مجوزهای بی‌نهایت یا دسترسی نامحدود (Unlimited Approvals) یک خطر بالقوه برای کاربران مبتدی در فضای Web3 و قراردادهای هوشمند محسوب می‌شود، زیرا ممکن است بدون آگاهی، به یک قرارداد مخرب اجازه دهند تا به طور دائمی به دارایی‌های آن‌ها دسترسی داشته باشد و آن‌ها را جابه‌جا یا خرج کند. این ویژگی که در بسیاری از قراردادهای هوشمند استفاده می‌شود، در صورت عدم مدیریت صحیح، می‌تواند راه را برای سرقت دارایی‌های شما هموار کند.

دسترسی نامحدود (Unlimited Approvals) چیست؟

وقتی شما در بلاکچین با یک قرارداد هوشمند (Smart Contract) تعامل می‌کنید (مثلاً هنگام استفاده از یک صرافی غیرمتمرکز (DEX) برای خرید و فروش ارز دیجیتال) باید ابتدا به آن قرارداد اجازه دهید که به توکن‌های شما دسترسی داشته باشد. این مجوز معمولاً از طریق یک امضای دیجیتال (Sign) در کیف پول شما صادر می‌شود. یعنی وقتی کیف پول شما (مثل متامسک، ربی، تراست ولت و …) از شما می‌خواهد که یک مجوز یا Approval را تأیید کنید، در واقع دارید یک تراکنش را ساین (Sign) می‌کنید که به قرارداد هوشمند اجازه دسترسی به توکن‌های شما را می‌دهد.

پس هر بار که با یک قرارداد هوشمند تعامل می‌کنید، دقت کنید که چه چیزی را امضای دیجیتال (Sign) می‌کنید و آیا این مجوز بی‌نهایت است یا فقط برای مقدار مشخصی از توکن‌های شماست.

🔴 ایراد دسترسی نامحدود (Unlimited Approvals) چیست؟

در بسیاری از موارد، پلتفرم‌ها از شما می‌خواهند که “مجوز بی‌نهایت” (Unlimited Approval) صادر کنید. یعنی شما به آن قرارداد هوشمند اجازه می‌دهید که بدون محدودیت، هر مقدار از توکن‌های شما را جابه‌جا کند. این کار باعث می‌شود که در آینده، هنگام انجام تراکنش‌های جدید، نیازی به دریافت مجوز مجدد نباشد. اما این راحتی می‌تواند یک خطر امنیتی بزرگ ایجاد کند.

⚠️ چرا دسترسی نامحدود (Unlimited Approvals) خطرناک است؟

• هک شدن قرارداد هوشمند یا وجود باگ امنیتی: وقتی شما به یک قرارداد هوشمند مجوز دسترسی نامحدود (Unlimited Approval) می‌دهید، یعنی به آن اجازه می‌دهید هر مقدار از توکن‌های شما را مدیریت کند. اگر این قرارداد به دلیل یک باگ امنیتی آسیب‌پذیر باشد یا توسط هکرها هک شود، آن‌ها می‌توانند به تمام دارایی‌هایی که به این قرارداد مجوز داده‌اید، دسترسی پیدا کرده و آن‌ها را سرقت کنند.
• کلاهبرداری و پروژه‌های اسکم: برخی از قراردادهای هوشمند از ابتدا با نیت کلاهبرداری طراحی شده‌اند. یعنی به‌محض اینکه شما یک Approval نامحدود صادر کنید، توسعه‌دهندگان آن قرارداد می‌توانند توکن‌های شما را بدون اطلاع و تأیید مجدد شما جابه‌جا کنند. این اتفاق معمولاً در پروژه‌های جدید و ناشناخته‌ای رخ می‌دهد که به کاربران پیشنهاد سودهای غیرمنطقی می‌دهند.
• فراموشی مجوزهای صادرشده: بسیاری از کاربران پس از استفاده از یک برنامه غیرمتمرکز (DApp) فراموش می‌کنند که به آن مجوز داده‌اند. این مجوزها بدون تاریخ انقضا باقی می‌مانند و ممکن است سال‌ها بعد، در صورت هک شدن قرارداد یا تغییر در کدهای آن، دارایی‌های شما را در معرض خطر قرار دهند.
• امضای تراکنش‌های مخرب توسط کاربر: هکرها ممکن است با استفاده از وب‌سایت‌های جعلی و فیشینگ، کاربران را وادار کنند که یک تراکنش ظاهراً بی‌ضرر را امضا کنند. اما در واقع، این امضا به هکر دسترسی کامل به کیف پول و دارایی‌های دیجیتال کاربر را می‌دهد. پس از امضای این مجوز، هکر می‌تواند بدون نیاز به تأیید مجدد، توکن‌ها را از کیف پول خارج کند.
• حملات از طریق ویژگی Permit و Permit2: برخی از استانداردهای توکن، مانند ERC-20 Permit، این امکان را فراهم می‌کنند که کاربران بدون نیاز به انجام تراکنش روی بلاکچین، مجوز انتقال توکن را صادر کنند. در صورتی که کاربر یک پیام مخرب را امضا کند، هکر می‌تواند به‌راحتی به توکن‌های او دسترسی پیدا کند. این روش به‌ویژه برای سرقت توکن‌های USDT، USDC و دیگر توکن‌های معروف استفاده می‌شود.
• SetApprovalForAll و خطرات آن برای NFTها: در برخی موارد، کاربران بدون اینکه متوجه شوند، مجوز SetApprovalForAll را امضا می‌کنند. این مجوز به قرارداد اجازه می‌دهد تمام NFTهای یک کیف پول را مدیریت کند. اگر این قرارداد مخرب باشد، هکرها می‌توانند همه NFTهای شما را بدون نیاز به تأیید مجدد بفروشند یا به حساب دیگری منتقل کنند.

کدام شبکه ها مجوزهای Unlimited Approvals ندارند

در بلاکچین‌های مبتنی بر EVM مانند اتریوم، BNB Chain، Polygon، Arbitrum و Avalanche، وقتی با یک قرارداد هوشمند (مثلاً یک صرافی غیرمتمرکز) تعامل می‌کنید، اغلب مجبورید که یک مجوز دسترسی نامحدود (Unlimited Approval) صادر کنید. این مجوز به قرارداد اجازه می‌دهد تا به دارایی‌های شما دسترسی داشته باشد و آن‌ها را مدیریت کند، که در صورت وجود یک باگ امنیتی، هک شدن قرارداد یا کلاهبرداری می‌تواند دارایی شما را در معرض خطر قرار دهد. به همین دلیل، کاربران در این شبکه‌ها باید از ابزارهایی مانند ( Revoke Cash ) برای مدیریت و لغو مجوزهای صادرشده استفاده کنند.

اما در برخی شبکه‌های دیگر مانند TON، Bitcoin، Solana، Cardano، Algorand، Ripple و Stellar، ساختار مدیریت دارایی‌ها به گونه‌ای است که مجوزهای دائمی و نامحدود وجود ندارد و به همین دلیل نیازی به لغو دسترسی‌ها نیست.

چرا در شبکه TON نیازی به لغو مجوزهای دسترسی (Revoke) نداریم؟

✅ در شبکه TON، کیف پول شما مستقیماً هر تراکنش را امضا و ارسال می‌کند و معمولاً قراردادهای هوشمند نمی‌توانند بدون تأیید مستقیم شما، دارایی‌های شما را مدیریت کنند.

✅ مجوزهای نامحدود (Unlimited Approvals) مانند اتریوم در TON وجود ندارد. در اتریوم، شما یک بار به قرارداد هوشمند مجوز می‌دهید و این مجوز تا زمانی که آن را لغو نکنید باقی می‌ماند، اما در TON چنین مجوز دائمی‌ای وجود ندارد.

✅ هر انتقال دارایی در TON باید به‌صورت مستقیم توسط کاربر امضا شود. این بدان معناست که اگر یک قرارداد هوشمند بخواهد دارایی شما را جابه‌جا کند، باید یک تراکنش جدید ایجاد کند و شما باید شخصاً آن را امضا کنید.

❌ اما این بدان معنی نیست که TON کاملاً امن است. همچنان روش‌های فیشینگ (Phishing) و حملات مهندسی اجتماعی وجود دارند که می‌توانند کاربران را فریب دهند تا تراکنش‌های مخرب را امضا کنند.

