Все статьи
Безопасность кошелькаСмарт-контрактыBEP20

Одобрение токенов (Token Approval): как опустошают кошельки и как отозвать разрешения

Практическое руководство о разрешениях смарт-контрактов (Token Approval): как контракты-дренеры опустошают кошельки и как безопасно проверить и отозвать разрешения в сетях вроде BEP20.

Команда Paperino5 мин чтения

Бывало ли, что вы подключали кошелёк к децентрализованному приложению (dApp) одним нажатием кнопки "Approve" — и тут же об этом забывали? Этот, казалось бы, мимолётный момент может оставаться активным годами, и именно так сегодня чаще всего опустошают кошельки. В этом гайде мы разберём, что такое "разрешение токена" (Token Approval), как этим пользуются мошенники и, самое главное, как самостоятельно проверить и отозвать свои разрешения шаг за шагом.

Что означает "разрешение токена" (Token Approval)?

Такие токены, как USDT в сети BEP20, не двигаются сами по себе. Когда вы хотите использовать их в децентрализованном приложении — для свопа, предоставления ликвидности или любого другого смарт-контракта, — этому контракту нужно заранее полученное разрешение списывать токен с вашего кошелька. Это разрешение называется "Allowance", и вы выдаёте его транзакцией "Approve".

Проблема в том, что по умолчанию многие приложения запрашивают неограниченное (Unlimited) разрешение: по сути "разреши этому контракту списывать любое количество этого токена, в любое время, бесконечно". Вы подписываете один раз, но дверь остаётся открытой, пока вы сами её не закроете.

Подписание "Approve" само по себе не перемещает ваши деньги в этот момент, но даёт контракту постоянный ключ. Опасность не в текущей сумме, а в разрешении, которое остаётся открытым на будущее.

Как контракты-дренеры опустошают кошельки?

Контракты-дренеры (Approval Drainers) не "взламывают" ваш кошелёк — они обманом заставляют вас самих подписать разрешение. Обычный сценарий выглядит так:

  1. Вы попадаете на поддельный сайт, похожий на известную платформу, или вас соблазняет сообщение о "награде" или бесплатном "эйрдропе" (Airdrop).
  2. Сайт просит подключить кошелёк, а затем показывает окно подписи, которое выглядит вполне обычно.
  3. На самом деле подпись означает выдачу неограниченного разрешения на токен, которым вы владеете (например, USDT или токен сети).
  4. Внешне ничего не происходит, поэтому вы решаете, что попытка не удалась, и уходите.
  5. Через часы или дни злоумышленник вызывает функцию transferFrom и списывает ваш баланс — сразу или постепенно.

Самый коварный вариант — подписи Permit и Permit2: это подпись "вне сети" (off-chain), она не требует газа и не выглядит как транзакция, но при этом даёт полное разрешение. Поэтому такой запрос может казаться совершенно безобидным.

Ни одна серьёзная платформа никогда не попросит вас "подписать что-то ради награды" или "реактивировать аккаунт", выдав разрешение на свои токены. Любая просьба подписать что-то в обмен на бесплатные деньги — это почти всегда сигнал опасности.

Тревожные признаки перед подписанием

  • Ссылка на сайт пришла из личного сообщения, платной рекламы или от аккаунта "поддержки", который написал вам первым.
  • Окно подписи в кошельке показывает Approve или Permit для токена, который вы сейчас не собираетесь обменивать.
  • Запрашиваемое разрешение неограниченное, хотя вам нужна лишь небольшая сумма.
  • Адрес контракта-получателя незнакомый и не отображается в блокчейн-эксплорере как известный контракт.
  • Давление и спешка: "предложение истекает через несколько минут".

Как проверить и отозвать свои разрешения?

Хорошая новость в том, что разрешения можно отозвать в любой момент, и сделать это просто. Суть в том, что вы отправляете транзакцию, которая сбрасывает разрешённый лимит обратно до нуля.

Практические шаги

  1. Откройте в браузере надёжный инструмент для проверки разрешений (Revoke Tool) и обязательно введите адрес вручную, а не переходите по ссылке из сообщения.
  2. Подключите кошелёк или, что ещё лучше, сначала вставьте только свой публичный адрес для просмотра без подключения, а отзыв выполняйте уже после проверки.
  3. Выберите нужную сеть (например, BNB Smart Chain для токенов BEP20).
  4. Просмотрите список разрешений: в каждой строке — токен, контракт-получатель и разрешённый лимит.
  5. Найдите неограниченные разрешения или контракты, которые вам незнакомы, и нажмите "Revoke".
  6. Подпишите транзакцию отзыва, оплатите небольшую комиссию за газ и дождитесь подтверждения.

Каждая транзакция отзыва в сети стоит небольшую комиссию за газ. Расставьте приоритеты: сначала отзывайте неограниченные разрешения на самые ценные токены (USDT, токены сети).

Способы проверки разрешений

СпособКак это работаетПримечание
Специализированный инструмент отзываПоказывает все разрешения и отзывает их одним нажатиемСамый быстрый способ; внимательно проверяйте адрес сайта
Блокчейн-эксплорерВкладка "Token Approvals" в эксплорере сетиНадёжно и напрямую из данных сети
Сам кошелёкВ некоторых кошельках есть встроенный раздел разрешенийУдобно, если доступно в вашем кошельке

Привычки, которые защитят вас в будущем

  • Указывайте сумму: при каждом "Approve" выбирайте разрешение по своей реальной потребности, а не "неограниченное", если приложение это позволяет.
  • Проверяйте регулярно: просматривайте свои разрешения каждые несколько недель и после любого взаимодействия с новым сайтом.
  • Разделяйте кошельки: небольшой "тестовый" кошелёк для взаимодействия с новыми сайтами и отдельный "сейф"-кошелёк, который вы не подключаете ни к одному dApp.
  • Читайте окно подписи: прежде чем нажать, поймите название функции и контракт-получателя; если не понимаете — не подписывайте.
  • Остерегайтесь подписей без газа: подпись Permit может быть бесплатной, но при этом даёт полное разрешение.

Этот материал носит исключительно образовательный характер и предназначен для повышения вашей осведомлённости о безопасности — это не финансовый, юридический или религиозный совет. Инструменты отзыва и названия сетей со временем меняются, поэтому всегда самостоятельно проверяйте официальные источники, прежде чем подключать кошелёк или что-либо подписывать. Ответственность за защиту ваших ключей и разрешений полностью лежит на вас.

Итог

Разрешение токена — необходимый инструмент для децентрализованных приложений, но также и самая используемая мошенниками "чёрная дверь". Правило простое: выдавайте только то, что действительно нужно, и отзывайте то, чем больше не пользуетесь. Сделайте проверку разрешений такой же регулярной привычкой, как уборка в кошельке, — и вы закроете перед мошенниками самую широкую дверь ещё до того, как они в неё постучат. В Paperino мы верим, что безопасность начинается с осведомлённости: один шаг по отзыву разрешения сегодня может завтра сохранить весь ваш баланс.

Готовы переходить?

Зарегистрируйтесь, заберите первую утку и начните зарабатывать USDT.

Начать

Похожие статьи

Удача любит смелых. Дерзай — награды настоящие.