Когда вы подключаете кошелёк к стейкинг-платформе и нажимаете «Approve», вы буквально разрешаете смарт-контракту распоряжаться вашими токенами. Легитимный протокол использует это право для стейкинга. Мошеннический — для немедленного вывода всего баланса за одну транзакцию, которую уже не отменить.
Approve — это ERC-20 транзакция, которая разрешает смарт-контракту тратить ваши токены до указанного лимита (или без лимита, если выбрано «unlimited»). Без approve контракт не может принять токены на стейкинг. Проблема в том, что большинство пользователей подписывают unlimited approve, не читая деталей — контракт получает право вывести весь баланс в любой момент, не только при стейкинге.
Схема проста: поддельная платформа предлагает высокий APY и просит стандартный approve. После подписания злоумышленник вызывает функцию transferFrom и выводит все токены на свой адрес. Пользователь видит исходящую транзакцию только в блокчейн-эксплорере — никаких уведомлений нет. Кражу невозможно отменить: блокчейн-транзакции необратимы. По данным Ledger, approval phishing входит в топ-3 схем кражи криптовалюты.
На централизованной бирже (Binance, Bybit) вы доверяете платформе — approve не нужен, риск перехода прав на токены отсутствует. В DeFi вы взаимодействуете со смарт-контрактом напрямую: approve обязателен, и его безопасность зависит от качества кода контракта и репутации протокола. CEX несёт риск банкротства или заморозки вывода; DeFi — риск эксплойта контракта или мошеннического approve.
Approval phishing — когда сайт или dApp обманом заставляет подписать approve на вредоносный контракт под видом легитимного действия. Признаки: неизвестный адрес контракта, запрос unlimited approve на первом экране без объяснений, URL с опечатками (uniswаp вместо uniswap), срочность и обещания бонусов. Проверяйте адрес контракта через Etherscan и сравнивайте с официальной документацией протокола до подписи.
Да, approve можно отозвать через сервисы revoke.cash или Etherscan Token Approvals. Отзыв — это отдельная транзакция с комиссией (газ). Если злоумышленник уже воспользовался разрешением — отзыв не вернёт токены, но остановит дальнейшее списание. Регулярная проверка активных approve — обязательная гигиена для любого DeFi-пользователя.
При подписании approve в MetaMask или другом кошельке выберите «Custom spend limit» и введите точную сумму для стейкинга. Некоторые кошельки по умолчанию предлагают unlimited — всегда меняйте на конкретное значение. Да, каждый новый депозит потребует отдельного approve, но это единственный способ ограничить ущерб при компрометации контракта.
Нет. Подключение кошелька (connect wallet) само по себе не даёт контракту никаких прав на токены. Кража возможна только после подписания approve или другой транзакции, дающей право на списание.
| Тип разрешения | Что получает контракт | Уровень риска |
|---|---|---|
| Unlimited approve | Право списать весь баланс токена в любой момент | Критический |
| Точный лимит (custom amount) | Право списать только указанную сумму | Низкий |
| Permit (EIP-2612, подпись без газа) | Временное разрешение, встроено в одну транзакцию | Средний |
| Без approve (native ETH стейкинг) | Контракт работает без доступа к ERC-20 балансу | Минимальный |
| Критерий | CEX (Binance, Bybit) | DeFi-протокол (Lido, Rocket Pool) |
|---|---|---|
| Требуется approve | Нет | Да (ERC-20 токены) |
| Риск кражи через approve | Отсутствует | Высокий при скам-протоколе |
| Контроль над активами | У биржи | У пользователя (с риском контракта) |
| Риск заморозки вывода | Есть (банкротство, регуляция) | Нет (при децентрализации) |
| Аудит безопасности | Внутренний | Публичный (Certik, Trail of Bits и др.) |
Скопируйте адрес из запроса approve и проверьте его на Etherscan: убедитесь, что это верифицированный контракт официального протокола, а не клон.
В окне подтверждения кошелька выберите «Custom spend limit» и введите сумму, равную вашему депозиту — не больше.
Убедитесь, что домен совпадает с официальным (проверяйте по ссылке из официального Twitter/Discord протокола, не из Google-рекламы).
После стейкинга зайдите на revoke.cash и убедитесь, что выданы только те разрешения, которые вы ожидали.
Раз в месяц проверяйте все активные разрешения через revoke.cash или Etherscan и отзывайте те, которые больше не нужны — особенно unlimited.
Нет. Подключение кошелька (connect wallet) само по себе не даёт контракту никаких прав на токены. Кража возможна только после подписания approve или другой транзакции, дающей право на списание.
Drainer — вредоносный смарт-контракт, замаскированный под легитимный dApp. При взаимодействии он запрашивает approve и немедленно выводит все доступные токены. Защита — расширения ScamSniffer или Wallet Guard, которые анализируют транзакцию до подписи.
Да. Вознаграждения от стейкинга считаются доходом и облагаются НДФЛ по ставке 13–15%. Декларировать нужно самостоятельно через форму 3-НДФЛ. Курс пересчёта в ₽ — по рыночной цене на дату получения вознаграждения.
Немедленно отзовите все оставшиеся approve на revoke.cash. Переведите уцелевшие активы на другой адрес. Зафиксируйте транзакцию в блокчейн-эксплорере для возможного обращения в полицию. Вернуть украденное с высокой вероятностью не получится — транзакции необратимы.
На сайте протокола должен быть раздел «Security» или «Audits» со ссылками на отчёты независимых аудиторов (Certik, Trail of Bits, OpenZeppelin, Chainalysis). Отсутствие публичного аудита — весомый аргумент против использования протокола.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
