تاریخ انتشار: 16 جولای 2026
مجوز توکن (Token Approval) چیست؟ آموزش لغو دسترسی کیف پول در 7 مرحله
خیلی از کاربران بازار ارز دیجیتال تصور میکنند تا زمانی که عبارت بازیابی (Seed Phrase) خود را با کسی به اشتراک نگذارند، کاملاً در امان هستند. اما یکی از رایجترین روشهای سرقت دارایی دیجیتال در سالهای اخیر، اصلاً نیازی به دزدیدن کلید خصوصی ندارد؛ این روش از یک مکانیزم کاملاً قانونی و ضروری در دیفای به نام مجوز توکن (Token Approval) سوءاستفاده میکند. در این مقاله بررسی میکنیم مجوز توکن دقیقاً چیست، چرا میتواند خطرناک باشد و چطور میتوان با چند اقدام ساده، احتمال سوءاستفاده از مجوزهای فعال و خطر سرقت دارایی از کیف پول ارز دیجیتال را به میزان محسوسی کاهش داد.
محافظت از عبارت بازیابی تنها یکی از لایههای امنیت دارایی دیجیتال است؛ برای شناخت نقش کلید خصوصی، امضای تراکنش و روشهای حفاظت از اطلاعات حساس، پیشنهاد میکنیم راهنمای رمزنگاری و امنیت ارز دیجیتال را نیز مطالعه کنید.
مجوز توکن (Token Approval) چیست؟
هر بار که در یک صرافی غیرمتمرکز (DEX) سواپ انجام میدهید، یک NFT خرید میکنید یا در یک پروتکل دیفای وارد استخر نقدینگی میشوید، معمولاً باید یک تراکنش مقدماتی به نام «Approve» یا همان مجوز توکن امضا کنید. این تراکنش در واقع یک مجوز است که به یک قرارداد هوشمند اجازه میدهد بدون نیاز به تایید دستی شما در هر تراکنش، مقدار مشخصی (یا حتی نامحدود) از یک توکن خاص را از کیف پولتان جابهجا کند. این مکانیزم شبیه سپردن سوییچ ماشین به پارکبان است؛ شما دسترسی موقت میدهید تا کار انجام شود، اما اگر فراموش کنید سوییچ را پس بگیرید، آن دسترسی همچنان فعال باقی میماند.
نکته مهم اینجاست که مجوز توکن بعد از پایان تراکنش یا حتی بعد از قطع اتصال کیف پول از سایت، بهصورت خودکار غیرفعال نمیشود. این مجوز تا زمانی که شخصاً آن را لغو نکنید، روی بلاکچین فعال باقی میماند؛ حتی اگر ماهها یا سالها از آخرین باری که با آن دیاپ کار کردهاید گذشته باشد.
مجوز توکن یکی از اجزای اساسی برنامههای غیرمتمرکز است و بدون آن بسیاری از خدماتی مانند سواپ، وامدهی و تأمین نقدینگی قابل اجرا نیستند. برای آشنایی با ساختار این اکوسیستم، مقاله دیفای چیست و چگونه کار میکند؟ دید کاملتری در اختیار شما قرار میدهد.

چرا مجوز توکن میتواند به سرقت ارز دیجیتال منجر شود؟
بخش عمدهای از سرقت ارز دیجیتال در سالهای اخیر، نه از طریق هک شبکه بلاکچین، بلکه از طریق فریب کاربران برای امضای یک مجوز توکن مخرب اتفاق افتاده است. طبق گزارشهای منتشرشده توسط شرکتهای تحلیل امنیتی زنجیرهای، خسارت ناشی از کلاهبرداریهای مبتنی بر همین مجوزها تنها در یک سال، به بیش از صدها میلیون دلار رسیده است. چند عامل باعث خطرناکشدن این مکانیزم میشوند:
- مجوزهای نامحدود: بسیاری از دیاپها بهصورت پیشفرض درخواست مجوز نامحدود میدهند تا کاربر مجبور نباشد هر بار دوباره امضا کند؛ اما همین مجوز نامحدود یعنی یک قرارداد میتواند تمام موجودی آن توکن را در هر زمانی، حتی سالها بعد، خالی کند.
- مجوزهای فراموششده: خیلی از کاربران بعد از یک بار استفاده از یک دیاپ، آن را فراموش میکنند؛ اما مجوز دادهشده هنوز فعال است و اگر آن قرارداد بعداً هک یا مخرب شود، داراییهای قدیمی هم در معرض خطر قرار میگیرند.
- کیف پول سختافزاری هم تضمینی نیست: کیف پول سختافزاری کلید خصوصی شما را ایمن نگه میدارد، اما اگر شما خودتان یک مجوز توکن مخرب را روی همان دستگاه امضا کنید، هیچ سختافزاری جلوی اجرای آن را نمیگیرد؛ تصمیم درست گرفتن، مسئولیت خود کاربر است.
