پول همان لغو دسترسی است؟

خیر. قطع اتصال فقط جلوی دیدن آدرس کیف پول توسط سایت را می‌گیرد، اما مجوزهای قبلی همچنان روی بلاک‌چین فعال هستند. برای لغو واقعی باید تراکنش Revoke را جداگانه امضا کنید.

چگونه دسترسی توکن را لغو کنیم؟

با استفاده از ابزارهایی مثل Revoke.cash یا Etherscan Token Approval Checker، کیف پول خود را متصل کرده، لیست مجوزهای فعال را بررسی و مجوزهای غیرضروری را با یک تراکنش Revoke ساده لغو می‌کنید.

آیا کیف پول سخت‌افزاری در برابر این نوع حملات ایمن است؟

کیف پول سخت‌افزاری کلید خصوصی را ایمن نگه می‌دارد، اما اگر خودتان یک مجوز توکن مخرب را روی همان دستگاه امضا کنید، سخت‌افزار نمی‌تواند جلوی اجرای آن را بگیرد. امنیت نهایی به تصمیم آگاهانه خود کاربر بستگی دارد.

بعد از سرقت ارز دیجیتال، آیا لغو دسترسی دارایی‌های ازدست‌رفته را برمی‌گرداند؟

خیر. لغو دسترسی فقط جلوی ادامه سرقت را می‌گیرد و دارایی‌هایی که قبلاً برداشت شده‌اند، قابل بازگشت نیستند. به همین دلیل پیشگیری و بررسی دوره‌ای مجوزها، مهم‌تر از واکنش بعد از وقوع حادثه است.

دیدگاهتان را بنویسید

به عنوان ویکی اکسچنج وارد شده‌اید. نمایهٔ خود را ویرایش نمایید. بیرون رفتن؟ بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پشـتیـبانی آنلایـن
رفتن به نوار ابزار