Как работает approval scam и как защитить токены от кражи

Подписываешь безобидную транзакцию, а через час все токены исчезают с кошелька. Звучит как магия? На деле — обычная схема approval scam, которая работает через стандартные механизмы блокчейна. Объясню, как злоумышленники используют твою цифровую подпись против тебя, и покажу 5 простых способов защиты.

Что такое approval scamApproval scam — схема кражи криптовалюты через разрешения (approvals) на списание токенов. Злоумышленник заставляет жертву подписать транзакцию, которая выдаёт смарт-контракту право тратить её токены.

Работает это так:

• Ты подписываешь approval на большую сумму (часто unlimited)- Контракт получает права списывать твои токены- Вор переводит активы на свой адрес одной транзакциейГлавная опасность: подпись выглядит безобидно. В MetaMask ты видишь Approve USDC вместо Send 50,000 USDC.

Механизмы кражи через подписи### ERC-20 ApprovalКлассический вариант через функцию approve(spender, amount). Ты разрешаешь контракту тратить токены, но не видишь реальную сумму — только техническое уведомление.

Пример: сайт просит подключить кошелёк для "проверки баланса". На деле ты подписываешь approval на все твои USDT.

Permit signatures (EIP-2612)Более изощрённый способ через off-chain подписи. Работает без газа — ты подписываешь сообщение, которое потом используют для кражи.

Схема:

• Сайт просит подписать "безопасное сообщение"- Ты подписываешь permit с данными о разрешении- Вор использует подпись для вызова permit() и списывает токеныКоварство метода: в кошельке показывается обычная подпись сообщения, а не транзакция.

SetApprovalForAll (NFT)Для NFT используют setApprovalForAll(operator, approved). Одна подпись — и вор получает доступ ко всей коллекции.

На поддельных NFT-маркетплейсах часто просят "подтвердить право торговли" через эту функцию.

Как работают drainer-контрактыDrainer — специальный смарт-контракт для массового опустошения кошельков. После получения approval он сразу переводит токены на адреса воров.

Типичная структура drainer'а:

• Honeypot-функция: имитирует полезный функционал (swap, claim rewards)- Approval checker: проверяет, какие токены доступны для кражи- Batch transfer: переводит все approved токены за одну транзакциюПродвинутые drainer'ы работают через proxy-контракты и обновляются "на лету", чтобы обходить блокировки.

Популярные схемы обмана### Фейковые аирдропы"Получи 500 ARB токенов бесплатно!" — но для клейма нужно подписать approval на все стейблкоины в кошельке.

Поддельные DeFi-протоколыКопии интерфейсов Uniswap, Curve или Balancer с изменённым адресом роутера. Выглядит как обычный swap, работает как кража.

"Срочная" торговля NFTПоддельные маркетплейсы с "ограниченными предложениями". Цель — получить setApprovalForAll на ценные коллекции.

Помощь в "восстановлении" активов"Эксперты" предлагают восстановить якобы заблокированные токены через подпись permit. На деле — последний шанс для кражи.

Как защитить кошелёк от approval scam### Шаг 1: Проверяй каждую подписьВнимательно читай все popup'ы в кошельке. Если видишь:

• Approve или SetApprovalForAll — стоп, анализируй- Огромные числа (1.1579×10^77) — это unlimited approval- Незнакомые адреса контрактов — красный флагПравило: никогда не подписывай approval "вслепую".

Шаг 2: Используй revoke-сервисыРегулярно проверяй активные approvals через:

• Revoke.cash — показывает все разрешения по адресу- Etherscan Token Approvals — встроенный раздел в профиле- DeBank — раздел "Approvals" в портфолиоОтзывай ненужные разрешения через approve(spender, 0).

Шаг 3: Ограничивай сумму approvalВместо unlimited используй точную сумму. Для swap 100 USDC выдавай approval на 100, не на 10^18.

В MetaMask нажми "Edit permission" и укажи конкретное значение.

Шаг 4: Проверяй адреса контрактовПеред подписью сверяй адрес с официальным:

• Uniswap V3 Router: 0x68b3465833fb72A70ecDF485E0e4C7bD8665Fc45- 1inch Router: 0x1111111254fb6c44bAC0beD2854e76F90643097d- OpenSea: 0x00000000006c3852cbEf3e08E8dF289169EdE581Незнакомый адрес = потенциальная кража.

Шаг 5: Используй отдельный кошелёк для экспериментовЗаведи "горячий" кошелёк с небольшой суммой для тестирования новых протоколов. Основные активы храни на аппаратном кошельке или мультисиге.

Схема безопасности:

• Cold wallet: основные активы, только проверенные протоколы- Hot wallet: до $1000, для экспериментов- Trading wallet: только для активной торговли## Что делать, если стал жертвойЕсли токены уже украли:
• Немедленно отзови все активные approvals через revoke.cash- Переведи оставшиеся активы на новый адрес- Отследи транзакции через Etherscan — иногда воры ошибаются- Сообщи в службу безопасности биржи, если токены тамК сожалению, вернуть украденное практически невозможно — блокчейн не прощает ошибок.

Частые заблуждения об approval scam**"Аппаратный кошелёк защитит от всего"** — неправда. Ledger или Trezor защищают приватные ключи, но не от неправильных подписей. Если подпишешь approval на Ledger — токены украдут так же.

"Если сайт в топе Google — он безопасный" — Google Ads полны фишинговых копий популярных DeFi-протоколов. Всегда проверяй URL. "Unlimited approval удобнее" — удобнее, но опаснее. Лучше тратить $2 газа на каждый approval, чем потерять $10,000.

РезультатТеперь ты знаешь главное правило DeFi-безопасности: каждая подпись — это потенциальная кража. Approval scam работает именно потому, что пользователи подписывают транзакции не глядя.

Три простых привычки спасут твои активы:

• Читай каждый popup в кошельке- Проверяй адреса контрактов- Регулярно чисти старые approvalsВ DeFi нет службы поддержки, которая вернёт украденное. Профилактика — единственная защита.