Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Фишинг через безлимитные разрешения (approve): как обнаружить и отозвать

Функция approve в стандарте ERC-20 разрешает смарт-контракту тратить ваши токены без дополнительных подтверждений. Безлимитный approve (сумма 2^256−1) означает, что контракт может вывести весь баланс в любой момент. Большинство пользователей подписывают такие разрешения при каждом взаимодействии с DEX и не отзывают их годами.

Автор: ~8 мин

Что такое ERC-20 approve и зачем он нужен?

Approve — транзакция, которой владелец токена разрешает указанному адресу (spender) тратить до определённого лимита из его кошелька. Без этого механизма DEX и lending-протоколы не могут перемещать токены пользователя в рамках сделки. Протоколы часто запрашивают безлимитное разрешение для удобства, чтобы не требовать апрув перед каждой операцией. Риск: если смарт-контракт spender'а окажется вредоносным или будет взломан, злоумышленник получит доступ ко всем токенам в рамках выданного лимита.

Источник: Разрешения токенов (approve/allowance): что это и как отозвать — 24k.ru

Как работает ice phishing (approval phishing)?

Атака не взламывает кошелёк напрямую, а обманом заставляет жертву подписать approve на адрес злоумышленника. Схема: фейковый сайт имитирует легитимный DEX или NFT-минт, кошелёк показывает транзакцию approve, пользователь подтверждает, не читая параметры. После этого атакующий в любой момент вызывает transferFrom и выводит токены. Особенность ice phishing в том, что вредоносная транзакция — это легитимный вызов approve, а не эксплойт уязвимости: блокчейн выполняет именно то, что подписал пользователь.

Где проверить все активные approvals для своего кошелька?

Для Ethereum используйте revoke.cash или вкладку Token Approvals на Etherscan (etherscan.io/tokenapprovalchecker). Для Arbitrum — аналогичный раздел на Arbiscan. Сервисы показывают список spender-адресов, выданный лимит и дату последнего использования. Подключите кошелёк через WalletConnect или MetaMask — чтение бесплатно, отзыв требует оплаты газа. Риск: фейковые сайты-клоны revoke.cash существуют — проверяйте URL перед подключением кошелька.

Как отозвать разрешение и сколько это стоит?

Отзыв (revoke) — отдельная on-chain транзакция, которая устанавливает лимит в 0 для указанного spender. Через revoke.cash выберите сеть, подключите кошелёк, найдите нужный approve и нажмите Revoke. Стоимость: на Ethereum в 2025–2026 году газ на отзыв составляет порядка 0,5–3 долл. за транзакцию при стандартных условиях сети; в L2 (Arbitrum, Base) дешевле на порядок. Нюанс: отзыв не возвращает уже выведенные средства — он только прекращает доступ на будущее.

Что такое безопасный approve и как его запрашивать?

Безопасная практика — выдавать approve ровно на сумму текущей транзакции, а не на максимум. Ряд кошельков (Rabby Wallet) предлагает задать точный лимит при подтверждении. Также существует стандарт ERC-2612 (permit), позволяющий подписывать разрешение off-chain без отдельной транзакции — это удобнее, но тот же вектор фишинга работает через поддельные permit-подписи. Риск: permit-фишинг опаснее классического approve, так как не требует оплаты газа жертвой и не отображается в истории транзакций.

Источник: Approval phishing в DeFi: разрешения кошелька — CryptoTrade Wiki

Влияет ли отзыв разрешений на налоги в РФ?

Транзакция revoke не создаёт налогового события — она не передаёт токены и не фиксирует прибыль. Налог по НДФЛ (13–15% для резидентов) возникает при реализации криптовалюты, то есть при её продаже или обмене. Если злоумышленник вывел токены через скомпрометированный approve — это не продажа, и убыток сложно учесть в налоговой декларации без судебного решения. Правоприменение по таким случаям в РФ 2026 года остаётся непоследовательным.

Источник: Token Approvals Checker — Etherscan

Могут ли украсть ETH через approve?

Нет. Механизм ERC-20 approve работает только для токенов стандарта ERC-20. ETH (нативная монета Ethereum) передаётся через прямые транзакции, а не через transferFrom. Однако через поддельный permit или approve злоумышленник может вывести WETH (wrapped ETH) — ERC-20 токен, в который многие конвертируют ETH для DeFi.

Эксклюзив от ИнвестХомяка

Сравнение сервисов проверки и отзыва ERC-20 approvals

СервисПоддерживаемые сетиОсобенности
revoke.cashEthereum, Arbitrum, Base, Optimism, BSC и 60+ сетейПакетный отзыв (batch revoke), фильтрация по риску, открытый исходный код
Etherscan Token ApprovalsEthereum (основная сеть)Встроен в блокчейн-эксплорер, не требует отдельного сайта
Arbiscan Token ApprovalsArbitrum OneАналог Etherscan для Arbitrum, удобен для L2-пользователей
Rabby Wallet (встроенный модуль)Ethereum и EVM-совместимые сетиПредупреждает о рисках approve перед подписанием, показывает изменения баланса

Классический approve против permit (ERC-2612): ключевые отличия

КритерийApprove (ERC-20)Permit (ERC-2612)
Тип операцииOn-chain транзакцияOff-chain подпись (не транзакция)
Газ при выдаче разрешенияОплачивает пользовательНе требуется (газ платит тот, кто использует подпись)
Видимость в истории кошелькаОтображается как транзакцияНе отображается, только при использовании
Возможность отзываЧерез revoke-транзакциюИстекает по времени (deadline) или отзыв через стандартный approve(0)
Фишинг-рискВысокий: пользователь видит запрос, но не читает параметрыВыше: подпись выглядит безобидно, газа нет — меньше настороженности

Как проверить и отозвать опасные разрешения через revoke.cash

  1. Откройте revoke.cash и проверьте URL

    Перейдите строго на revoke.cash — не через поисковые объявления, не по ссылкам из Telegram. Фейковые клоны используют похожие домены (revokecash.com, revoke-cash.io и т.п.).

  2. Подключите кошелёк и выберите сеть

    Нажмите «Connect Wallet», выберите MetaMask или WalletConnect. Затем выберите нужную сеть (Ethereum, Arbitrum и др.) — список approvals отображается отдельно для каждой сети.

  3. Изучите список spender-адресов

    Сервис показывает адрес контракта, название (если верифицирован), лимит и дату выдачи. Проверьте незнакомые адреса через Etherscan — если контракт не верифицирован или помечен как фишинг, отзывайте немедленно.

  4. Отзовите подозрительные и устаревшие разрешения

    Нажмите Revoke рядом с нужным approve и подтвердите транзакцию в кошельке. На Ethereum каждый отзыв стоит газа; используйте batch revoke для массового отзыва — это дешевле, чем по одному.

  5. Установите регулярную проверку

    Проверяйте список approvals после каждого взаимодействия с новым протоколом и минимум раз в квартал. Для новых транзакций задавайте точный лимит вместо безлимитного approve — это сокращает риск при будущих взломах протоколов.

Частые вопросы

Могут ли украсть ETH через approve?

Нет. Механизм ERC-20 approve работает только для токенов стандарта ERC-20. ETH (нативная монета Ethereum) передаётся через прямые транзакции, а не через transferFrom. Однако через поддельный permit или approve злоумышленник может вывести WETH (wrapped ETH) — ERC-20 токен, в который многие конвертируют ETH для DeFi.

Что делать, если подозрительный approve уже использован и токены выведены?

Отзовите оставшиеся approvals на тот же адрес, чтобы остановить дальнейшие выводы. Зафиксируйте хэш транзакции и адрес злоумышленника — это может понадобиться при обращении в полицию. Вернуть уже выведенные токены через блокчейн невозможно: транзакции необратимы.

Безопасно ли использовать revoke.cash — не украдут ли ключи при подключении?

Revoke.cash работает только с публичным адресом кошелька для чтения данных; приватный ключ и seed-фраза никуда не передаются. Транзакции отзыва подписываются локально в кошельке. Риск возникает только при использовании поддельных клонов сервиса — отсюда правило: всегда проверять URL вручную.

Нужно ли отзывать approvals на верифицированные протоколы вроде Uniswap или Aave?

Крупные протоколы регулярно проходят аудит, но не застрахованы от взломов — в истории DeFi были случаи компрометации даже известных платформ. Безлимитный approve на верифицированный протокол — это постоянный риск. Практичный подход: отзывать разрешения на протоколы, которыми вы не пользовались более 2–3 месяцев.

Что такое «грязные» токены (dust attack) и связаны ли они с approval phishing?

Dust attack — рассылка незначительных сумм незнакомых токенов на кошелёк. Сами по себе они не опасны, но при попытке продать или взаимодействовать с ними через фейковый сайт пользователь может подписать вредоносный approve. Пылевые токены с неизвестным контрактом лучше игнорировать и не пытаться «продать по любой цене».

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники