Отзыв approvals на Revoke.cash: как защитить кошелёк от скрытых угроз

Token approval — разрешение, которое вы выдаёте смарт-контракту на управление вашими токенами через функцию `approve` стандарта ERC-20. Большинство DeFi-протоколов запрашивают «unlimited approval» — разрешение на неограниченную сумму, чтобы не просить подтверждение при каждой операции. Если смарт-контракт протокола впоследствии будет взломан или окажется вредоносным — злоумышленник использует выданное разрешение для вывода всех ваших токенов. Разрешение остаётся активным бессрочно до явного отзыва. Риск: большинство пользователей не подозревают о десятках активных approvals, накопившихся за годы DeFi-активности.

Unlimited approval разрешает контракту потратить все токены данного типа на кошельке в любой момент в будущем. Точный лимит (exact amount approval) ограничивает разрешение суммой конкретной операции — после её выполнения разрешение автоматически исчерпывается. С точки зрения безопасности точный лимит значительно предпочтительнее: даже при компрометации контракта злоумышленник не сможет вывести больше разрешённой суммы. Риск: некоторые протоколы не поддерживают точный лимит или требуют unlimited для корректной работы — в этом случае необходимо отзывать approval после завершения операции.

Gas-ловушка — ситуация, когда злоумышленник отправляет на кошелёк небольшое количество токена (dust) с вредоносного контракта, а затем ждёт, пока жертва попытается переместить или продать эти токены. При взаимодействии с «пыльным» токеном активируется скрытая функция контракта, запрашивающая approval или выполняющая вредоносное действие. Отдельный вариант: контракт автоматически выдаёт разрешение при получении токена без явного согласия пользователя. Риск: не взаимодействуйте с незнакомыми токенами, появившимися в кошельке без вашего участия — даже для их «удаления».

Revoke.cash — опенсорсный инструмент, читающий публичные данные блокчейна и показывающий все активные approvals для подключённого кошелька. Для отзыва вы подписываете транзакцию через свой кошелёк (MetaMask, WalletConnect и др.) — приватный ключ никогда не покидает кошелёк. Revoke.cash не имеет доступа к вашим средствам. Код проекта открыт и проверяем. Риск: убедитесь, что используете официальный домен revoke.cash — фишинговые копии сервиса существуют и могут запрашивать вредоносные подписи вместо отзыва.

Приоритеты для отзыва: 1) unlimited approvals для контрактов, которыми вы больше не пользуетесь; 2) approvals для неверифицированных или малоизвестных контрактов; 3) approvals для протоколов, которые были взломаны или признаны мошенническими. Оставить можно: точные лимиты для активно используемых протоколов; approvals для крупных аудированных протоколов (Uniswap, Aave), если вы регулярно ими пользуетесь. Риск: отзыв approval для активно используемого протокола потребует повторного approve при следующей операции — это дополнительные gas-расходы.

Да — Revoke.cash поддерживает множество EVM-совместимых сетей: Arbitrum, Optimism, Base, BNB Smart Chain, Polygon и другие. Переключение сети осуществляется в кошельке. Gas-комиссии за отзыв в L2-сетях (Arbitrum, Base) значительно ниже, чем в Ethereum Mainnet — массовый отзыв approvals в L2 обходится в центы, а не в доллары. Риск: approvals в разных сетях независимы — разрешение, выданное в Ethereum, не распространяется на Arbitrum и наоборот; проверяйте каждую сеть отдельно.

Permit (EIP-2612) — офф-чейн подпись, не создающая on-chain записи об approval в стандартном смысле. Revoke.cash не может отозвать permit-подписи так же, как обычные approvals, поскольку они не записываются в блокчейн до момента использования. Защита от permit-атак — только превентивная: не подписывать незнакомые permit-запросы.