Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

EIP-2612 Permit: почему газлес-подписи опаснее обычного аппрува

EIP-2612 — стандарт, позволяющий давать разрешение на трату токенов через офчейн-подпись, без отдельной транзакции approve и без расхода газа. Удобно для пользователя, опасно в руках мошенника: подписав фишинговое сообщение, вы теряете токены мгновенно — без второго шага подтверждения. Отозвать такую подпись постфактум невозможно, если контракт уже исполнил перевод.

Автор: ~8 мин

Чем EIP-2612 permit отличается от обычного ERC-20 approve?

Обычный approve — это транзакция в блокчейне: пользователь платит газ, подтверждает в кошельке, и разрешение видно на Etherscan. Permit по EIP-2612 — офчейн-подпись (typed data, EIP-712): никакой транзакции, никакого газа, никакой записи в блокчейне до момента использования. Мошенник получает подпись → отправляет транзакцию permitAndTransfer сам → токены уходят за одну операцию. Риск: кошелёк показывает лишь строки JSON, не предупреждая об опасности — большинство пользователей подписывают не читая.

Источник: WordCripta — риски ERC-20 token approval: как работают и чем опасны

Как выглядит фишинговая атака через permit на практике?

Схема стандартная: фейковый сайт DeFi-протокола просит «подтвердить кошелёк» или «разблокировать токены». Вместо безобидного сообщения кошелёк показывает structured data с полями spender, value, deadline. Пользователь подписывает — мошенник получает подпись и сам исполняет permit+transferFrom на своём адресе. Вся операция занимает секунды. Риск: deadline в permit обычно ставится на 24–48 часов, но этого достаточно — атака исполняется автоматически ботом сразу после получения подписи.

Почему permit сложнее заметить чем стандартный approve?

При approve MetaMask и другие кошельки показывают предупреждение «вы разрешаете доступ к токенам» с адресом получателя и суммой. При permit кошелёк показывает запрос подписи сообщения — визуально похожий на верификацию (как Sign-In with Ethereum). Пользователь не видит привычного экрана одобрения токенов. Revoke.cash и аналогичные сервисы не показывают неиспользованные permit-подписи — только исполненные. Риск: нет инструмента превентивного мониторинга офчейн-подписей.

Какие токены поддерживают EIP-2612 и значит уязвимы?

Permit поддерживают USDC, DAI (версия v2 и выше), UNI, AAVE, многие LP-токены Uniswap v3 и другие популярные ERC-20. Полный список зависит от реализации конкретного токена — проверить можно через код контракта на Etherscan (наличие функции permit). USDT в основной сети Ethereum EIP-2612 не поддерживает, но в других сетях (Polygon, Arbitrum) версии USDT могут отличаться. Риск: с ростом DeFi количество токенов с permit только увеличивается.

Можно ли отозвать permit-подпись до её использования?

Технически — да, но только если токен поддерживает увеличение nonce через отдельный вызов. Стандарт EIP-2612 включает nonce для предотвращения реплей-атак, и отправка новой permit-транзакции с текущим nonce инвалидирует предыдущую подпись. На практике к моменту осознания угрозы атака уже исполнена. Инструменты типа Revoke.cash не работают с неиспользованными офчейн-подписями. Риск: единственная реальная защита — не подписывать подозрительные запросы изначально.

Источник: WordCripta — риски ERC-20 token approval: как работают и чем опасны

Как боты в Telegram используют permit для дрейна кошельков?

Мошеннические Telegram-боты для «арбитража», «снайпинга» или «автофарминга» просят подключить кошелёк через WalletConnect или вставить seed-фразу. Второй вариант — сразу потеря всего. Первый — бот запрашивает permit-подпись под видом «активации стратегии». Подпись уходит на сервер, бот исполняет transferFrom. Пользователь видит пустой кошелёк через минуту после «подключения». Риск: такие боты активно рекламируются в крипто-чатах как легитимные инструменты, часто с поддельными отзывами.

Источник: WordCripta — крипто-боты Telegram: схемы мошенничества и защита

Поддерживает ли USDC permit и насколько это опасно?

Да, USDC (Circle) поддерживает EIP-2612 начиная с версии v2. Это означает, что подписав фишинговый permit-запрос, можно потерять USDC без каких-либо транзакций со своей стороны. Проверить поддержку permit конкретным токеном можно через Etherscan — наличие функции permit в ABI контракта.

