What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

حرج متوسط الخسارة: $20,000 المدة المعتادة: 1-3 days

استغلال الموافقة على الرموز: كيف يستنزف المحتالون محافظ الويب 3

استغلال الموافقة على الرموز هو عملية احتيال متقدمة في عالم الويب 3 حيث يقوم المهاجمون بخداع المستخدمين لتوقيع معاملة عقد ذكي تمنح إذنًا غير محدود لنقل رموز معينة من محافظهم. على عكس الاختراقات التقليدية، يتطلب هذا الهجوم موافقة صريحة من المستخدم—لكن الضحايا لا يفهمون ما الذي يوافقون عليه فعليًا. بمجرد الموافقة، ينفذ المحتالون معاملات استنزاف تنقل الرموز إلى عناوين يسيطرون عليها، غالبًا خلال ساعات. أصبح هذا الهجوم أكثر شيوعًا مع نمو التمويل اللامركزي (DeFi)؛ حيث أبلغت شركة تحليلات البلوكشين Chainalysis عن زيادة بنسبة 400% في سرقات الموافقة بين 2022 و2023، مع خسائر تجاوزت 280 مليون دولار سنويًا. يستغل هذا الأسلوب مبدأ تصميم أساسي في الويب 3: تحتاج العقود الذكية إلى أذونات موافقة للتفاعل مع رموز المستخدمين. يستغل المحتالون هذا عبر إخفاء طلبات الموافقة كمعاملات شرعية (يدعون أنها سك NFTs، تبادل رموز، أو تصويتات حوكمة) بينما يمنحون في الواقع حقوق نقل غير محدودة. ما يجعل هذا الهجوم خطيرًا هو التأخير الزمني—قد لا يدرك الضحايا أن محافظهم تعرضت للاختراق إلا بعد أيام أو أسابيع، وعندها تكون الرموز قد نُقلت بالفعل إلى خدمات الخلط والبورصات، مما يجعل الاسترداد شبه مستحيل.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية الأسئلة الشائعة أين تبلّغ

الأساليب الشائعة

• التصيد عبر واجهات تطبيقات لامركزية مزيفة: ينشئ المحتالون تطبيقات لامركزية مزيفة تحاكي منصات شرعية (مثل OpenSea، Uniswap، Aave)، لكنهم يعيدون توجيه المستخدمين إلى عقود ذكية خبيثة تطلب موافقات على الرموز بدلاً من تنفيذ الوظيفة المزعومة.
• الهندسة الاجتماعية عبر Discord/Telegram: ينشر المهاجمون روابط مزيفة في خوادم مجتمعات الويب 3، مدعين وجود إسقاطات NFT حصرية، أو إسقاطات حوكمة، أو فرص زراعة عوائد تتطلب ربط المحفظة والموافقة على الرموز.
• امتدادات متصفحات محافظ مخترقة: تتنكر امتدادات خبيثة لمتصفحات Chrome أو Firefox كأدوات MetaMask أو إدارة المحافظ، وتحقن طلبات موافقة مزيفة في تفاعلات التطبيقات اللامركزية الشرعية دون علم المستخدم.
• استغلال ارتباك المستخدمين حول آليات الموافقة: يستغل المحتالون أن معظم المستخدمين لا يفهمون الفرق بين الموافقة على معاملة (توقيع إجراء واحد) والموافقة على رمز (منح وصول غير محدود مستقبلي)، ويستخدمون لغة تقنية تبدو حقيقية في طلباتهم.
• حملات صيد ندرة NFT: ينشئ المهاجمون منصات تداول NFT مزيفة أو منصات إطلاق تقدم مجموعات نادرة، تطلب من المستخدمين الموافقة على الرموز للمطالبة أو المزايدة، ثم يستنزفون المحافظ فور الموافقة.
• التلاعب المضلل في واجهة المستخدم/تجربة المستخدم: تعرض تطبيقات الاحتيال أوصاف معاملات غامضة ('تأكيد التبادل'، 'تمكين التداول') مع إخفاء كمية الموافقة الفعلية، وغالبًا ما تضبط سماحًا غير محدود (type(uint256).max) في الكود.

كيف تتعرّف عليه

يُطلب منك الموافقة على رمز معين بينما يدعي التطبيق اللامركزي تقديم خدمة غير ذات صلة (مثل سك NFT يطلب الموافقة على رمز حوكمة لا تملكه).
يُظهر طلب الموافقة مقدار سماح غير معتاد أو 'غير محدود' (يُعرض كرقم كبير جدًا أو MAX في تفاصيل المعاملة).
رابط المعاملة أو نطاق التطبيق اللامركزي يحتوي على خطأ إملائي بسيط مقارنة بالإصدار الشرعي (مثل 'uniswapp.org' بدلًا من 'uniswap.org').
تتلقى شاشة تأكيد معاملة لا توضح بوضوح ما توافق عليه أو لا تتطابق مع الإجراء الذي كنت تنوي تنفيذه.
ينخفض رصيد محفظتك فجأة لرموز لم تقم بنقلها صراحةً، وغالبًا ما تلاحظ ذلك عند مراجعة سجل المحفظة ورؤية معاملات لم تقم بها.
يطلب منك تطبيق لامركزي أو محفظة شرعية إعادة الموافقة على نفس الرمز مرارًا، وهو أمر يجب أن يكون ضروريًا مرة واحدة فقط إلا إذا استُهلك السماح بالكامل.

كيف تحمي نفسك

تحقق دائمًا من نطاقات التطبيقات اللامركزية بكتابتها مباشرة في متصفحك بدلًا من النقر على روابط من وسائل التواصل الاجتماعي أو Discord أو البريد الإلكتروني—استخدم أداة تحقق من نطاقات البلوكشين مثل Revoke.cash للتأكد من صحة الروابط.
استخدم خدمة مراقبة موافقات الرموز مثل Revoke.cash أو علامة التبويب Approvals في Etherscan لتدقيق جميع موافقات الرموز النشطة في محفظتك بانتظام وإلغاء الأذونات للخدمات التي لم تعد تستخدمها.
وافق فقط على المبلغ المحدد الذي تحتاجه لمعاملة واحدة بدلاً من السماح غير المحدود؛ معظم التطبيقات اللامركزية الشرعية تتيح للمستخدمين إدخال مبالغ موافقة مخصصة.
فعّل أدوات محاكاة المعاملات مثل Tenderly أو ميزة المحاكاة في Etherscan قبل توقيع أي معاملة لترى بالضبط ما سيحدث (أي الرموز التي ستتحرك وإلى أين).
احتفظ بالرموز التي لا تتداولها نشطًا في محافظ تخزين باردة منفصلة (محافظ أجهزة مثل Ledger أو Trezor) لا تتصل أبدًا بالتطبيقات اللامركزية، لعزل تعرض الأصول ذات القيمة العالية.
مارس استراتيجية 'المحفظة متعددة الطبقات': استخدم محفظة واحدة بمبالغ صغيرة للتفاعل مع التطبيقات اللامركزية والاختبار، واحتفظ بمحفظة آمنة منفصلة لحفظ الأصول طويلة الأمد، مما يقلل من الخسائر المحتملة في حال تعرض عنوان للاختراق.

أمثلة حقيقية

يرى مستخدم منشورًا على تويتر يروّج لإسقاط حصري على شبكة Ethereum L2 مع مكافآت مضمونة. ينقر على الرابط، ويربط محفظة MetaMask، ويرى زرًا بعنوان 'المطالبة بالإسقاط'. قبل المعالجة، يطلب التطبيق اللامركزي إذنًا لنقل رموز USDC الخاصة به (يعتقد أنها ضرورية للمطالبة). يوافق المستخدم على السماح غير المحدود. خلال 6 ساعات، يُنقل كامل رصيد USDC البالغ 18,000 دولار إلى عنوان المهاجم. كان الإسقاط مزيفًا؛ طلب الموافقة كان الهجوم الحقيقي.

يشارك مشرف Discord في مجتمع NFT شهير رابطًا إلى سوق NFT 'موثوق' يقدم وصولًا مبكرًا إلى مجموعة مرموقة. يُطلب من المستخدمين الذين يربطون محافظهم الموافقة على ETH للتداول. تعرض واجهة المستخدم معاملة واحدة، لكن مخفيًا في كود العقد موافقة غير محدودة على رمز مختلف (غالبًا رمز حوكمة ثمين يحمله الأعضاء). بعد يومين، يكتشف الضحايا أن رموز الحوكمة الخاصة بـ Uniswap قد استُنزفت، بإجمالي 25,000 دولار عبر المجموعة المتأثرة.

يتلقى مستثمر بريدًا إلكترونيًا تصيديًا يدعي أن مركز الإقراض الخاص به في Aave يتطلب إجراءً فوريًا بسبب 'تعديلات السيولة'. يربط البريد إلى واجهة Aave الحقيقية تقريبًا (خطأ إملائي بسيط في النطاق). عند تسجيل الدخول و'تأكيد' التعديل، يُفعّل طلب موافقة على الرموز يظن المستخدمون أنه صيانة روتينية. بعد ذلك، يستنزف المهاجم الرموز المعتمدة بصمت خلال الأسبوع التالي، وعندما يتوقف الضحية عن مراقبة المحفظة، يكتشف خسارة 34,000 دولار فقط خلال مراجعة محفظته الفصلية.

الأسئلة الشائعة

ما الفرق بين الموافقة على معاملة والموافقة على رمز؟

موافقة المعاملة توقّع على إجراء محدد واحد (مثل تبديل 10 USDC مقابل ETH). أما موافقة الرمز فتعطي إذنًا لعقد ذكي لتحريك أي كمية من ذلك الرمز من محفظتك، عدة مرات، حتى تلغي الإذن. يستغل المحتالون هذا الالتباس بجعل المستخدمين يعتقدون أنهم يوقعون معاملة لمرة واحدة بينما يمنحون وصولًا غير محدود.

هل يمكنني استرداد الرموز بعد استنزافها؟

الاسترداد صعب للغاية بمجرد نقل الرموز. معاملات البلوكشين لا يمكن عكسها، وينقل المهاجمون الرموز بسرعة عبر خدمات الخلط (مثل Tornado Cash) أو إلى بورصات لامركزية. خيارك الوحيد هو التواصل مع البورصة المستلمة إذا عرفت مكان بيع الرموز، لكن هذا نادرًا ما يؤدي إلى استرداد. الوقاية عبر إدارة الموافقات أكثر فعالية بكثير من محاولات الاسترداد.

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), استغلال الموافقة على الرموز: كيف يستنزف المحتالون محافظ الويب 3 is described at https://scamlens.org/ar/encyclopedia/token-approval-exploit.

https://scamlens.org/ar/encyclopedia/token-approval-exploit

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI