Как отозвать разрешения смарт-контрактам через Bscscan и...

Каждый раз, когда ты свапаешь токены на Uniswap, добавляешь ликвидность в пул AAVE или стейкаешь что-то на PancakeSwap, ты даёшь смарт-контракту разрешение распоряжаться твоими токенами. Проблема в том, что эти разрешения никуда не исчезают сами по себе. Они висят на твоём кошельке годами — отозвать разрешения смарт-контрактам через bscscan как старые ключи от квартир, в которых ты давно не живёшь.

В моей практике я видел кошельки с 200+ активными разрешениями, половина из которых выданы протоколам, которые даже не помнишь. Это не паранойя — в 2023 году через compromised approval на Binance Smart Chain пользователи потеряли $45+ млн. Сегодня разберём, как отозвать разрешения смарт-контрактам через блок-эксплореры — самый надёжный метод, который работает всегда.

Что такое token approval и почему его нужно отзывать

Token approval (разрешение токена) — это механизм EVM-совместимых блокчейнов, который позволяет смарт-контракту перемещать твои токены без твоего участия в каждой конкретной транзакции. Без этого невозможна работа DEX, лендинг-протоколов и yield farming.

Когда ты первый раз свапаешь USDT на Uniswap, MetaMask спрашивает разрешение потратить твои USDT. Ты подтверждаешь — и теперь смарт-контракт Uniswap Router может распоряжаться твоими USDT до тех пор, пока ты явно не отзовёшь это разрешение.

Три сценария, почему разрешения опасны

Сценарий 1: Exploit в протоколе. В 2024 году в смарт-контракте Multichain нашли уязвимость. У тех, кто давал unlimited approval, хакеры выводили всё до последнего токена. У тех, кто дал ограниченное разрешение или успел отозвать — потери были минимальны.

Сценарий 2: Phishing-сайт. Ты случайно коннектишься к фейковому сайту PancakeSwap, подписываешь транзакцию approve. Через час обнаруживаешь, что твои токены исчезли — а в блок-эксплорере видишь, что дал разрешение левому контракту.

Сценарий 3: Забытые протоколы. Год назад ты тестировал непонятный yield aggregator на BSC. Проект заброшен, но разрешение висит. Если кто-то получит контроль над этим контрактом (через exploit или backdoor), твои токены в зоне риска.

Отзыв разрешений — это как закрывать дверь на ключ, когда выходишь из дома. Очевидно, но многие игнорируют.

Как работает отзыв разрешений на техническом уровне

Когда ты отзываешь разрешение, ты не удаляешь запись из блокчейна (это невозможно). Ты отправляешь новую транзакцию, которая перезаписывает allowance (разрешённую сумму) на ноль.

В коде ERC-20 токена это выглядит так:

approve(spenderAddress, 0)

Где spenderAddress — адрес смарт-контракта, которому ты давал разрешение. После этого контракт технически всё ещё может вызвать функцию transferFrom, но она вернёт ошибку, потому что allowance = 0.

Unlimited vs Limited approval: в чём разница

Когда MetaMask спрашивает разрешение, он по умолчанию предлагает unlimited approval — максимальное значение uint256 (примерно 1.15×10⁷⁷). Это удобно: даёшь разрешение один раз и пользуешься протоколом сколько угодно.

Альтернатива — limited approval: даёшь разрешение ровно на ту сумму, которую собираешься потратить сейчас. Безопаснее, но неудобно: каждый раз перед свапом нужно делать approve-транзакцию.

В моей практике я даю unlimited approval только проверенным протоколам: Uniswap, AAVE, Curve. Для новых/экспериментальных проектов — только limited или вообще не даю, если можно обойтись.

Отзыв разрешений через Bscscan: пошаговая инструкция

Bscscan — это блок-эксплорер Binance Smart Chain. У него есть встроенный инструмент Token Approvals, который позволяет видеть все активные разрешения и отзывать их в пару кликов.

Шаг 1: Открой свой кошелёк в Bscscan

1. Открой MetaMask и переключись на сеть BNB Smart Chain (раньше называлась BSC)
2. Нажми три точки в правом верхнем углу → View account in explorer
3. Откроется Bscscan с твоим адресом

Альтернативный путь: иди на bscscan.com, вставь адрес своего кошелька в поиск.

Шаг 2: Перейди в раздел Token Approvals

На странице твоего адреса найди вкладку More (в горизонтальном меню сверху). Внутри увидишь:

• Tools → Token Approvals

Нажми на Token Approvals. Откроется страница с полем для ввода адреса.

Шаг 3: Найди все разрешения своего кошелька

1. Вставь адрес своего кошелька в поле (или он уже подставлен автоматически)
2. Нажми кнопку поиска

Перед тобой появится таблица со всеми активными разрешениями. Колонки:

Когда я в последний раз чистил свой основной кошелёк на BSC, там висело 47 разрешений. Половину я вообще не помнил — какие-то древние yield farms 2021 года.

Шаг 4: Подключи кошелёк к Bscscan

Чтобы отозвать разрешение, тебе нужно подписать транзакцию. Для этого:

1. Нажми Connect to Web3 (кнопка вверху справа)
2. Выбери MetaMask
3. Подтверди подключение в MetaMask

Теперь Bscscan видит, что ты владелец этого адреса, и может отправлять транзакции от твоего имени.

Шаг 5: Отзови разрешение

Наведи курсор на строчку с разрешением, которое хочешь отозвать. Справа появится иконка с текстом Click to Revoke.

1. Нажми на иконку
2. MetaMask откроет окно с запросом на подпись транзакции
3. Проверь gas fee (обычно $0.05—0.15 на BSC)
4. Нажми Confirm

Через 3—5 секунд транзакция подтвердится. Bscscan покажет кнопку View your Transaction — можешь кликнуть и посмотреть детали.

После отзыва разрешение исчезнет из списка. Обнови страницу — оно больше не будет отображаться.

Важный нюанс: после каждого отзыва нужно заново коннектить кошелёк

Это особенность работы Bscscan. После каждой транзакции отзыва соединение с MetaMask разрывается. Чтобы отозвать следующее разрешение:

1. Снова нажми Connect to Web3
2. Выбери MetaMask
3. Подтверди подключение
4. Повтори процедуру отзыва

Да, это неудобно. Но это самый надёжный способ, который работает даже когда сторонние сервисы (Revoke.cash и аналоги) лежат или глючат.

Отзыв разрешений через Arbiscan: аналогичная схема для Arbitrum

Arbiscan — это блок-эксплорер сети Arbitrum. Интерфейс практически идентичен Bscscan, потому что оба используют одну платформу (Etherscan).

Пошаговая инструкция для Arbitrum

Шаг 1: Открой MetaMask, переключись на сеть Arbitrum One.

Шаг 2: Три точки → View account in explorer. Откроется Arbiscan с твоим адресом.

Шаг 3: Вкладка More → Tools → Token Approvals.

Шаг 4: Вставь адрес кошелька, нажми поиск. Увидишь список разрешений.

На моём кошельке в Arbitrum было:

• USDC.e (bridged) — разрешение для Stargate Router, unlimited
• WETH — разрешение для Aggregation Router V5 (1inch), unlimited
• USDT — разрешение для неизвестного контракта, 33 USDT

Третий пункт сразу вызвал подозрение. Я не помню, чтобы давал разрешение на 33 USDT — обычно либо unlimited, либо точная сумма для конкретной транзакции. Скорее всего, это остаток от какого-то старого протокола.

Шаг 5: Подключи MetaMask через Connect to Web3.

Шаг 6: Отзови подозрительные разрешения.

Я отозвал разрешение для USDT (стоило $0.17 gas fee) и для WETH (стоило $0.19). USDC.e для Stargate оставил — продолжаю пользоваться этим мостом.

Сколько стоит отозвать разрешение

В Ethereum отзывать разрешения дорого. Поэтому там я делаю это реже — раз в квартал или после работы с новым протоколом.

В BSC и Arbitrum комиссии копеечные, можно чистить хоть каждую неделю.

Как понять, какие разрешения безопасно отозвать

Не все разрешения нужно отзывать. Если ты активно пользуешься протоколом, отзыв создаёт лишние неудобства: придётся давать approve заново перед следующей транзакцией.

Красные флаги: отзывай немедленно

1. Неизвестный spender. Видишь адрес контракта, который не можешь идентифицировать? Отзывай. В Bscscan обычно подписаны популярные протоколы (PancakeSwap Router V2, Venus Controller). Если вместо имени только адрес 0x... — это либо малоизвестный проект, либо вообще мусор.

2. Проект закрылся/заброшен. В 2021 на BSC было 500+ yield farms. 95% из них мертвы. Если ты давал разрешение Iron Finance, Bunny, Merlin — отзывай. Эти протоколы либо умерли, либо в режиме maintenance.

3. Ты не помнишь, зачем давал разрешение. Видишь HAY (стейблкоин Helio Protocol) с датой approve два года назад? Если ты сейчас HAY не используешь — отзывай.

4. Unlimited approval для shitcoin. Если это не топ-30 токен по капитализации, unlimited — плохая идея. Лучше отозвать и при необходимости дать limited.

Зелёные флаги: можно оставить

1. Активно используемый протокол. Если каждую неделю свапаешь на PancakeSwap, разрешение для PancakeSwap Router можно не трогать.

2. Крупные проверенные протоколы. Uniswap, AAVE, Curve, Compound, MakerDAO — эти ребята проходят аудиты по 5—10 раз, багбаунти на миллионы долларов. Риск exploit минимален.

3. Limited approval. Если разрешение не unlimited, а на конкретную сумму (например, 100 USDC) — оно автоматически "сгорит" после использования. Можно не отзывать.

Частые ошибки при отзыве разрешений

Ошибка 1: Отозвал разрешение, но оно снова появилось

Это не баг. После отзыва разрешение действительно обнуляется, но если ты снова взаимодействуешь с протоколом (свапаешь, стейкаешь), он попросит approve заново — и разрешение появится обратно в списке.

Решение: отзывай разрешения только для протоколов, которыми больше не пользуешься.

Ошибка 2: Пытался отозвать, но транзакция failed

Две причины:

1. Недостаточно нативного токена для gas. Чтобы отозвать разрешение USDT на BSC, нужен BNB для оплаты комиссии. Проверь баланс.

2. Контракт токена нестандартный. Редко, но бывает: токен не полностью совместим с ERC-20, функция approve() работает странно. В этом случае попробуй через Revoke.cash — там альтернативная реализация.

Ошибка 3: Отозвал разрешение для LP-токена и не могу вывести ликвидность

LP-токены (Liquidity Provider tokens) — это особый случай. Когда добавляешь ликвидность в пул, получаешь LP-токен. Чтобы вывести ликвидность обратно, протокол должен burn (сжечь) твой LP-токен.

Если отзовёшь разрешение для LP-токена, протокол не сможет его забрать — и вывод не сработает.

Решение: разрешения для LP-токенов не трогай, пока не выведешь ликвидность полностью.

Альтернативные методы отзыва разрешений

Блок-эксплореры (Bscscan, Arbiscan, Etherscan) — это "топорный" метод, как правильно сказано в источнике. Он работает всегда, но неудобен: приходится коннектить кошелёк после каждого отзыва.

Revoke.cash — самый популярный сторонний инструмент

Revoke.cash — специализированный сервис для управления разрешениями. Преимущества:

• Поддерживает 100+ сетей (включая Ethereum, BSC, Arbitrum, Polygon, Optimism, Avalanche)
• Показывает стоимость каждого разрешения в долларах
• Можно отзывать пачкой (batch revoke) — экономит gas
• Не нужно переподключать кошелёк после каждого отзыва

Недостатки:

• Иногда глючит при высокой нагрузке
• Не всегда корректно определяет название протокола (показывает адрес вместо имени)
• Зависим от стороннего сервиса (если revoke.cash упадёт, ты без инструмента)

Я использую Revoke.cash для регулярной гигиены (раз в месяц чищу все сети), а блок-эксплореры — когда нужна абсолютная надёжность или Revoke не работает.

Unrekt.net — агрегатор с дополнительной аналитикой

Unrekt.net показывает не только разрешения, но и потенциальные риски. Например, если у протокола был недавний exploit или он не проходил аудит, Unrekt подсвечивает это красным.

Хороший инструмент для параноиков (в хорошем смысле). Минус: интерфейс менее интуитивный, чем у Revoke.cash.

Как часто нужно отзывать разрешения: моя система

Это как менять пароли: все знают, что нужно, но мало кто делает регулярно.

Минимальная гигиена (для ленивых)

• Раз в квартал открой Bscscan/Arbiscan, посмотри список разрешений
• Отзови всё, что не узнаёшь
• Отзови разрешения для проектов, которыми не пользовался последние 3 месяца

Это займёт 10—15 минут, потратишь $2—5 на gas.

Продвинутая гигиена (для параноиков)

• Раз в месяц полный аудит через Revoke.cash по всем сетям
• Сразу после взаимодействия с новым/непроверенным протоколом — отзываешь разрешение, как только закончил пользоваться
• Limited approval по умолчанию для всего, кроме топ-10 протоколов

Я придерживаюсь второго варианта. У меня три кошелька:

1. Hot wallet — для дейли активности (здесь чищу раз в 2 недели)
2. Degen wallet — для экспериментов с новыми протоколами (чищу после каждой сессии)
3. Cold wallet — для лонга (там вообще нет approval, только hold)

Чек-лист: как защитить кошелёк от exploit через approval

✅ Никогда не давай unlimited approval протоколам, которые:

• Младше 6 месяцев
• Не проходили аудит (проверяй на DeFiLlama)
• Имеют TVL меньше $10M
• Ты планируешь использовать один раз

✅ Используй мультисиг для больших сумм. Gnosis Safe позволяет настроить approval policy: любое разрешение требует подтверждения от 2 из 3 владельцев.

✅ Разделяй кошельки по назначению. Не держи все деньги на одном кошельке, которым свапаешь на незнакомых DEX.

✅ Проверяй адрес контракта перед подписанием approve. Если MetaMask спрашивает разрешение для адреса, который ты видишь впервые — стоп, проверь в Etherscan, что это за контракт.

✅ Используй hardware wallet для основных средств. Ledger/Trezor физически не позволят подписать транзакцию без твоего подтверждения на устройстве.

Продвинутые сценарии: batch revoke и permit2

Batch revoke: отзыв нескольких разрешений одной транзакцией

Если у тебя 50 разрешений, отзывать по одному — дорого и долго. Некоторые инструменты (Revoke.cash, Unrekt) поддерживают batch revoke:

1. Выбираешь несколько разрешений через checkbox
2. Нажимаешь Revoke Selected
3. Подписываешь одну транзакцию, которая отзывает все сразу

Экономия gas: вместо 50 транзакций по $0.20 ($10 total) — одна транзакция за $2.

Минус: batch revoke работает не для всех токенов. ERC-20 стандарт не предусматривает массовый отзыв, это хак на уровне смарт-контракта.

Permit2: новый стандарт от Uniswap

Uniswap Labs разработал Permit2 — улучшенную версию approval. Основные фичи:

• Временные разрешения: даёшь approve на 24 часа, потом оно автоматически истекает
• Signature-based approval: не нужна отдельная транзакция для approve — подписываешь офчейн
• Batch approvals: можешь дать разрешение на несколько токенов одним подписью

Проблема: Permit2 поддерживают только новые протоколы (Uniswap V4, некоторые aggregators). Старые DEX всё ещё используют классический ERC-20 approve.

Практический кейс: аудит моего кошелька на Arbitrum

Для этой статьи я специально не чистил свой кошелёк в Arbitrum два месяца. Вот что накопилось:

До отзыва (17 разрешений)

... и ещё 10 похожих.