Эксклюзив от ИнвестХомяка

Сравнение методов кражи токенов через approve и permit (2026)

ПараметрОбычный approve-дрейнPermit (EIP-2612) дрейн
Требует транзакции от жертвыДа (approve)Нет — только офчейн-подпись
Видно в истории кошелька до атакиДа, на EtherscanНет — запись появляется только при исполнении
Можно отозвать через Revoke.cashДаТолько после исполнения (поздно)
Скорость атаки после получения разрешенияЗависит от газаМгновенно — бот исполняет сам

EIP-2612 Permit против стандартного ERC-20 Approve: риски для пользователя

КритерийERC-20 ApproveEIP-2612 Permit
Тип действия пользователяТранзакция в блокчейнеОфчейн-подпись сообщения
Расход газа пользователемДаНет (платит исполнитель)
Видимость в кошелькеЯвное предупреждение об апрувеЗапрос подписи без предупреждения об апруве
Возможность превентивного отзываДа (Revoke.cash, Etherscan)Только через инвалидацию nonce (транзакция)
Риск фишингаСредний (нужна транзакция жертвы)Высокий (достаточно подписи)

Как защитить кошелёк от permit-атак

  1. Читайте structured data перед подписью

    Если кошелёк показывает запрос подписи с полями spender, value, deadline — это permit. Проверьте адрес spender через Etherscan: он должен совпадать с официальным контрактом протокола.

  2. Проверяйте домен сайта посимвольно

    Большинство permit-фишинга идёт через клоны сайтов с похожим доменом (uniswap-app.io вместо app.uniswap.org). Используйте закладки для часто посещаемых DeFi-протоколов — не переходите по ссылкам из чатов и писем.

  3. Используйте кошельки с предупреждениями о permit

    Rabby Wallet отображает человекочитаемое описание permit-запросов и предупреждает об опасных подписях. MetaMask в новых версиях также добавил расширенные предупреждения для EIP-712 данных.

  4. Регулярно проверяйте активные апрувы

    Revoke.cash и Etherscan Token Approvals показывают исполненные permit и стандартные approve. Отзывайте разрешения для контрактов, которыми не пользуетесь — особенно с неограниченной суммой (uint256 max).

  5. Никогда не подключайте кошелёк к Telegram-ботам

    Легитимные DeFi-протоколы не работают через Telegram-ботов с подключением кошелька. Запрос seed-фразы или permit-подписи в боте — всегда мошенничество, без исключений.

Частые вопросы

Поддерживает ли USDC permit и насколько это опасно?

Да, USDC (Circle) поддерживает EIP-2612 начиная с версии v2. Это означает, что подписав фишинговый permit-запрос, можно потерять USDC без каких-либо транзакций со своей стороны. Проверить поддержку permit конкретным токеном можно через Etherscan — наличие функции permit в ABI контракта.

Как отличить легитимный permit-запрос от фишингового?

Легитимный permit обычно запрашивается при первом взаимодействии с известным протоколом (Uniswap, Aave) прямо на их официальном сайте, и поле spender совпадает с адресом их смарт-контракта. Фишинговый permit приходит с незнакомого сайта, а spender — неизвестный адрес без верификации на Etherscan. Если сомневаетесь — отклоняйте и проверяйте адрес отдельно.

Теряются ли токены сразу после подписи permit?

Нет — подпись сама по себе не переводит токены. Мошенник должен сам отправить транзакцию с вашей подписью, вызвав permit и transferFrom. На практике боты делают это автоматически в течение секунд после получения подписи, поэтому разрыв между подписью и потерей токенов минимален.

Защищает ли хардварный кошелёк (Ledger, Trezor) от permit-атак?

Частично. Хардварный кошелёк показывает данные подписи на экране устройства и требует физического подтверждения — это снижает риск автоматической кражи. Но если пользователь сам подтвердит фишинговый permit на экране Ledger, токены всё равно будут потеряны. Защита — в проверке данных, а не только в типе кошелька.

Можно ли вернуть токены после permit-дрейна?

В подавляющем большинстве случаев — нет. Блокчейн-транзакции необратимы, и токены уходят на адрес мошенника немедленно. Теоретически возможна заморозка USDC через Circle (они имеют такую функцию), но на практике Circle замораживает адреса только по требованию правоохранительных органов и в исключительных случаях.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники