Approve, Allowance, Revoke: come non trasformare il tuo wallet in un bancomat

Disclaimer: questo materiale è solo a scopo informativo e non costituisce consulenza d'investimento.

Se dei token hanno mai lasciato il tuo wallet senza una conferma, in 9 casi su 10 non è stato un hack della blockchain — era un permesso vecchio che avevi concesso a uno smart contract a un certo punto. Nel 2026 questo è uno dei modi più comuni in cui gli utenti retail perdono fondi: drainers, pagine di phishing, controlli di idoneità falsi — tutto l'ecosistema ruota intorno alle firme e alle autorizzazioni sui token.

Spieghiamo cos'è approve/allowance, perché le approvazioni illimitate sono pericolose, come funziona la revoca e cosa fare se hai già cliccato la cosa sbagliata.

Termini chiave

Approve: permesso che concedi a uno smart contract di spendere i tuoi token.

Allowance: l'ammontare di quel permesso (quanto può spendere).

Revoke: annullamento di quel permesso (di solito impostando l'allowance a zero).

Non stai approvando "il tuo wallet". Stai approvando un indirizzo di contratto specifico — e spesso per un importo molto grande (a volte di fatto illimitato).

Come avviene di solito il furto tramite Approve

Un flusso classico è il seguente:

1. Arrivi su un sito: “airdrop / claim / check eligibility / mint / verify wallet”.
2. Connetti il tuo wallet.
3. Il sito ti chiede di fare un'azione “innocua” — molto spesso un approve.
4. La confermi.
5. Dopo di ciò, il contratto (o chi lo controlla) può trasferire i tuoi token senza chiederti di nuovo, finché l'allowance non viene revocata o esaurita.

Ecco perché sembra che i token siano stati presi senza una firma. La firma c'è stata — solo che è avvenuta prima.

Perché l'approvazione illimitata è il segnale d'allarme più grande

Molte interfacce impostano per default massimo/illimitato così non paghi gas ogni volta che scambi o interagisci.

Vantaggio: meno attrito.

Svantaggio: un errore può permettere a qualcuno di prosciugare i tuoi token fino a zero.

Una regola pratica:

• Per azioni one-off, approva un importo preciso (o un tetto basso).
• Le approvazioni illimitate dovrebbero essere trattate come dare a un'azienda la tua carta senza limite di spesa.

Rischio aggiuntivo del 2026: Permit/Permit2 e firme senza gas

Qui molti utenti ci cascano. 

Esistono due realtà diverse:

1) Approve ERC-20 classico

Questa è una transazione on-chain. Paghi gas. L'approvazione è visibile negli explorer e negli strumenti di revoca.

2) Permit / Permit2 (permessi senza gas tramite firme)

Qui firmi un messaggio, e la possibilità di spendere token può essere attivata tramite un meccanismo diverso (a volte senza che tu invii una transazione di approve separata al momento della firma). 

Per l'utente è peggio: “solo una firma” → token spariti.

Se un sito ti chiede di firmare per verificare o per controllare l'idoneità, consideralo ad alto rischio. In molte truffe reali, quello è tutto l'attacco.

Come controllare quali contratti hanno autorizzazioni

Scegli uno di questi approcci.

Opzione A: Strumenti di revoca

Apri un token approval checker, connetti il wallet, seleziona la rete e rivedi le approvazioni.

Cosa controllare:

• nomi o domini di contratto non familiari;
• allowance enormi;
• allowance per stablecoin (USDT/USDC/DAI) — il preferito dei drainer;
• approvazioni NFT (spesso mostrate in una scheda separata).

Opzione B: Blockchain explorer (Etherscan e equivalenti)

Utile se vuoi verificare manualmente gli indirizzi.

Cosa controllare:

• transazioni di approve;
• l'indirizzo del contratto che ha ricevuto l'allowance;
• liste di approvazioni token (se l'interfaccia dell'explorer le fornisce).

Opzione C: Interfaccia del tuo wallet

Alcuni wallet mostrano le approvazioni, ma gli strumenti specializzati sono in genere più veloci e chiari.

Come revocare in sicurezza

Passo 1: Identifica la rete corretta

Le approvazioni sono per rete: Ethereum, Arbitrum, Base, BNB Chain, ecc.

Se hai approvato durante una claim su una chain — devi revocare sulla stessa chain.

Passo 2: Apri le approvazioni e dai priorità in base al rischio

Inizia con gli stablecoin (USDT/USDC/DAI), token liquidi grandi (wrapped ETH, asset principali), poi tutto il resto.

Passo 3: Rimuovi approvazioni illimitate e sconosciute

Usa Revoca/Imposta allowance a 0.

Questo è di solito una transazione on-chain, quindi pagherai gas.

Passo 4: Ricontrolla dopo qualche minuto

Alcune interfacce fanno cache dei risultati. Conferma che l'allowance sia ora 0.

Cosa fare se i token sono già stati prosciugati

Trattalo come un incendio.

1) Sposta immediatamente i fondi rimanenti su un nuovo indirizzo — subito

• idealmente crealo in un profilo browser pulito o su un dispositivo non compromesso;
• non connettere il wallet compromesso a siti di “recovery” o di “controllo”.

2) Revoca le approvazioni sull'indirizzo compromesso

Questo non recupererà i fondi rubati, ma può fermare ulteriori trasferimenti di ciò che è ancora rimasto.

3) Controlla le approvazioni su tutte le reti

Le truffe spesso sono multi-chain. Molti puliscono Ethereum e dimenticano Base/Arbitrum.

4) Separa le attività a rischio dal tuo wallet principale d'ora in poi

Se quell'indirizzo è stato usato per airdrop/mini-app, non continuare a usarlo come wallet principale.

Conclusione

Approve è una meccanica utile — ed è anche la ragione per cui i wallet diventano più spesso un bancomat per gli attaccanti. Nel 2026 vincono quelli che applicano l'igiene di base: limitare le approvazioni, revocare regolarmente e separare gli indirizzi per ruolo.