Одобрение токенов (Token Approval): как опустошают кошельки и как отозвать разрешения
Практическое руководство о разрешениях смарт-контрактов (Token Approval): как контракты-дренеры опустошают кошельки и как безопасно проверить и отозвать разрешения в сетях вроде BEP20.
Бывало ли, что вы подключали кошелёк к децентрализованному приложению (dApp) одним нажатием кнопки "Approve" — и тут же об этом забывали? Этот, казалось бы, мимолётный момент может оставаться активным годами, и именно так сегодня чаще всего опустошают кошельки. В этом гайде мы разберём, что такое "разрешение токена" (Token Approval), как этим пользуются мошенники и, самое главное, как самостоятельно проверить и отозвать свои разрешения шаг за шагом.
Что означает "разрешение токена" (Token Approval)?
Такие токены, как USDT в сети BEP20, не двигаются сами по себе. Когда вы хотите использовать их в децентрализованном приложении — для свопа, предоставления ликвидности или любого другого смарт-контракта, — этому контракту нужно заранее полученное разрешение списывать токен с вашего кошелька. Это разрешение называется "Allowance", и вы выдаёте его транзакцией "Approve".
Проблема в том, что по умолчанию многие приложения запрашивают неограниченное (Unlimited) разрешение: по сути "разреши этому контракту списывать любое количество этого токена, в любое время, бесконечно". Вы подписываете один раз, но дверь остаётся открытой, пока вы сами её не закроете.
Подписание "Approve" само по себе не перемещает ваши деньги в этот момент, но даёт контракту постоянный ключ. Опасность не в текущей сумме, а в разрешении, которое остаётся открытым на будущее.
Как контракты-дренеры опустошают кошельки?
Контракты-дренеры (Approval Drainers) не "взламывают" ваш кошелёк — они обманом заставляют вас самих подписать разрешение. Обычный сценарий выглядит так:
- Вы попадаете на поддельный сайт, похожий на известную платформу, или вас соблазняет сообщение о "награде" или бесплатном "эйрдропе" (Airdrop).
- Сайт просит подключить кошелёк, а затем показывает окно подписи, которое выглядит вполне обычно.
- На самом деле подпись означает выдачу неограниченного разрешения на токен, которым вы владеете (например, USDT или токен сети).
- Внешне ничего не происходит, поэтому вы решаете, что попытка не удалась, и уходите.
- Через часы или дни злоумышленник вызывает функцию
transferFromи списывает ваш баланс — сразу или постепенно.
Самый коварный вариант — подписи Permit и Permit2: это подпись "вне сети" (off-chain), она не требует газа и не выглядит как транзакция, но при этом даёт полное разрешение. Поэтому такой запрос может казаться совершенно безобидным.
Ни одна серьёзная платформа никогда не попросит вас "подписать что-то ради награды" или "реактивировать аккаунт", выдав разрешение на свои токены. Любая просьба подписать что-то в обмен на бесплатные деньги — это почти всегда сигнал опасности.
Тревожные признаки перед подписанием
- Ссылка на сайт пришла из личного сообщения, платной рекламы или от аккаунта "поддержки", который написал вам первым.
- Окно подписи в кошельке показывает
ApproveилиPermitдля токена, который вы сейчас не собираетесь обменивать. - Запрашиваемое разрешение неограниченное, хотя вам нужна лишь небольшая сумма.
- Адрес контракта-получателя незнакомый и не отображается в блокчейн-эксплорере как известный контракт.
- Давление и спешка: "предложение истекает через несколько минут".
Как проверить и отозвать свои разрешения?
Хорошая новость в том, что разрешения можно отозвать в любой момент, и сделать это просто. Суть в том, что вы отправляете транзакцию, которая сбрасывает разрешённый лимит обратно до нуля.
Практические шаги
- Откройте в браузере надёжный инструмент для проверки разрешений (Revoke Tool) и обязательно введите адрес вручную, а не переходите по ссылке из сообщения.
- Подключите кошелёк или, что ещё лучше, сначала вставьте только свой публичный адрес для просмотра без подключения, а отзыв выполняйте уже после проверки.
- Выберите нужную сеть (например, BNB Smart Chain для токенов BEP20).
- Просмотрите список разрешений: в каждой строке — токен, контракт-получатель и разрешённый лимит.
- Найдите неограниченные разрешения или контракты, которые вам незнакомы, и нажмите "Revoke".
- Подпишите транзакцию отзыва, оплатите небольшую комиссию за газ и дождитесь подтверждения.
Каждая транзакция отзыва в сети стоит небольшую комиссию за газ. Расставьте приоритеты: сначала отзывайте неограниченные разрешения на самые ценные токены (USDT, токены сети).
Способы проверки разрешений
| Способ | Как это работает | Примечание |
|---|---|---|
| Специализированный инструмент отзыва | Показывает все разрешения и отзывает их одним нажатием | Самый быстрый способ; внимательно проверяйте адрес сайта |
| Блокчейн-эксплорер | Вкладка "Token Approvals" в эксплорере сети | Надёжно и напрямую из данных сети |
| Сам кошелёк | В некоторых кошельках есть встроенный раздел разрешений | Удобно, если доступно в вашем кошельке |
Привычки, которые защитят вас в будущем
- Указывайте сумму: при каждом "Approve" выбирайте разрешение по своей реальной потребности, а не "неограниченное", если приложение это позволяет.
- Проверяйте регулярно: просматривайте свои разрешения каждые несколько недель и после любого взаимодействия с новым сайтом.
- Разделяйте кошельки: небольшой "тестовый" кошелёк для взаимодействия с новыми сайтами и отдельный "сейф"-кошелёк, который вы не подключаете ни к одному dApp.
- Читайте окно подписи: прежде чем нажать, поймите название функции и контракт-получателя; если не понимаете — не подписывайте.
- Остерегайтесь подписей без газа: подпись
Permitможет быть бесплатной, но при этом даёт полное разрешение.
Этот материал носит исключительно образовательный характер и предназначен для повышения вашей осведомлённости о безопасности — это не финансовый, юридический или религиозный совет. Инструменты отзыва и названия сетей со временем меняются, поэтому всегда самостоятельно проверяйте официальные источники, прежде чем подключать кошелёк или что-либо подписывать. Ответственность за защиту ваших ключей и разрешений полностью лежит на вас.
Итог
Разрешение токена — необходимый инструмент для децентрализованных приложений, но также и самая используемая мошенниками "чёрная дверь". Правило простое: выдавайте только то, что действительно нужно, и отзывайте то, чем больше не пользуетесь. Сделайте проверку разрешений такой же регулярной привычкой, как уборка в кошельке, — и вы закроете перед мошенниками самую широкую дверь ещё до того, как они в неё постучат. В Paperino мы верим, что безопасность начинается с осведомлённости: один шаг по отзыву разрешения сегодня может завтра сохранить весь ваш баланс.
Похожие статьи
Удача любит смелых. Дерзай — награды настоящие.