What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

गंभीर औसत हानि: $20,000 सामान्य अवधि: 1-3 days

टोकन अनुमोदन शोषण: कैसे स्कैमर्स वेब3 वॉलेट्स को खाली करते हैं

टोकन अनुमोदन शोषण एक परिष्कृत वेब3 स्कैम है जिसमें हमलावर उपयोगकर्ताओं को एक स्मार्ट कॉन्ट्रैक्ट लेनदेन पर डिजिटल हस्ताक्षर करने के लिए प्रेरित करते हैं जो उनके वॉलेट से विशिष्ट टोकन को असीमित स्थानांतरण की अनुमति देता है। पारंपरिक हैकिंग के विपरीत, इस हमले के लिए स्पष्ट उपयोगकर्ता सहमति आवश्यक होती है—लेकिन पीड़ित यह नहीं समझ पाते कि वे क्या अनुमोदित कर रहे हैं। अनुमोदन के बाद, स्कैमर्स ड्रेन लेनदेन करते हैं जो टोकन को हमलावर के नियंत्रण वाले पते पर स्थानांतरित कर देते हैं, अक्सर कुछ घंटों के भीतर। जैसे-जैसे विकेंद्रीकृत वित्त (DeFi) बढ़ा है, यह हमला अधिक आम हो गया है; ब्लॉकचेन एनालिटिक्स कंपनी Chainalysis ने बताया कि 2022 से 2023 के बीच अनुमोदन-आधारित चोरी में 400% वृद्धि हुई, जिसमें पीड़ितों ने वार्षिक रूप से 280 मिलियन डॉलर से अधिक का नुकसान उठाया। यह तंत्र वेब3 के एक मूलभूत डिज़ाइन सिद्धांत का शोषण करता है: स्मार्ट कॉन्ट्रैक्ट को उपयोगकर्ता टोकन के साथ इंटरैक्ट करने के लिए अनुमोदन की आवश्यकता होती है। स्कैमर्स इसे वैध लेनदेन के रूप में छिपाकर हथियार बनाते हैं (जैसे NFT मिंट, टोकन स्वैप, या गवर्नेंस वोट) जबकि वे वास्तव में असीमित ट्रांसफर अधिकार दे रहे होते हैं। इस हमले को विशेष रूप से खतरनाक बनाता है समय अंतराल—पीड़ितों को कई दिन या सप्ताह बाद ही पता चलता है कि उनका वॉलेट समझौता किया गया है, तब तक टोकन मिक्सिंग सेवाओं और एक्सचेंजों को भेजे जा चुके होते हैं, जिससे पुनर्प्राप्ति लगभग असंभव हो जाती है।

सामान्य रणनीतियाँ कैसे पहचानें खुद को कैसे सुरक्षित रखें वास्तविक उदाहरण अक्सर पूछे जाने वाले प्रश्न रिपोर्ट कहाँ करें