Процесс отзыва

1. Открыл arbiscan.io, вставил адрес кошелька
2. More → Tools → Token Approvals
3. Connect to Web3 → MetaMask
4. Отозвал 11 разрешений одно за другим
5. Общие затраты: $2.31 (11 транзакций × $0.21 средний gas fee)
6. Время: 8 минут

После отзыва (6 разрешений)

Оставил только разрешения для протоколов, которыми активно пользуюсь. Теперь если в GMX или Dopex внезапно найдут exploit, мой кошелёк в безопасности.

Особенности отзыва в разных сетях

Ethereum Mainnet

• Gas fee: $0.50—2 за отзыв (зависит от network congestion)
• Когда отзывать: при любых суммах или после работы с рискованными протоколами
• Лайфхак: используй Gas Tracker, отзывай в выходные когда gas дешевле

BNB Smart Chain

• Gas fee: $0.05—0.15
• Когда отзывать: можно хоть каждую неделю
• Особенность: много скам-проектов, чисти агрессивно

Arbitrum / Optimism

• Gas fee: $0.01—0.05
• Когда отзывать: раз в месяц достаточно
• Особенность: меньше скама чем в BSC, но всё равно проверяй

Polygon

• Gas fee: $0.01—0.05 (самый дешёвый)
• Когда отзывать: можешь чистить после каждой сессии
• Особенность: из-за дешевизны много экспериментальных протоколов

Мифы и заблуждения про отзыв разрешений

МИФ 1: "Если я не пользуюсь протоколом, разрешение автоматически истекает"

❌ Неправда. Разрешение висит вечно, пока ты его явно не отзовёшь.

МИФ 2: "Отзыв разрешения = возврат токенов"

❌ Неправда. Отзыв только блокирует будущее использование токенов. Если контракт уже забрал твои токены (через transferFrom), отзыв ничего не вернёт.

МИФ 3: "Если дал limited approval на 100 USDC, контракт может взять только 100"

✅ Правда. Но! Он может взять эти 100 в любой момент, пока разрешение активно. Даже если ты уже вывел USDC с кошелька, а потом пополнил снова — контракт может снять те самые 100.

МИФ 4: "Hardware wallet защищает от плохих approval"

❌ Частично правда. Ledger/Trezor требуют физического подтверждения для approve, это хорошо. Но если ты подтвердишь фишинговый approve на устройстве — результат тот же.

Инструменты для мониторинга разрешений

DeBank — показывает approval прямо в портфолио

DeBank — это portfolio tracker, который дополнительно показывает активные разрешения. Удобно проверять перед отзывом, сколько денег "висит" на каждом approval.

Например, видишь: "USDC → PancakeSwap Router → Unlimited → $5,430 at risk". Цифра $5,430 — это текущий баланс USDC на кошельке. Если в PancakeSwap exploit, потенциальный убыток = $5,430.

Zapper — portfolio + approval management

Zapper похож на DeBank, но с интегрированным инструментом отзыва. Можешь отозвать разрешение прямо из интерфейса Zapper, не переходя в блок-эксплорер.

Минус: Zapper берёт комиссию (платная подписка Pro для batch revoke).

Что дальше

Теперь ты знаешь, как отозвать разрешения смарт-контрактам через Bscscan и Arbiscan — самый надёжный метод, который работает даже когда все сторонние сервисы легли. Мой совет: выдели 15 минут прямо сейчас, открой блок-эксплорер и почисти хотя бы самые старые разрешения. Это как страховка, которая стоит копейки, но может спасти тысячи долларов.

В следующих статьях разберу альтернативные инструменты (Revoke.cash, Unrekt) и продвинутые техники защиты кошелька. Хочешь получать свежие гайды по DeFi-безопасности и автоматизации? Подписывайся на мой Telegram-канал https://t.me/+y9vUCFalo1E0NGUy — там разбираю реальные кейсы exploit'ов и показываю, как их избежать.

Данные актуальны на момент публикации. Проверяйте текущие значения на defillama.com