چرا نباید کیف پول اصلی را به اپلیکیشن‌های دیفای وصل کنید؟

حتی اگر کیف پول خود را به صرافی‌های غیرمتمرکز معتبری مانند پنکیک سواپ متصل کنید، باز هم این احتمال وجود دارد که در صورت بروز یک نقص امنیتی در قرارداد هوشمند آن پلتفرم یا هک شدن اسمارت کانترکت، دارایی‌های شما در معرض خطر قرار بگیرند.با یک جستجوی ساده در گوگل یا توییتر، می‌توان موارد بی‌شماری را پیدا کرد که کاربران به‌دلیل اتصال کیف پولشان به dAppهای مخرب یا صرافی‌های غیرمتمرکز آسیب‌پذیر، تمام موجودی خود را از دست داده‌اند.

چرا اتصال کیف پول به صرافی‌های معتبر هم امن نیست؟

صرافی‌های غیرمتمرکز مانند یونی‌سواپ، پنکیک‌سواپ و دیگر DEXها، در واقع قراردادهای هوشمندی هستند که توسط کد اداره می‌شوند؛ و هر کدی، حتی اگر معتبر باشد، می‌تواند در معرض هک یا آسیب‌پذیری قرار بگیرد. نکته مهم این است که حتی اگر تنها کیف پول ارز دیجیتال خود را به این پلتفرم‌ها متصل کنید، باز هم ممکن است امنیت دارایی‌های شما به خطر بیفتد.

چرا سقف هزینه می‌تواند امنیت دارایی شما را تهدید کند؟

فرض کنید از کیف پول متامسک استفاده می‌کنید و آن را به صرافی غیرمتمرکزی مانند یونی‌سواپ متصل کرده‌اید. در این حالت، زمانی که با اپلیکیشن تعامل می‌کنید، لازم است مجوزی به‌نام «سقف هزینه» یا Spending Cap را امضا کنید. این مجوز به dApp اجازه می‌دهد تا به تعداد مشخصی از یک توکن خاص (مثل USDC) در کیف پول شما دسترسی داشته باشد. چنین مجوزی برای انجام عملیات‌هایی مانند واریز، انتقال، استیک و سایر تعاملات با قراردادهای هوشمند ضروری است.

نکته مهم این است که توکن‌های مبتنی بر استانداردهای ERC-20 و ERC-777 به چنین مجوزی نیاز دارند، اما در مورد توکن ETH، نیازی به تنظیم سقف هزینه وجود ندارد.

زمانی که تراکنش مربوط به سقف هزینه را امضا می‌کنید، این مجوز روی بلاکچین ثبت می‌شود و تا زمانی که خودتان آن را با تراکنش دیگری لغو نکنید، معتبر باقی می‌ماند. سقف هزینه مشخص می‌کند که dApp تا چه مقدار از آن توکن را می‌تواند استفاده کند. به عنوان مثال، اگر سقف هزینه‌ای برابر با ۱۰۰۰ توکن USDC تعیین کرده‌اید، در واقع به آن dApp اجازه داده‌اید تا حداکثر ۱۰۰۰ USDC را در یک یا چند مرحله جابه‌جا کند. این مجوز تا زمانی فعال خواهد ماند که به سقف تعیین‌شده برسد یا شما آن را به‌صورت دستی لغو کنید.

سقف هزینه نامحدود؛ تله‌ای پنهان در کیف پول‌های متامسک

در کیف پول متامسک، زمانی که قصد امضای مجوز سقف هزینه (Spending Cap) برای یک توکن را دارید، از شما خواسته می‌شود که مقدار دسترسی مجاز dApp را مشخص کنید. در بسیاری از موارد، اپلیکیشن‌های غیرمتمرکز (dApp) به‌صورت پیش‌فرض عددی بسیار بالا در این بخش قرار می‌دهند که عملاً معادل با دسترسی نامحدود به توکن‌های شماست.

این موضوع می‌تواند بسیار خطرناک باشد. اگر شما سقف هزینه‌ای نامحدود برای یک dApp جعلی، یا حتی یک اپلیکیشن معتبر که بعداً مورد هک قرار بگیرد، امضا کرده باشید، این مجوز می‌تواند به راحتی باعث تخلیه کامل توکن‌های شما از کیف پول شود – بدون اینکه متوجه شوید یا دخالتی داشته باشید. بنابراین، همیشه پیش از امضای چنین مجوزهایی، مقدار دسترسی را بررسی و به‌صورت دستی تنظیم کنید تا از دارایی‌های خود در برابر سوءاستفاده محافظت کنید.

مجوز توکن چیست و چرا اهمیت دارد؟

در دنیای وب ۳، کاربران با انواع مختلفی از تراکنش‌ها سروکار دارند که هریک هنگام تأیید، نیازمند درک دقیق مفهومشان هستند. شناخت این تراکنش‌ها و تفسیر درست آن‌ها، نقش مهمی در حفظ امنیت دارایی‌ها ایفا می‌کند. با این حال، بسیاری از اطلاعاتی که هنگام تأیید تراکنش نمایش داده می‌شود – مانند آدرس‌های طولانی هگزادسیمال – برای کاربران عادی قابل‌خواندن یا تفسیر نیستند.

یکی از رایج‌ترین و مهم‌ترین انواع این تراکنش‌ها، «مجوز توکن» یا Token Approval است. در اکوسیستم وب ۳، به‌ویژه در کیف پول‌های خودحضانتی مانند متامسک، کاربران کنترل کامل دارایی‌ها را در اختیار دارند و مسئولیت هر اقدام، مستقیماً بر عهده خود آن‌هاست. به همین دلیل، ضروری است که دقیقاً بدانید هنگام تأیید یک مجوز توکن، چه سطحی از دسترسی را به یک اپلیکیشن غیرمتمرکز (dApp) می‌دهید.

به‌طور خلاصه، Token Approval مجوزی است که شما صادر می‌کنید تا یک برنامه غیرمتمرکز بتواند به توکن‌های خاصی در کیف پولتان دسترسی داشته باشد و آن‌ها را جابجا کند.

اگر از کاربران دائمی پلتفرم‌های دیفای یا صرافی‌های غیرمتمرکز (DEX) هستید، حتماً هنگام انجام تراکنش‌ها، با پیام‌هایی در کیف پول متامسک مواجه شده‌اید که از شما درخواست اجازه برای واریز، انتقال یا استفاده از توکن‌ها می‌کنند. کلیک روی گزینه‌هایی مثل «Transfer»، «Deposit» یا «Swap» به‌تنهایی کافی نیست؛ این عملیات‌ها تنها زمانی انجام می‌شوند که شما قبلاً مجوز لازم را از طریق Token Approval صادر کرده باشید.

به همین دلیل، مجوز توکن یکی از ارکان اصلی تعامل با dAppهاست؛ چراکه به آن‌ها اجازه می‌دهد به نمایندگی از شما، توکن‌های مشخصی را جابجا کنند. درک این مفهوم و بررسی دقیق مقدار مجوز داده‌شده، می‌تواند نقش مهمی در جلوگیری از سوءاستفاده و حفظ امنیت دارایی‌هایتان داشته باشد.

مجوز توکن از کجا قابل تشخیص است؟

در زمان تعامل با یک برنامه غیرمتمرکز (dApp)، معمولاً نام برنامه و آدرس وب‌سایت آن در بالای صفحه کیف پول (مانند متامسک) نمایش داده می‌شود. این اطلاعات به شما کمک می‌کنند تا مطمئن شوید در حال اعطای مجوز به همان پلتفرمی هستید که قصد استفاده از آن را دارید، نه یک نسخه جعلی.

همچنین می‌توانید با کلیک روی گزینه Verify contract details، آدرس قرارداد هوشمندی را که درخواست دسترسی داده مشاهده کنید. اگر نسبت به اعتبار این قرارداد تردید دارید، می‌توانید آدرس آن را در بلاک اکسپلوررهایی مانند Etherscan جستجو کرده و بررسی کنید آیا سابقه فعالیت مشکوک یا گزارش‌هایی در مورد کلاهبرداری دارد یا خیر.

در مرحله تأیید مجوز، امکان ویرایش دستی سقف دسترسی در بخش Custom Spending Cap نیز وجود دارد. این بخش تعیین می‌کند چه مقدار از یک توکن (مثلاً USDC) مجاز است توسط dApp مصرف یا منتقل شود. توجه داشته باشید که این مقدار می‌تواند بیشتر از موجودی فعلی شما باشد؛ به این معنا که اگر بعداً توکن بیشتری به کیف پول واریز کنید، dApp همچنان مجاز به برداشت تا سقف مشخص‌شده خواهد بود.

برای مثال، اگر به یک dApp مجوز استفاده از ۱۰۰۰ USDT بدهید، آن پلتفرم می‌تواند در هر زمانی (بدون نیاز به تأیید دوباره)، تا سقف این مقدار را از کیف پول شما منتقل کند. تنها زمانی نیاز به تأیید جدید دارید که این سقف استفاده‌شده به پایان برسد.

در پشت صحنه، با تأیید این مجوز، شما به برنامه غیرمتمرکز اجازه می‌دهید تابعی به نام transferFrom را اجرا کند. این تابع که بخشی از استاندارد ERC-20 است، امکان جابه‌جایی مقدار مشخصی از توکن‌ها را از کیف پول شما به مقصد مورد نظر dApp فراهم می‌کند. پارامترهای این تابع از طریق تراکنش Approve که شما امضا می‌کنید، مشخص می‌شوند.

بخش Granted to نیز به شما این امکان را می‌دهد تا آدرس قرارداد هوشمند دریافت‌کننده مجوز را کپی کرده و از طریق مرورگر بلاک‌چین اعتبار آن را بررسی کنید.

نکته مهم: همه توکن‌ها از ساختار استاندارد ERC-20 پیروی نمی‌کنند. برخی از توکن‌ها مانند USDC از مدل EIP-3009 استفاده می‌کنند. در این مدل، به جای امضای جداگانه تراکنش Approve، از سازوکاری به نام Permit استفاده می‌شود که امضای مجوز و انتقال توکن را در یک مرحله و با یک تراکنش انجام می‌دهد. در این حالت شما فقط برای انتقال کارمزد (gas fee) پرداخت می‌کنید و دیگر هزینه‌ای بابت تأیید مجوز جداگانه متحمل نمی‌شوید.

چطور مجوزهای توکن را لغو کنیم و امنیت کیف پول را بالا ببریم؟

کنترل دارایی‌های دیجیتال و آگاهی از اینکه کدام اپلیکیشن‌ها و صرافی‌های غیرمتمرکز (DEX) به کیف پول شما دسترسی دارند، گامی ضروری برای حفظ امنیت در دنیای وب ۳ است. در این مطلب، نحوه لغو مجوزهای قراردادهای هوشمند یا همان تأییدیه‌های توکن‌ها را بررسی می‌کنیم.

باید توجه داشت که لغو مجوز توکن با قطع اتصال کیف پول از یک dApp تفاوت دارد و این دو فرآیند اغلب با هم اشتباه گرفته می‌شوند:

قطع اتصال کیف پول از dApp فقط دسترسی برنامه به آدرس عمومی، موجودی توکن‌ها، تاریخچه تراکنش‌ها و آغاز برخی عملیات‌ها را محدود می‌کند. اما همچنان ممکن است آن dApp به مجوزهایی که قبلاً صادر کرده‌اید دسترسی داشته باشد.

لغو تأییدیه یا مجوز توکن به معنای قطع کامل امکان دسترسی dApp به توکن‌ها و جلوگیری از انتقال آن‌ها توسط قرارداد هوشمند است. این اقدام تنها راه واقعی برای محافظت از دارایی‌ها در برابر دسترسی‌های ناخواسته است.

برای مثال در کیف پول متامسک، می‌توانید به‌صورت مستقیم در داخل اپلیکیشن مجوزهای فعال را بررسی و لغو کنید. این قابلیت در شبکه‌هایی مانند اتریوم، پالیگان و BNB Chain فعال است.

علاوه بر این، می‌توانید از ابزارهای آنچین و مرورگرهای بلاک مانند موارد زیر برای بررسی و لغو مجوزها استفاده کنید:

بخش Approval Checker در مرورگرهای بلاک‌چین مانند Etherscan، BscScan، Polygonscan

پلتفرم‌های تخصصی مانند:

Revoke.cash (پشتیبانی از چند شبکه)

Unrekt

approved.zone (شبکه اتریوم)

Cointool

beefy.finance

EverRevoke

نکته مهم: چون تأییدیه‌های توکن به‌صورت آنچین انجام می‌شوند، لغو آن‌ها نیز باید در بلاک‌چین ثبت شود. به همین دلیل، برای هر لغو مجوز نیاز به پرداخت کارمزد شبکه (گس‌فی) دارید.

در دنیای پرسرعت دیفای، استفاده مکرر از اپلیکیشن‌های جدید می‌تواند منجر به انباشت مجوزهای متعدد شود؛ مجوزهایی که اگر به‌موقع بررسی و لغو نشوند، ممکن است کیف پول شما را در معرض خطر هکرها یا کلاهبرداران قرار دهند. بنابراین پیشنهاد می‌شود به‌صورت دوره‌ای، مثلاً هر ماه، مجوزهای فعال خود را بررسی کرده و دسترسی‌هایی که دیگر به آن‌ها نیازی ندارید را لغو کنید. این یک عادت ساده اما حیاتی برای حفظ امنیت دارایی‌هایتان در وب ۳ است.

چرا نباید به هر اپلیکیشن غیرمتمرکزی اعتماد کنید؟

تأییدیه‌های توکن یکی از رایج‌ترین نقاط ضعف امنیتی در دنیای وب ۳ هستند که اغلب هدف حمله هکرها و کلاهبرداران قرار می‌گیرند. در بسیاری از موارد، هکرها با یافتن آسیب‌پذیری در کد قراردادهای هوشمند، از آن سوءاستفاده می‌کنند؛ مشابه آنچه در ماجرای هک پل Wormhole بین اتریوم و سولانا رخ داد.

از سوی دیگر، برخی کلاهبرداران با طراحی پروژه‌های جعلی و اجرای کلاه‌برداری‌هایی از نوع Rugpull، کاربران را فریب می‌دهند تا مجوز دسترسی نامحدود به توکن‌های خود را صادر کنند. این مجوزها معمولاً بدون محدودیت و برای کل موجودی توکن صادر می‌شوند.

اگر چنین مجوزی در اختیار هکر یا سازنده یک قرارداد مخرب قرار گیرد، آن‌ها می‌توانند بدون نیاز به تأیید مجدد، تمام توکن‌هایی که شما اجازه دسترسی به آن‌ها داده‌اید را از کیف پولتان برداشت کنند. به همین دلیل درک نحوه کار تأییدیه‌ها و بررسی منظم آن‌ها برای حفظ امنیت دارایی‌ها کاملاً ضروری است.

ایمن‌سازی کیف پول در برابر مجوزهای بی‌پایان

درخواست مجوز نامحدود برای دسترسی به توکن‌ها، یکی از روش‌های رایج در میان سایت‌های مخرب برای سوءاستفاده از کاربران در فضای وب ۳ است. حتی اگر تمامی اصول امنیتی را رعایت کرده باشید – مانند نگهداری آفلاین عبارت بازیابی (Secret Recovery Phrase) و عدم اشتراک‌گذاری آن – باز هم ممکن است قربانی این نوع حملات شوید، و این می‌تواند بسیار ناامیدکننده باشد.

برای جلوگیری از این اتفاق، رعایت چند نکته ساده می‌تواند از دارایی‌های دیجیتال شما محافظت کند:

قبل از تأیید هر مجوز، به‌دقت بررسی کنید که dApp چه چیزی از شما می‌خواهد. حتی اگر فقط به مقدار محدودی از توکن‌ها مجوز دهید، در مقایسه با تأیید دسترسی نامحدود، خطر بسیار کمتری خواهید داشت.

خودتان تحقیق کنید. قبل از تعامل با هر برنامه غیرمتمرکز، به طراحی سایت، لوگو، آدرس دقیق و نشانه‌های مشکوک توجه کنید.

اگر چیزی بیش از حد خوب به نظر می‌رسد، احتمالاً کلاهبرداری است. سودهای نجومی مثل APYهای بسیار بالا معمولاً نشانه خطر هستند.

واقعیت این است که مجوز توکن‌ها، علی‌رغم اهمیت آن‌ها در تعامل با dAppها، می‌توانند راهی برای سوءاستفاده مهاجمان باشند؛ چه از طریق هک یک پلتفرم معروف مثل یونی‌سواپ، چه با ساختن یک سایت جعلی که شما را به دادن مجوز دسترسی تشویق می‌کند.

به یاد داشته باشید: مسئولیت امنیت کیف پول، تنها بر عهده شماست. حتی یک کلیک اشتباه روی دکمه “Approve” ممکن است منجر به برداشت کل موجودی توکن‌های شما شود.

چطور از این تهدید جلوگیری کنیم؟

هرگز مجوز نامحدود ندهید. همیشه مقدار توکن را به‌صورت محدود تنظیم کنید.

در صورت نیاز به مجوز بالا، آن را به‌صورت موقت صادر کنید و بعداً لغو کنید.

پیش از صدور مجوز، dApp را به‌خوبی بررسی کنید. اگر توسعه‌دهندگان آن سابقه نامشخص یا بدی دارند، از تعامل با آن خودداری کنید.

مهم‌ترین نکات امنیتی برای محافظت از کیف پول در وب۳

عبارت بازیابی را با هیچ‌کس به اشتراک نگذارید

هر کسی که به عبارت بازیابی شما دسترسی داشته باشد، به دارایی‌های شما نیز دسترسی دارد. آن را فقط روی کاغذ و در مکانی امن نگهداری کنید و هرگز روی دستگاه‌های آنلاین ذخیره نکنید.

نرم‌افزار و فرم‌ور کیف پول را به‌روز نگه دارید

به‌روزرسانی‌ها اغلب حاوی اصلاحات امنیتی هستند که می‌توانند جلوی حملات احتمالی را بگیرند.

اپلیکیشن‌ها را فقط از منابع رسمی دریافت کنید

نصب برنامه از منابع غیررسمی خطرناک است. همیشه از وب‌سایت رسمی پروژه یا فروشگاه‌های معتبر (App Store و Google Play) استفاده کنید.

مراقب سایت‌های جعلی باشید

فقط با URLهایی که دارای https هستند و از کانال‌های رسمی معرفی شده‌اند، تعامل داشته باشید.

dAppهای ناشناس یا مشکوک را بررسی کنید

پیش از اتصال کیف پول، مطمئن شوید که اپلیکیشن معتبر است.

از آدرس‌های جداگانه برای مقاصد مختلف استفاده کنید

برای ایردراپ، NFT و مزایده‌ها از کیف پول‌های مجزا با موجودی محدود استفاده کنید.

مراقب حساب‌های پشتیبانی جعلی باشید

هیچ پروژه‌ای از شما اطلاعات شخصی نمی‌خواهد. فقط از راه‌های رسمی پشتیبانی استفاده کنید.

اطلاعات شخصی را در فرم‌های ایردراپ وارد نکنید

هکرها از اطلاعات جمع‌آوری‌شده در حملات فیشینگ استفاده می‌کنند. اگر می‌خواهید در ایردراپ‌ها شرکت کنید، از کیف پولی با موجودی کم استفاده کنید.

در دنیای وب ۳، هوشیاری و دقت از هر ابزار امنیتی دیگری مهم‌تر است. یک اشتباه ساده می‌تواند منجر به از دست رفتن دائمی تمام دارایی‌های دیجیتال شما شود. همیشه پیش از تأیید هر مجوز، مکث کرده و دوباره بررسی کنید.

سوالات متداول

چرا اتصال کیف پول اصلی به dAppها خطرناک است؟

زیرا ممکن است به آن‌ها دسترسی مستقیم به دارایی‌ها بدهید و در صورت هک، دارایی‌ها از بین برود.

آیا حتی اپلیکیشن‌های معتبر مثل یونی‌سواپ هم می‌توانند خطرناک باشند؟

بله، اگر قرارداد هوشمند آن‌ها آسیب‌پذیر شود یا هک شوند، دارایی‌های شما در معرض خطر است.

اگر فقط کیف پول را متصل کنیم و تراکنش نزنیم، مشکلی ایجاد می‌شود؟

بله، برخی مجوزها بدون تراکنش مستقیم هم می‌توانند سوءاستفاده شوند.

چه جایگزینی برای کیف پول اصلی پیشنهاد می‌شود؟

استفاده از کیف پول‌های جداگانه و موقت با موجودی محدود.

آیا dAppها همیشه محدود به مجوزی که می‌دهیم هستند؟

خیر، در صورت تایید سقف هزینه نامحدود، ممکن است به کل موجودی شما دسترسی داشته باشند.

آیا می‌توان پس از اتصال، دسترسی dAppها را لغو کرد؟

بله، از طریق Revoke tools یا بخش مجوزها در کیف پول.

آیا قطع اتصال کیف پول با dApp کافی است؟

خیر، باید مجوزهای صادرشده را نیز لغو کنید.

مجوز نامحدود توکن چه خطراتی دارد؟

می‌تواند باعث برداشت کل توکن‌ها توسط dApp یا هکر شود.

آیا ذخیره توکن‌های اصلی در یک کیف پول جدا ایمن‌تر است؟

قطعاً، تفکیک کیف پول‌ها باعث کاهش ریسک می‌شود.

چه کسانی مسئول امنیت دارایی‌ها در وب ۳ هستند؟

فقط خود کاربر؛ چون کنترل کامل کیف پول در اختیار اوست.

سخن پایانی

با افزایش روزافزون پذیرش ارزهای دیجیتال، جرایم سایبری نیز به‌طور قابل‌توجهی رشد کرده‌اند. طبق گزارشی از شرکت Chainalysis، تنها در نیمه نخست سال ۲۰۲۴ بیش از ۱.۴ میلیارد دلار از سرمایه‌های دیجیتال کاربران از طریق انواع کلاهبرداری‌ها به سرقت رفته است. بخش عمده‌ای از این سرقت‌ها از طریق طرح‌های سرمایه‌گذاری جعلی و هک پروتکل‌های دیفای (DeFi) صورت گرفته‌اند.

کلاهبرداری‌هایی نظیر پروژه‌های سرمایه‌گذاری تقلبی، قرعه‌کشی‌های دروغین، فیشینگ‌های عاشقانه و پلتفرم‌های جعلی مبادله، جزو رایج‌ترین روش‌هایی هستند که مجرمان سایبری برای سرقت رمزارزها استفاده می‌کنند. همچنین، تروجان‌ها و بدافزارهای مختلفی نیز در سال ۲۰۲۴ نقش پررنگی در فریب کاربران داشته‌اند.نکته مهم اینجاست که تقریباً تمامی این حملات، نتیجه بی‌احتیاطی کاربران و تصمیمات ناآگاهانه است. بنابراین، هنگام استفاده از کیف پول‌های رمزارزی، رعایت اصول امنیتی مانند بررسی لینک‌ها، عدم صدور مجوز نامحدود، و اطمینان از اصالت اپلیکیشن‌ها، کاملاً ضروری است.

ممنون که تا پایان مقاله”چرا نباید کیف پول اصلی را به اپلیکیشن‌های دیفای وصل کنید؟“همراه ما بودید

چرا نباید کیف پول اصلی را به اپلیکیشن‌های دیفای وصل کنید؟