Token approval — разрешение смарт-контракту распоряжаться вашими токенами без подтверждения каждой операции. Мошенники встраивают вредоносный approve в транзакции, которые выглядят как обычный claim или mint. После подписи контракт получает доступ к балансу и выводит средства в любой удобный момент. Отозвать разрешение можно даже после подписи — главное успеть до списания.
Один вызов смарт-контракта может содержать несколько действий: снаружи — «получи бесплатный токен», внутри — установка unlimited approve на ваш USDT или WETH. Кошелёк показывает упрощённое описание, не раскрывая hex-данных вызова. Аппаратные кошельки Ledger и Trezor предупреждают о blind signing при нечитаемых данных — это сигнал остановиться и не подписывать. Источник: support.ledger.com/ru/article/malicous-token-approval.
Unlimited approval — разрешение контракту списывать токены в любом количестве бессрочно. DEX-биржи запрашивают его для удобства, чтобы не переподтверждать каждый своп. Риск: если протокол взломан или адрес изначально мошеннический, атакующий получает доступ ко всему балансу одобренного токена. Альтернатива — устанавливать approve только на сумму конкретной транзакции (exact approval), перезапрашивая при каждом обмене.
Зайдите на revoke.cash или etherscan.io (вкладка Token Approvals), введите адрес кошелька — без подключения и без ввода приватных ключей. Сервис покажет все активные approvals: контракт-получатель, токен, одобренная сумма, дата. Для BNB Chain, Polygon, Arbitrum и Base — revoke.cash поддерживает мультичейн-проверку в одном интерфейсе. Проверяйте после каждого взаимодействия с незнакомым dApp. Источник: tangem.com/ru/blog/post/disconnect-malicious-dapp.
Через revoke.cash: подключите кошелёк, найдите подозрительный approve, нажмите «Revoke» и подпишите транзакцию отзыва. Это стандартная on-chain операция — потребуется небольшое количество нативной монеты на gas. На Ethereum стоимость отзыва — доли доллара при стандартном gas price. MetaMask, Tangem и Ledger Live также имеют встроенные разделы управления разрешениями.
Проверьте адрес контракта на etherscan.io или coingecko.com: у легитимных токенов — верифицированный исходник, тысячи холдеров, история торгов месяцами или годами. Признаки вредоносного: контракт задеплоен недавно, нет верификации исходника, имя совпадает с известным токеном (USDT, UNI, WETH), но адрес другой. Источник: support.ledger.com/ru/article/scams-targeting-crypto-holders.
Если approve выдан, но средства ещё не списаны — достаточно отозвать разрешение через revoke.cash. Менять кошелёк (создавать новый адрес) нужно только если скомпрометирована сама seed-фраза или приватный ключ. Выданный approve не открывает доступ к ключу — это разрешение конкретному контракту на конкретный токен, не более. Если ключ цел — миграция не требуется, достаточно отзыва.
Нет. Токены в кошельке не имеют доступа к другим активам. Угроза возникает только при взаимодействии с вредоносным контрактом — то есть при подписи транзакции. Получение незнакомого токена на адрес безопасно, но не стоит нажимать «claim» или «swap» по таким токенам.
| Инструмент | Поддерживаемые сети | Основная функция |
|---|---|---|
| revoke.cash | Ethereum, BNB Chain, Polygon, Arbitrum, Base и др. | Просмотр и отзыв всех активных approvals |
| Etherscan Token Approvals | Ethereum (основная сеть) | Детальный просмотр approvals с датами выдачи |
| ScamSniffer | Ethereum и EVM-совместимые сети | Предупреждение о вредоносных сайтах до подписи транзакции |
| Wallet Guard | Браузерные кошельки (MetaMask и др.) | Симуляция транзакции и предупреждение о скрытых approvals |
| Критерий | Exact Approval | Unlimited Approval |
|---|---|---|
| Разрешённая сумма | Только сумма текущей операции | Неограниченно, бессрочно |
| Удобство использования | Новый approve перед каждым свопом | Один раз — больше не нужно |
| Риск при взломе протокола | Атакующий получит только одобренную сумму | Атакующий выведет весь баланс токена |
| Gas-расходы | Выше при частых операциях | Ниже при регулярном использовании DEX |
| Рекомендация | Для новых и незнакомых протоколов | Только для проверенных протоколов с историей аудитов |
Зайдите на revoke.cash, выберите нужную сеть (Ethereum, BNB Chain, Polygon и др.) и подключите кошелёк. Сервис запрашивает только адрес для чтения — приватный ключ не передаётся.
Сервис выведет список всех выданных разрешений: токен, адрес контракта-получателя, одобренная сумма, дата. Сосредоточьтесь на разрешениях с пометкой «Unlimited» и незнакомых адресах контрактов.
Скопируйте адрес контракта и найдите его на etherscan.io: есть ли верифицированный исходник, сколько транзакций, когда задеплоен. Контракт без верификации и с историей менее месяца — красный флаг.
Нажмите «Revoke» напротив подозрительного approve, подтвердите транзакцию в кошельке и оплатите gas. Начинайте с разрешений на крупные суммы и токены с реальной стоимостью — USDT, WETH, WBTC.
Добавьте в браузер расширение ScamSniffer или Wallet Guard — они симулируют транзакцию до подписи и предупреждают о скрытых approvals. При использовании Ledger включайте верификацию на экране устройства и не подписывайте транзакции с предупреждением о blind signing.
Нет. Токены в кошельке не имеют доступа к другим активам. Угроза возникает только при взаимодействии с вредоносным контрактом — то есть при подписи транзакции. Получение незнакомого токена на адрес безопасно, но не стоит нажимать «claim» или «swap» по таким токенам.
Dust attack — рассылка мизерных сумм токенов на адреса для деанонимизации и отслеживания активности. Сам по себе dust не даёт доступа к средствам. Опасность возникает, если жертва пытается «вывести» пыль и попадает на фишинговый сайт, где подписывает вредоносный approve.
После каждого взаимодействия с новым dApp — обязательно. В качестве профилактики — раз в месяц, особенно при активном использовании DeFi. При обнаружении подозрительных списаний — немедленно.
Нет. Если приватный ключ или seed-фраза скомпрометированы, атакующий совершает транзакции самостоятельно — отзыв approve его не остановит. В этом случае единственное решение — немедленная миграция всех средств на новый кошелёк с чистым ключом.
Это некастодиальные инструменты анализа блокчейна — они не хранят средства и не проводят платежи. Их использование не подпадает под регулирование ЦБ РФ. Налоговых последствий от проверки и отзыва approvals нет — это не операция с криптовалютой в смысле ФНС.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