सामान्य रणनीतियाँ

• धोखाधड़ीपूर्ण dApp इंटरफेस के साथ फ़िशिंग: स्कैमर्स नकली विकेंद्रीकृत एप्लिकेशन बनाते हैं जो वैध प्लेटफॉर्म (OpenSea, Uniswap, Aave) की नकल करते हैं, लेकिन उपयोगकर्ताओं को दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट पर भेजते हैं जो दावा किए गए कार्य को करने के बजाय टोकन अनुमोदन मांगते हैं।
• Discord/Telegram के माध्यम से सोशल इंजीनियरिंग: हमलावर वेब3 समुदाय सर्वरों में नकली लिंक पोस्ट करते हैं, जो विशेष NFT ड्रॉप, गवर्नेंस एयरड्रॉप या यील्ड फार्मिंग के अवसरों का दावा करते हैं, जिनके लिए वॉलेट कनेक्शन और टोकन अनुमोदन आवश्यक होता है।
• समझौता किए गए वॉलेट ब्राउज़र एक्सटेंशन्स: दुर्भावनापूर्ण Chrome या Firefox एक्सटेंशन्स MetaMask या वॉलेट प्रबंधन उपकरण के रूप में छिपकर वैध dApp इंटरैक्शन में नकली अनुमोदन अनुरोध इंजेक्ट करते हैं, बिना उपयोगकर्ता की जानकारी के।
• अनुमोदन तंत्र के बारे में उपयोगकर्ता की भ्रम की स्थिति का शोषण: स्कैमर्स इस तथ्य का लाभ उठाते हैं कि अधिकांश उपयोगकर्ता लेनदेन अनुमोदन (एक क्रिया पर हस्ताक्षर) और टोकन अनुमोदन (असीमित भविष्य की पहुंच देना) के बीच अंतर नहीं समझते, और अपने अनुरोधों में वास्तविक-सुनाई तकनीकी भाषा का उपयोग करते हैं।
• NFT दुर्लभता फिशिंग अभियान: हमलावर नकली NFT ट्रेडिंग प्लेटफॉर्म या लॉन्चपैड बनाते हैं जो दुर्लभ संग्रह पेश करते हैं, उपयोगकर्ताओं से टोकन अनुमोदन मांगते हैं ताकि वे दावा या बोली लगा सकें, और अनुमोदन मिलने के तुरंत बाद वॉलेट खाली कर देते हैं।
• भ्रामक UI/UX हेरफेर: स्कैम dApps अस्पष्ट लेनदेन विवरण दिखाते हैं ('Confirm Swap,' 'Enable Trading') जबकि वास्तविक अनुमोदन राशि छिपाते हैं, अक्सर कोड में असीमित अनुमति (type(uint256).max) सेट करते हैं।

कैसे पहचानें

आपसे किसी विशिष्ट टोकन को अनुमोदित करने के लिए कहा जा रहा है, लेकिन dApp एक असंबंधित सेवा का दावा करता है (जैसे NFT मिंट जो आपके पास न होने वाले गवर्नेंस टोकन के लिए अनुमोदन मांगता है)।
अनुमोदन अनुरोध असामान्य रूप से उच्च या 'असीमित' अनुमति राशि दिखाता है (लेनदेन विवरण में बहुत बड़ी संख्या या MAX के रूप में)।
लेनदेन URL या dApp डोमेन वैध संस्करण की तुलना में थोड़ा गलत लिखा हुआ है (जैसे 'uniswapp.org' के बजाय 'uniswap.org')।
आपको एक लेनदेन पुष्टि स्क्रीन मिलती है जो स्पष्ट रूप से नहीं बताती कि आप क्या अनुमोदित कर रहे हैं या जो क्रिया आप करना चाहते थे उससे मेल नहीं खाती।
आपके वॉलेट बैलेंस में अचानक कमी आती है उन टोकन के लिए जिन्हें आपने स्पष्ट रूप से ट्रांसफर नहीं किया है, अक्सर वॉलेट इतिहास जांचने पर ऐसे लेनदेन दिखते हैं जो आपने शुरू नहीं किए।
कोई वैध dApp या वॉलेट बार-बार आपसे एक ही टोकन को पुनः अनुमोदित करने के लिए कहता है, जबकि यह केवल एक बार आवश्यक होना चाहिए जब तक कि अनुमति पूरी तरह से समाप्त न हो जाए।

खुद को कैसे सुरक्षित रखें

हमेशा dApp डोमेन को सीधे अपने ब्राउज़र में टाइप करके सत्यापित करें, सोशल मीडिया, Discord या ईमेल से लिंक पर क्लिक करने के बजाय—URL की दोबारा जांच के लिए Revoke.cash जैसे ब्लॉकचेन डोमेन सत्यापन टूल का उपयोग करें।
Revoke.cash या Etherscan के Approvals टैब जैसे टोकन अनुमोदन निगरानी सेवा का उपयोग करें ताकि अपने वॉलेट में सभी सक्रिय टोकन अनुमोदनों का नियमित ऑडिट कर सकें और जिन सेवाओं का उपयोग नहीं करते, उनकी अनुमतियां रद्द करें।
असीमित अनुमति के बजाय केवल उस विशिष्ट राशि को अनुमोदित करें जिसकी आपको एकल लेनदेन के लिए आवश्यकता है; अधिकांश वैध dApps उपयोगकर्ताओं को कस्टम अनुमोदन राशि दर्ज करने की अनुमति देते हैं।
किसी भी लेनदेन पर हस्ताक्षर करने से पहले Tenderly या Etherscan के सिमुलेशन फीचर जैसे लेनदेन सिमुलेशन टूल सक्षम करें ताकि आप देख सकें कि वास्तव में क्या होगा (कौन से टोकन कहां जाएंगे)।
जो टोकन आप सक्रिय रूप से ट्रेड नहीं कर रहे हैं, उन्हें अलग ठंडे भंडारण वॉलेट्स (Ledger या Trezor जैसे हार्डवेयर वॉलेट्स) में रखें जो कभी भी dApps से कनेक्ट न हों, ताकि उच्च मूल्य वाली संपत्तियों का जोखिम कम हो।
‘लेयर्ड वॉलेट’ रणनीति अपनाएं: एक वॉलेट में छोटे-छोटे राशि के साथ dApp इंटरैक्शन और परीक्षण करें, और एक अलग सुरक्षित वॉलेट में लंबी अवधि के लिए होल्डिंग रखें, जिससे समझौता होने पर संभावित नुकसान कम हो।

वास्तविक उदाहरण

एक उपयोगकर्ता ट्विटर पोस्ट देखता है जिसमें एक विशेष Ethereum L2 एयरड्रॉप के लिए गारंटीकृत पुरस्कार का प्रचार होता है। वे लिंक पर क्लिक करते हैं, अपना MetaMask वॉलेट कनेक्ट करते हैं, और 'Claim Airdrop' नामक बटन देखते हैं। प्रक्रिया शुरू करने से पहले, dApp उनके USDC टोकन को स्थानांतरित करने की अनुमति मांगता है (दावा है कि यह दावा करने के लिए आवश्यक है)। उपयोगकर्ता असीमित अनुमति दे देता है। 6 घंटे के भीतर, उनका पूरा $18,000 USDC बैलेंस हमलावर के पते पर ट्रांसफर हो जाता है। एयरड्रॉप नकली था; अनुमोदन अनुरोध असली हमला था।

एक लोकप्रिय NFT समुदाय में Discord मॉडरेटर एक लिंक साझा करता है जो एक 'सत्यापित' NFT मार्केटप्लेस का है जो ब्लू-चिप संग्रह के लिए प्रारंभिक पहुंच प्रदान करता है। वॉलेट कनेक्ट करने वाले उपयोगकर्ताओं से उनके ETH को ट्रेडिंग के लिए अनुमोदित करने को कहा जाता है। UI एक एकल लेनदेन दिखाता है, लेकिन कॉन्ट्रैक्ट कोड में छिपा हुआ होता है एक अलग टोकन के लिए असीमित अनुमोदन (अक्सर एक मूल्यवान गवर्नेंस टोकन जो सदस्यों के पास होता है)। दो दिन बाद, पीड़ितों को पता चलता है कि उनके Uniswap गवर्नेंस टोकन खाली हो गए हैं, कुल $25,000 का नुकसान प्रभावित समूह में।