چگونه هکرها از مجوز توکن برای سرقت استفاده میکنند؟
آشنایی با روش کار کلاهبرداران، اولین قدم برای جلوگیری از سرقت کیف پول کریپتو است:
فیشینگ در لحظات بحرانی
یکی از هوشمندانهترین ترفندهای اخیر، سوءاستفاده از لحظاتی است که یک پروتکل واقعاً هک میشود. در چنین شرایطی، تیمهای امنیتی معمولاً به کاربران توصیه میکنند فوراً مجوزهای خود را لغو کنند؛ اما کلاهبرداران دقیقاً همین توصیه را دستاویز قرار میدهند و ظرف چند ساعت، دامنههای جعلی شبیه به ابزارهای لغو دسترسی واقعی میسازند. کاربری که با عجله و نگرانی وارد یکی از این سایتهای جعلی میشود و فکر میکند در حال لغو دسترسی است، در واقع دسترسی کامل به داراییاش را در اختیار مهاجم قرار میدهد.
امضاهای آفلاین (Permit و Permit2)
برای کاهش کارمزد تراکنش، بسیاری از پروتکلها از استانداردی به نام Permit استفاده میکنند که در آن کاربر بهجای ارسال یک تراکنش واقعی، صرفاً یک پیام را بهصورت آفلاین امضا میکند. مشکل اینجاست که این امضا هم میتواند توسط یک سایت مخرب گرفته شود و بعداً برای برداشت دارایی از کیف پول استفاده شود، بدون نیاز به هیچ تایید بیشتری از سوی قربانی.
دور زدن هشدارهای امنیتی با آدرسهای ازپیشمحاسبهشده
برخی کیف پولها و افزونههای امنیتی، آدرسهای شناختهشده کلاهبرداری را هشدار میدهند. اما مهاجمان با استفاده از تکنیکهای فنی، میتوانند آدرس یک قرارداد هوشمند را از قبل محاسبه کنند و کاربر را برای امضای مجوز به سمت آدرسی که هنوز «تمیز» به نظر میرسد هدایت کنند؛ درست بعد از امضا، قرارداد مخرب روی همان آدرس مستقر و بلافاصله فعال میشود.

چکلیست علائم هشدار قبل از امضای هر تراکنش
پیش از تایید هر مجوز توکن، این نکات را بررسی کنید:
- آدرس دقیق سایت را با آدرس رسمی پروژه مقایسه کنید (کلاهبرداران اغلب از دامنههای بسیار شبیه به نامهای اصلی استفاده میکنند).
- اگر پیامی با فوریت بالا (مثل «همین الان اقدام کنید وگرنه داراییتان در خطر است») شما را به یک سایت هدایت میکند، مشکوک باشید؛ این دقیقاً همان تکنیکی است که کلاهبرداران برای ایجاد عجله و کاهش دقت کاربر استفاده میکنند.
- مقدار درخواستی مجوز را بررسی کنید؛ اگر امکانش هست، بهجای مجوز نامحدود، مقدار مشخصی را وارد کنید.
- هرگز صرفاً بر اساس ظاهر یک سایت یا حساب شبکه اجتماعی قضاوت نکنید؛ حسابهای رسمی هم میتوانند هک یا جعل شوند.
آموزش گامبهگام لغو دسترسی کیف پول
پاسخ به سوال «چگونه دسترسی توکن را لغو کنیم» با ابزارهایی مثل Revoke.cash و Etherscan Token Approval Checker بسیار ساده است:
- وارد وبسایت رسمی ابزار لغو دسترسی مثل Revoke.cash شوید (آدرس را حتماً از منبع رسمی پروژه یا بوکمارک قبلی خودتان بردارید، نه از لینکی که در شبکههای اجتماعی برایتان ارسال شده).
- کیف پول خود را متصل کنید یا آدرس آن را بهصورت فقط-خواندنی وارد کنید تا لیست کامل مجوزهای فعال را ببینید.
- مجوزهایی که دیگر استفاده نمیکنید یا نمیشناسیدشان را شناسایی کنید؛ بهخصوص مجوزهای نامحدود و مجوزهای مربوط به پروتکلهای قدیمی و فراموششده.
- روی گزینه Revoke کلیک کنید و تراکنش را در کیف پول خود تایید کنید. این کار معمولاً نیازمند پرداخت کارمزد شبکه است، اما در برابر ریسکی که کاهش میدهد، هزینه ناچیزی محسوب میشود.
- این کار را به یک عادت دورهای (مثلاً ماهانه) تبدیل کنید؛ دقیقاً مثل چککردن صورتحساب بانکی.
پاسخ به سوال «ابزار Revoke.cash چیست» هم ساده است: این پلتفرم یکی از شناختهشدهترین و متنبازترین ابزارهای رایگان برای مدیریت و لغو مجوز توکن است که از بیش از صد شبکه مختلف پشتیبانی میکند.
تفاوت لغو دسترسی (Revoke) با قطع اتصال کیف پول (Disconnect)
یکی از رایجترین سوءتفاهمها این است که قطع اتصال کیف پول از یک سایت، معادل لغو دسترسی است. این تصور کاملاً اشتباه است: دکمه Disconnect فقط باعث میشود آن سایت دیگر آدرس و موجودی کیف پول شما را نبیند، اما مجوزهایی که قبلاً امضا کردهاید، همچنان روی بلاکچین فعال باقی میمانند. تنها راه واقعی برای بستن این دسترسی، امضای یک تراکنش Revoke جداگانه است.
اگر کیف پول هک شده باشد، چه باید کرد؟
اگر متوجه شدید دارایی از کیف پولتان برداشت شده:
- بلافاصله تمام مجوزهای فعال باقیمانده را لغو کنید تا از سرقت بیشتر جلوگیری شود؛ توجه داشته باشید که لغو دسترسی، داراییهای قبلاً سرقتشده را برنمیگرداند، فقط جلوی ادامه سرقت را میگیرد.
- اگر مشکوک هستید که عبارت بازیابی (Seed Phrase) شما هم لو رفته، دیگر لغو دسترسی کافی نیست؛ باید فوراً یک کیف پول جدید بسازید و باقیمانده داراییها را به آن منتقل کنید.
- ماجرا را به مراجع مربوطه گزارش دهید و در انجمنهای امنیتی پروژه مربوطه هم مطرح کنید تا سایر کاربران هم آگاه شوند.

چطور با نگهداری دارایی در صرافی معتبر ریسک را کاهش دهیم؟
بخش زیادی از ریسک مجوز توکن مربوط به تعامل مستقیم با قراردادهای هوشمند دیفای است. اگر به دنبال روشی سادهتر برای خرید، فروش و نگهداری ارز دیجیتال هستید که این لایه از ریسک را کاهش میدهد، استفاده از یک صرافی معتبر مثل ویکیاکسچنج میتواند گزینه مناسبی باشد؛ چرا که در تعاملات معمول خرید و فروش داخل صرافی، نیازی به امضای مجوز توکن برای قراردادهای شخص ثالث ندارید.
برای شروع کافی است از صفحه ثبتنام حساب کاربری خود را بسازید، مراحل احراز هویت آنی را طی کنید، حساب خود را بهصورت ریالی یا با استیبلکوین شارژ کنید و از صفحه خرید و فروش ارز دیجیتال یا بخش خرید آنی ارز معاملات خود را انجام دهید.
با این حال، اگر قصد دارید دارایی خود را به کیف پول شخصی منتقل کنید یا مستقیماً با دیاپها تعامل داشته باشید، رعایت نکات این مقاله برای امنیت کیف پول ارز دیجیتال شما ضروری است.
برای بررسی و لغو مجوزهای فعال کیف پول خودتان هم میتوانید به وبسایت رسمی Revoke.cash مراجعه کنید.
این محتوا صرفاً جنبه آموزشی دارد. رعایت نکات امنیتی کیف پول مسئولیت شخصی هر کاربر است و هیچ روشی بهطور کامل ریسک را از بین نمیبرد.
پرسش و پاسخ
مجوز توکن (Token Approval) دقیقاً چیست؟
مجوزی است که به یک قرارداد هوشمند اجازه میدهد بدون تایید دستی در هر تراکنش، مقدار مشخصی از یک توکن را از کیف پول شما جابهجا کند. این مجوز تا زمانی که شخصاً لغو نشود، فعال باقی میماند.
آیا قطع اتصال کیف پول همان لغو دسترسی است؟
خیر. قطع اتصال فقط جلوی دیدن آدرس کیف پول توسط سایت را میگیرد، اما مجوزهای قبلی همچنان روی بلاکچین فعال هستند. برای لغو واقعی باید تراکنش Revoke را جداگانه امضا کنید.
چگونه دسترسی توکن را لغو کنیم؟
با استفاده از ابزارهایی مثل Revoke.cash یا Etherscan Token Approval Checker، کیف پول خود را متصل کرده، لیست مجوزهای فعال را بررسی و مجوزهای غیرضروری را با یک تراکنش Revoke ساده لغو میکنید.
آیا کیف پول سختافزاری در برابر این نوع حملات ایمن است؟
کیف پول سختافزاری کلید خصوصی را ایمن نگه میدارد، اما اگر خودتان یک مجوز توکن مخرب را روی همان دستگاه امضا کنید، سختافزار نمیتواند جلوی اجرای آن را بگیرد. امنیت نهایی به تصمیم آگاهانه خود کاربر بستگی دارد.
بعد از سرقت ارز دیجیتال، آیا لغو دسترسی داراییهای ازدسترفته را برمیگرداند؟
خیر. لغو دسترسی فقط جلوی ادامه سرقت را میگیرد و داراییهایی که قبلاً برداشت شدهاند، قابل بازگشت نیستند. به همین دلیل پیشگیری و بررسی دورهای مجوزها، مهمتر از واکنش بعد از وقوع حادثه است.