Approve, Allowance, Revoke: come non trasformare il tuo wallet in un bancomat
Disclaimer: questo materiale è solo a scopo informativo e non costituisce consulenza d'investimento.
Se dei token hanno mai lasciato il tuo wallet senza una conferma, in 9 casi su 10 non è stato un hack della blockchain — era un permesso vecchio che avevi concesso a uno smart contract a un certo punto. Nel 2026 questo è uno dei modi più comuni in cui gli utenti retail perdono fondi: drainers, pagine di phishing, controlli di idoneità falsi — tutto l'ecosistema ruota intorno alle firme e alle autorizzazioni sui token.
Spieghiamo cos'è approve/allowance, perché le approvazioni illimitate sono pericolose, come funziona la revoca e cosa fare se hai già cliccato la cosa sbagliata.
Termini chiave
Approve: permesso che concedi a uno smart contract di spendere i tuoi token.
Allowance: l'ammontare di quel permesso (quanto può spendere).
Revoke: annullamento di quel permesso (di solito impostando l'allowance a zero).
Non stai approvando "il tuo wallet". Stai approvando un indirizzo di contratto specifico — e spesso per un importo molto grande (a volte di fatto illimitato).
Come avviene di solito il furto tramite Approve
Un flusso classico è il seguente:
- Arrivi su un sito: “airdrop / claim / check eligibility / mint / verify wallet”.
- Connetti il tuo wallet.
- Il sito ti chiede di fare un'azione “innocua” — molto spesso un approve.
- La confermi.
- Dopo di ciò, il contratto (o chi lo controlla) può trasferire i tuoi token senza chiederti di nuovo, finché l'allowance non viene revocata o esaurita.
Ecco perché sembra che i token siano stati presi senza una firma. La firma c'è stata — solo che è avvenuta prima.
Perché l'approvazione illimitata è il segnale d'allarme più grande
Molte interfacce impostano per default massimo/illimitato così non paghi gas ogni volta che scambi o interagisci.
Vantaggio: meno attrito.
Svantaggio: un errore può permettere a qualcuno di prosciugare i tuoi token fino a zero.
Una regola pratica:
- Per azioni one-off, approva un importo preciso (o un tetto basso).
- Le approvazioni illimitate dovrebbero essere trattate come dare a un'azienda la tua carta senza limite di spesa.
Rischio aggiuntivo del 2026: Permit/Permit2 e firme senza gas
Qui molti utenti ci cascano.
Esistono due realtà diverse:
1) Approve ERC-20 classico
Questa è una transazione on-chain. Paghi gas. L'approvazione è visibile negli explorer e negli strumenti di revoca.
2) Permit / Permit2 (permessi senza gas tramite firme)
Qui firmi un messaggio, e la possibilità di spendere token può essere attivata tramite un meccanismo diverso (a volte senza che tu invii una transazione di approve separata al momento della firma).
Per l'utente è peggio: “solo una firma” → token spariti.
Se un sito ti chiede di firmare per verificare o per controllare l'idoneità, consideralo ad alto rischio. In molte truffe reali, quello è tutto l'attacco.
Come controllare quali contratti hanno autorizzazioni
Scegli uno di questi approcci.
Opzione A: Strumenti di revoca
Apri un token approval checker, connetti il wallet, seleziona la rete e rivedi le approvazioni.
Cosa controllare:
- nomi o domini di contratto non familiari;
- allowance enormi;
- allowance per stablecoin (USDT/USDC/DAI) — il preferito dei drainer;
- approvazioni NFT (spesso mostrate in una scheda separata).
Opzione B: Blockchain explorer (Etherscan e equivalenti)
Utile se vuoi verificare manualmente gli indirizzi.
Cosa controllare:
- transazioni di approve;
- l'indirizzo del contratto che ha ricevuto l'allowance;
- liste di approvazioni token (se l'interfaccia dell'explorer le fornisce).
Opzione C: Interfaccia del tuo wallet
Alcuni wallet mostrano le approvazioni, ma gli strumenti specializzati sono in genere più veloci e chiari.
Come revocare in sicurezza
Passo 1: Identifica la rete corretta
Le approvazioni sono per rete: Ethereum, Arbitrum, Base, BNB Chain, ecc.
Se hai approvato durante una claim su una chain — devi revocare sulla stessa chain.
Passo 2: Apri le approvazioni e dai priorità in base al rischio
Inizia con gli stablecoin (USDT/USDC/DAI), token liquidi grandi (wrapped ETH, asset principali), poi tutto il resto.
Passo 3: Rimuovi approvazioni illimitate e sconosciute
Usa Revoca/Imposta allowance a 0.
Questo è di solito una transazione on-chain, quindi pagherai gas.
Passo 4: Ricontrolla dopo qualche minuto
Alcune interfacce fanno cache dei risultati. Conferma che l'allowance sia ora 0.
Cosa fare se i token sono già stati prosciugati
Trattalo come un incendio.
1) Sposta immediatamente i fondi rimanenti su un nuovo indirizzo — subito
- idealmente crealo in un profilo browser pulito o su un dispositivo non compromesso;
- non connettere il wallet compromesso a siti di “recovery” o di “controllo”.
2) Revoca le approvazioni sull'indirizzo compromesso
Questo non recupererà i fondi rubati, ma può fermare ulteriori trasferimenti di ciò che è ancora rimasto.
3) Controlla le approvazioni su tutte le reti
Le truffe spesso sono multi-chain. Molti puliscono Ethereum e dimenticano Base/Arbitrum.
4) Separa le attività a rischio dal tuo wallet principale d'ora in poi
Se quell'indirizzo è stato usato per airdrop/mini-app, non continuare a usarlo come wallet principale.
Conclusione
Approve è una meccanica utile — ed è anche la ragione per cui i wallet diventano più spesso un bancomat per gli attaccanti. Nel 2026 vincono quelli che applicano l'igiene di base: limitare le approvazioni, revocare regolarmente e separare gli indirizzi per ruolo.