एक निवेशक को फ़िशिंग ईमेल मिलता है जिसमें दावा किया जाता है कि उनके Aave लेंडिंग पोजीशन को 'लिक्विडिटी समायोजन' के कारण तुरंत कार्रवाई की जरूरत है। ईमेल लिंक वास्तविक Aave इंटरफेस जैसा दिखता है (डोमेन में मामूली वर्तनी त्रुटि)। लॉगिन करके और समायोजन 'पुष्टि' करने पर एक टोकन अनुमोदन अनुरोध आता है जिसे उपयोगकर्ता सामान्य रखरखाव समझते हैं। हमलावर अगले सप्ताह चुपचाप अनुमोदित टोकन खाली कर देता है, तब तक पीड़ित ने उस वॉलेट की निगरानी बंद कर दी होती है, और $34,000 का नुकसान केवल त्रैमासिक पोर्टफोलियो समीक्षा के दौरान पता चलता है।

अक्सर पूछे जाने वाले प्रश्न

लेनदेन अनुमोदन और टोकन अनुमोदन में क्या अंतर है?

लेनदेन अनुमोदन एक विशिष्ट क्रिया पर हस्ताक्षर करता है (जैसे 10 USDC को ETH में स्वैप करना)। टोकन अनुमोदन स्मार्ट कॉन्ट्रैक्ट को आपके वॉलेट से उस टोकन की कोई भी राशि कई बार स्थानांतरित करने की अनुमति देता है, जब तक आप इसे रद्द न करें। स्कैमर्स इस भ्रम का फायदा उठाते हैं, उपयोगकर्ताओं को यह सोचकर कि वे एक बार का लेनदेन कर रहे हैं, असीमित पहुंच दे देते हैं।

क्या टोकन खाली हो जाने के बाद उन्हें वापस पाया जा सकता है?

टोकन ट्रांसफर हो जाने के बाद पुनर्प्राप्ति अत्यंत कठिन होती है। ब्लॉकचेन लेनदेन अपरिवर्तनीय होते हैं, और हमलावर टोकन को जल्दी से मिक्सर्स (जैसे Tornado Cash) या विकेंद्रीकृत एक्सचेंजों में भेज देते हैं। यदि आप पहचान पाते हैं कि टोकन कहां बेचे गए, तो संबंधित एक्सचेंज से संपर्क कर सकते हैं, लेकिन इससे पुनर्प्राप्ति की संभावना कम ही होती है। अनुमोदन प्रबंधन के माध्यम से रोकथाम पुनर्प्राप्ति प्रयासों से कहीं अधिक प्रभावी है।

रिपोर्ट कहाँ करें — भारत

आपके क्षेत्र में इस घोटाले की रिपोर्ट के लिए आधिकारिक चैनल।

राष्ट्रीय साइबर अपराध रिपोर्टिंग पोर्टल

साइबर अपराध

गृह मंत्रालय का साइबर अपराध हेल्पलाइन (1930) और रिपोर्टिंग पोर्टल।

1930 जाएँ →

CERT-In

रिपोर्टिंग

इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के तहत साइबर सुरक्षा एजेंसी।

जाएँ →

राष्ट्रीय उपभोक्ता हेल्पलाइन

उपभोक्ता संरक्षण

उपभोक्ता मामलों के विभाग द्वारा संचालित शिकायत हेल्पलाइन।

1915 जाएँ →

RBI Sachet (वित्तीय धोखाधड़ी)

वित्तीय नियामक

भारतीय रिजर्व बैंक का अनधिकृत संस्थाओं की रिपोर्ट के लिए पोर्टल।

जाएँ →

क्या आपको लगता है कि आप इस घोटाले के संपर्क में आए?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), टोकन अनुमोदन शोषण: कैसे स्कैमर्स वेब3 वॉलेट्स को खाली करते हैं is described at https://scamlens.org/hi/encyclopedia/token-approval-exploit.

https://scamlens.org/hi/encyclopedia/token-approval-exploit

यहाँ से शुरू करें

सुरक्षा जाँच

इंटेलिजेंस

उपकरण और रिपोर्ट

प्रीमियम सेवाएँ

एक्सटेंशन और API