علاوه بر TON، شبکه‌های زیر هم معمولاً نیازی به لغو Approvals ندارند، زیرا قراردادهای هوشمند بدون امضای مستقیم کاربر نمی‌توانند دارایی‌ها را مدیریت کنند:

🔹 Bitcoin (BTC) : تراکنش‌ها در بیت‌کوین به‌صورت دستی امضا می‌شوند و هیچ قرارداد هوشمندی نمی‌تواند بدون اجازه‌ی شما دارایی‌ها را جابه‌جا کند.
🔹 Solana (SOL) : در بیشتر موارد، تعامل با قراردادهای هوشمند نیاز به امضای مستقیم هر تراکنش دارد، مگر در موارد خاص.
🔹 Cardano (ADA) : مانند بیت‌کوین، تراکنش‌های کاردانو نیازی به مجوزهای دائمی ندارند.
🔹 Algorand (ALGO) : تمام تراکنش‌ها باید توسط کاربر امضا شوند و قراردادهای هوشمند به‌صورت خودکار به دارایی‌ها دسترسی ندارند.
🔹 Ripple (XRP) و Stellar (XLM) : هر انتقال دارایی مستقیماً نیاز به امضای کاربر دارد و مجوزهای بلندمدت معمولاً وجود ندارند.

وقتی نیازی به Revoke نیست، پس چطور ممکن است دارایی‌ها از دست بروند؟

اگرچه در برخی بلاکچین‌ها (مانند TON، Bitcoin، Solana و Cardano) مجوزهای دائمی برای قراردادهای هوشمند وجود ندارد، اما حملات فیشینگ و امضای تراکنش‌های مخرب همچنان یک تهدید جدی محسوب می‌شوند. در این روش‌ها، هکرها کاربران را فریب می‌دهند تا یک تراکنش خطرناک را امضا کنند که می‌تواند دارایی‌هایشان را منتقل کند.

چگونه بدون دسترسی نامحدود هک می شویم؟

🔸 یک وب‌سایت جعلی، ربات تلگرامی، ایمیل فیشینگ یا یک برنامه‌ی اسکم از شما می‌خواهد که یک تراکنش را امضا کنید.
🔸 شما بدون بررسی دقیق، آن را تأیید می‌کنید.
🔸 بعد از امضا، دارایی‌های شما ممکن است به آدرس دیگری ارسال شوند و این تراکنش غیرقابل بازگشت خواهد بود.

💡 چگونه از این حملات جلوگیری کنیم؟

✔️ همیشه قبل از امضای یک تراکنش، جزئیات آن را بررسی کنید و مطمئن شوید که هیچ تغییر مشکوکی در آدرس مقصد یا مقدار انتقال وجود ندارد.
✔️ از کیف پول‌های معتبر و رسمی استفاده کنید که دارای هشدارهای امنیتی هستند (مانند Tonkeeper، Phantom، Solflare، Trust Wallet و غیره).
✔️ هرگز کلید خصوصی یا عبارت بازیابی (Seed Phrase) خود را در هیچ وب‌سایتی وارد نکنید، حتی اگر سایت معتبر به نظر برسد.
✔️ اگر از یک پلتفرم جدید استفاده می‌کنید، ابتدا درباره‌ی آن تحقیق کنید و ببینید آیا کاربران دیگر تجربه‌ای از کلاهبرداری در آن داشته‌اند یا خیر.
✔️ از افزونه‌های امنیتی و ابزارهای شناسایی سایت‌های جعلی استفاده کنید تا به‌طور خودکار لینک‌های مخرب را شناسایی کنند.

🚨 نکته مهم: در این شبکه‌ها، هکرها نمی‌توانند به‌طور خودکار دارایی‌های شما را مدیریت کنند، اما می‌توانند شما را فریب دهند تا خودتان دارایی‌ها را جابه‌جا کنید. بنابراین، دقت هنگام امضای تراکنش‌ها مهم‌ترین عامل امنیتی است.

مجوزهای بی‌نهایت (Unlimited Approvals) همانطور که می‌توانند یک ابزار راحت باشد، می‌توانند یک تهدید جدی برای امنیت دارایی‌های دیجیتال شما باشند. اما اگر مراقب نباشید، می‌تواند امنیت دارایی‌های شما را به خطر بیندازد. با رعایت نکات گفته شده، می‌توانید از سرمایه خود در برابر خطرات احتمالی محافظت کنید.