Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Этикетки адресов в Etherscan: как мошенники скрывают след украденных активов

False label — поддельная метка адреса в блокчейн-обозревателе, которая визуально маскирует кошелёк злоумышленника под легитимный контракт или биржу. Инструмент используется вместе с фишинговыми approve-запросами: жертва видит «знакомое» имя и подписывает разрешение на вывод токенов. Проверить реальную принадлежность адреса можно — но только через первоисточники, а не через отображаемую метку.

Автор: ~8 мин

Что такое false label в контексте Etherscan?

Etherscan позволяет верифицированным проектам присваивать адресам публичные метки — отображаемые имена вместо hex-адреса. Мошенники эксплуатируют пользовательские (непубличные) метки и создают контракты с названиями, визуально совпадающими с Uniswap, USDT или Binance. Жертва видит знакомое имя в поп-апе кошелька и подтверждает транзакцию. Риск: проверка по отображаемой метке, а не по hex-адресу, даёт атакующему полный контроль над одобренными токенами.

Источник: ERC-20 Token Approval: риски и механика

Как работает фишинговый approve через поддельный контракт?

Атака строится в три шага: контракт деплоится с именем, имитирующим известный протокол; пользователю отправляется пыль (dust) или NFT со ссылкой на «аирдроп»; при клике сайт запрашивает `approve(spender, type(uint256).max)` — неограниченное разрешение. После подписи дрейнер вызывает `transferFrom` и выводит весь баланс токена. Риск: отзыв approve после факта кражи бессмысленен — активы уже перемещены.

Чем отличается верифицированная метка от пользовательской?

Верифицированные метки в Etherscan проходят ручную проверку командой обозревателя и отображаются со значком верификации. Пользовательские метки — это локальные заметки, которые видит только владелец аккаунта Etherscan, либо метки третьих сторон, не прошедшие проверку. Мошенники деплоят контракты и подают заявки на метки с правдоподобными именами. Риск: без значка верификации и проверки исходного кода метка не является доказательством принадлежности адреса.

Как отличить владельца контракта от мошенника?

Три проверки: во-первых, сравните hex-адрес контракта с официальной документацией протокола или его GitHub — мошенники не могут подменить адрес в первоисточнике. Во-вторых, откройте вкладку «Contract» в Etherscan: верифицированный код должен совпадать с репозиторием. В-третьих, проверьте дату деплоя и объём взаимодействий — легитимные контракты Uniswap/USDT имеют миллионы транзакций и деплой 2020–2021 гг. Риск: новый контракт с «правильным» именем и нулевой историей — почти всегда фишинг.

Какие инструменты помогают выявить вредоносные approve?

Revoke.cash и Etherscan Token Approvals показывают все активные разрешения кошелька. Tools4Crypto Scam Checker проверяет адрес по базам известных дрейнеров. WalletGuard и Pocket Universe анализируют транзакцию до подписи и предупреждают о подозрительных spender-адресах. Риск: базы обновляются с задержкой — новый контракт дрейнера может пройти через фильтры первые 24–72 часа после деплоя.

Источник: ERC-20 Token Approval: риски и механика

Что делать, если вредоносный approve уже подписан?

Немедленно откройте Etherscan Token Approvals или Revoke.cash, найдите разрешение для подозрительного адреса и отзовите его через `approve(spender, 0)`. Если активы ещё не выведены — есть шанс успеть раньше дрейнера. Если уже выведены — транзакция необратима: блокчейн не имеет механизма отмены подтверждённой операции. Зафиксируйте TX hash для возможного обращения в правоохранительные органы.

Источник: Malicious Approval Drain: разбор атаки

Можно ли доверять метке в Etherscan как подтверждению подлинности?

Нет. Метка — это отображаемое имя, которое не является криптографическим доказательством принадлежности. Только верифицированный код контракта и совпадение адреса с официальной документацией подтверждают подлинность.

Эксклюзив от ИнвестХомяка

Признаки false label: быстрая диагностика

ПризнакЛегитимный контрактПодозрительный контракт
Дата деплоя2020–2022, тысячи взаимодействийПоследние дни/недели, <100 транзакций
Верификация кодаИсходный код опубликован, совпадает с GitHubКод не верифицирован или минимальный прокси
Метка EtherscanВерифицированная + значокПользовательская или отсутствует
Запрашиваемый лимитКонкретная сумма операции`type(uint256).max` (неограниченный)

Approve-запрос: легитимный протокол vs дрейнер

КритерийЛегитимный протоколДрейнер с false label
Адрес spenderСовпадает с официальной документациейНовый адрес, не упомянутый в доках
Запрашиваемый лимитРавен сумме текущей операцииНеограниченный (max uint256)
Верификация контрактаКод открыт, аудит пройденКод закрыт или minimal proxy
История транзакцийМиллионы взаимодействий, годы работыДни/недели, единицы транзакций
Источник ссылкиОфициальный сайт / GitHub протоколаРеклама, airdrop, DM в Discord

Как проверить контракт перед подписью approve

  1. Скопируйте hex-адрес контракта

    До подтверждения любой транзакции скопируйте полный адрес из поп-апа кошелька — не полагайтесь на отображаемое имя.

  2. Сверьтесь с официальным источником

    Откройте официальный сайт или GitHub протокола и найдите раздел «Deployed Contracts» — адрес должен совпадать побайтово.

  3. Проверьте контракт в Etherscan

    Откройте адрес в Etherscan: убедитесь, что код верифицирован, метка имеет значок проверки, дата деплоя и число транзакций соответствуют зрелому протоколу.

  4. Проанализируйте параметры approve

    Убедитесь, что лимит (`amount`) равен сумме текущей операции, а не `type(uint256).max`. Неограниченный approve допустим только для протоколов, которым вы доверяете и регулярно используете.

  5. Отзовите лишние разрешения

    После завершения операции зайдите на Revoke.cash и отзовите approve, который больше не нужен — это закрывает окно для будущей атаки дрейнера.

Частые вопросы

Можно ли доверять метке в Etherscan как подтверждению подлинности?

Нет. Метка — это отображаемое имя, которое не является криптографическим доказательством принадлежности. Только верифицированный код контракта и совпадение адреса с официальной документацией подтверждают подлинность.

Как дрейнер выводит активы после получения approve?

После того как жертва подписала `approve`, дрейнер вызывает `transferFrom(victim, attacker, amount)` — стандартную функцию ERC-20. Эта операция полностью легальна с точки зрения протокола: жертва сама дала разрешение. Блокчейн не различает «законный» и «мошеннический» transferFrom.

Защищает ли аппаратный кошелёк от фишингового approve?

Частично. Аппаратный кошелёк требует физического подтверждения транзакции, что даёт время на проверку. Однако если пользователь не читает параметры на экране устройства и нажимает «подтвердить» механически — защита сводится к нулю. Атака approve работает независимо от типа кошелька.

Что такое permit-атака и чем она хуже approve?

ERC-20 Permit (EIP-2612) позволяет подписать разрешение офчейн — без отдельной on-chain транзакции и без комиссии. Мошенник получает подпись через фишинговый сайт и сам оплачивает транзакцию вывода. В отличие от approve, permit-подпись не видна в Token Approvals до момента использования — обнаружить её заранее сложнее.

Облагается ли кража крипто налогом в РФ?

Потери от мошенничества не уменьшают налоговую базу автоматически. Доход от продажи/обмена крипто облагается НДФЛ 13–15%. Для учёта убытков от кражи необходимо официальное подтверждение факта мошенничества — обращение в полицию и решение суда. Проконсультируйтесь с налоговым консультантом по актуальным нормам 259-ФЗ.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники