Onay, İzin, İptal: Cüzdanınızı ATM'ye Dönüştürmeyin
Uyarı: bu materyal yalnızca bilgi amaçlıdır ve yatırım tavsiyesi değildir.
Tokenler herhangi bir onay olmadan cüzdanınızdan çıktıysa, 10 vakadan 9'unda bu bir blokzincir saldırısı değildi — daha önce bir akıllı sözleşmeye verdiğiniz bir izindi. 2026'da perakende kullanıcıların fon kaybetmesinin en yaygın yollarından biri bu: boşaltıcılar, kimlik avı sayfaları, sahte uygunluk kontrolleri — ekosistemin tamamı imzalar ve token izinleri etrafında dönüyor.
Approve/allowance'ın ne olduğunu, neden sınırsız onayların tehlikeli olduğunu, revoke'un nasıl çalıştığını ve yanlışlığa tıkladıysanız ne yapmanız gerektiğini parçalayalım.
Temel Terimler
Onay: bir akıllı sözleşmeye tokenlerinizi harcama izni vermeniz.
İzin (Allowance): o iznin büyüklüğü (ne kadar harcayabileceği).
İptal (Revoke): o iznin iptali (genellikle iznin sıfırlanması).
“Cüzdanınızı” onaylamıyorsunuz. Belirli bir sözleşme adresini onaylıyorsunuz — ve çoğunlukla çok büyük bir tutar için (bazen pratikte sınırsız).
Onay Yoluyla Hırsızlık Genellikle Nasıl Olur
Klasik akış şöyle görünür:
- Bir siteye girersiniz: “airdrop / claim / uygunluk kontrolü / mint / cüzdan doğrulama”.
- Cüzdanınızı bağlarsınız.
- Site sizden “zararsız” bir işlem yapmanızı ister — çoğunlukla bir onay.
- Bunu onaylarsınız.
- Bundan sonra sözleşme (veya onu kontrol edenler) izni iptal edene veya izin tükenene kadar tokenlerinizi tekrar size sormadan transfer edebilir.
İşte bu yüzden tokenlerin imzasız alınmış gibi hissetmesi normal. İmza atılmıştı — sadece daha önce.
Neden Sınırsız Onay En Büyük Kırmızı Bayraktır
Birçok arayüz, her takas veya etkileşimde gaz ödememek için varsayılan olarak maksimum/sınırsız seçeneğini gösterir.
Avantaj: daha az sürtünme.
Dezavantaj: bir hata, birisinin tokenlerinizi sıfıra kadar boşaltmasına izin verebilir.
Pratik bir kural:
- Tek seferlik işlemler için tam miktarı (veya küçük bir üst sınırı) onaylayın.
- Sınırsız onayları, bir şirkete harcama limiti olmayan kartınızı vermek gibi düşünün.
2026'nın Ek Riski: Permit/Permit2 ve Gazsız İmzalar
Bununla birçok kullanıcı yakalanıyor.
İki farklı gerçeklik var:
1) Klasik ERC-20 onayı
Bu zincir üstü (on-chain) bir işlemdir. Gaz ödersiniz. Onay, gezginlerde ve revoke araçlarında görülebilir.
2) Permit / Permit2 (imzalarla gazsız izinler)
Burada bir mesaj imzalıyorsunuz ve token harcama yeteneği farklı bir mekanizma ile etkinleştirilebilir (bazen imza anında ayrı bir onay işlemi göndermenize gerek kalmadan).
Kullanıcı için daha kötüsü: “sadece bir imza” → tokenler gitti.
Eğer bir site sizden doğrulamak için veya uygunluk kontrolü için imzalamanızı istiyorsa, bunu yüksek riskli olarak değerlendirin. Birçok gerçek dolandırıcılıkta saldırı tamamen budur.
Hangi Sözleşmelerin İzinleri Olduğunu Nasıl Kontrol Edersiniz
Bu yaklaşımlardan herhangi birini seçin.
Seçenek A: Revoke araçları
Bir token onay denetleyicisi açın, cüzdanınızı bağlayın, ağı seçin ve onayları inceleyin.
Dikkat edilecekler:
- tanımadığınız sözleşme isimleri/alan adları;
- çok büyük izinler;
- stablecoin izinleri (USDT/USDC/DAI) — boşaltıcıların favorisi;
- NFT onayları (genellikle ayrı bir sekmede gösterilir).
Seçenek B: Blokzincir gezginleri (Etherscan ve muadilleri)
Adresleri manuel doğrulamak istiyorsanız iyidir.
Dikkat edilecekler:
- Approve işlemleri;
- izin verilen sözleşme adresi;
- token onay listeleri (gezgin arayüzü sunuyorsa).
Seçenek C: Cüzdan arayüzünüz
Bazı cüzdanlar onayları gösterir, ancak uzmanlaşmış araçlar genellikle daha hızlı ve daha nettir.
İptal Etmeyi Güvenli Şekilde Nasıl Yaparsınız
Adım 1: Doğru ağı belirleyin
Onaylar ağ bazındadır: Ethereum, Arbitrum, Base, BNB Chain vb.
Eğer bir airdrop/claim sırasında bir zincirde onay verdiyseniz — iptali aynı zincirde yapmalısınız.
Adım 2: Onayları açın ve risk sırasına göre önceliklendirin
Stablecoinlerle (USDT/USDC/DAI) başlayın, büyük likit tokenler (wrapped ETH, büyük varlıklar), ardından diğerleri.
Adım 3: Sınırsız ve bilinmeyen onayları kaldırın
Revoke/Set allowance to 0 kullanın.
Bu genellikle on-chain bir işlemdir, bu yüzden gaz ödersiniz.
Adım 4: Birkaç dakika sonra tekrar kontrol edin
Bazı arayüzler sonuçları önbelleğe alır. İznin artık 0 olduğunu doğrulayın.
Zaten Tokenler Boşaltıldıysa Ne Yapmalısınız
Bunu bir yangın gibi ele alın.
1) Kalan varlıkları yeni bir adrese taşıyın — hemen
- tercihen temiz bir tarayıcı profili veya cihazda oluşturun;
- kompromite cüzdanı herhangi bir “kurtarma” veya “kontrol” sitesine bağlamayın.
2) Kompromite adresteki onayları iptal edin
Bu çalınan fonları geri getirmez, ama hâlâ kalan herhangi bir şeyin daha fazla transferini durdurabilir.
3) Tüm ağlarda onayları kontrol edin
Dolandırıcılıklar genellikle çok zincirlidir. İnsanlar Ethereum'u temizler ve Base/Arbitrum'u unutur.
4) İleride “riskli etkinliği” ana cüzdanınızdan ayırın
Eğer o adres airdroplar/mini-uygulamalar için kullanıldıysa, onu birincil cüzdanınız olarak kullanmaya devam etmeyin.
Sonuç
Onay faydalı bir mekaniktir — ama aynı zamanda cüzdanların en sık saldırganlara ATM olmasının nedenidir. 2026'da kazananlar temel hijyeni uygulayanlardır: onayları sınırlandırın, düzenli olarak iptal edin ve adresleri role göre ayırın.