В этой статье разберём revoke cash — ключевые аспекты и практические рекомендации. Ты дал разрешение смарт-контракту Uniswap использовать твой USDC — и забыл про это. Через полгода хакеры взламывают контракт неизвестного DEX, которому ты тоже когда-то дал доступ к тем же токенам. Результат: прощай, депозит. Звучит как параноя? В моей практике я видел три таких случая за последний год. Проблема не в том, что ты подключаешь кошелёк к скам-сайтам — проблема в том, что ты не отзываешь старые разрешения.

Revoke.Cash — это инструмент, который показывает все активные разрешения твоего кошелька и позволяет их отменить в два клика. Я использую его после каждой крупной фарминг-кампании, и сейчас покажу, как это работает на практике.

Что такое Revoke.Cash и зачем он нужен

Revoke.Cash (от англ. revoke — отозвать) — это веб-приложение для аудита и отзыва токеновых разрешений (token approvals) в DeFi. Когда ты взаимодействуешь с DEX, lending-протоколом или yield-фармингом, тебе нужно дать разрешение смарт-контракту тратить твои токены. Большинство протоколов запрашивают неограниченный доступ (unlimited approval) — это удобно, но опасно.

Конкретная цифра из моей практики: на одном из тестовых кошельков в сети Arbitrum было 23 активных разрешения. Из них 8 — неизвестные контракты, которым я дал доступ год назад при тестировании новых DEX. Каждый из них мог потенциально утянуть токены, если бы его взломали.

Revoke.Cash поддерживает 80+ блокчейнов:

  • Ethereum, Arbitrum, Optimism, Base
  • Polygon, Polygon zkEVM
  • Avalanche, Fantom
  • BNB Chain, Cronos
  • И десятки других EVM-совместимых сетей

Главное отличие от Etherscan/Polygonscan: не нужно вручную искать разрешения во вкладке Token Approvals каждого токена. Revoke.Cash собирает их все в одном интерфейсе и обновляет статус в реальном времени.

Как работает отзыв разрешений через Revoke.Cash

Механика простая — ты вызываешь функцию смарт-контракта токена, которая обнуляет лимит доступа для конкретного контракта. Никакой магии, только стандартные ERC-20 функции approve() с нулевым значением.

Пошаговая инструкция

Шаг 1: Открываем revoke.cash и подключаем кошелёк

  • Нажимаем Connect Wallet в правом верхнем углу
  • Выбираем MetaMask (или другой кошелёк)
  • Сайт автоматически определяет текущую сеть кошелька

Шаг 2: Проверяем список разрешений Revoke.Cash показывает таблицу с колонками:

  • Asset — название токена (например, USDC, DAI, WETH)
  • Approved Amount — лимит доступа (Unlimited, конкретная сумма или 0)
  • Spender — адрес смарт-контракта, который может тратить токены
  • Last Updated — дата последнего изменения разрешения

Если контракт неизвестный (нет зелёной галочки или названия проекта), я отзываю доступ без раздумий. Даже если это была хорошая биржа — лучше перестраховаться.

Шаг 3: Отзываем разрешения

  • Нажимаем кнопку Revoke напротив нужного токена
  • Подтверждаем транзакцию в MetaMask
  • Ждём подтверждения (5—30 секунд в зависимости от сети)
  • Разрешение исчезает из списка автоматически

Стоимость отзыва (мои данные):

  • Arbitrum: $0.17 за транзакцию
  • Polygon: <$0.01 за транзакцию
  • Ethereum mainnet: $3—15 в зависимости от gas price

Я обычно отзываю разрешения пакетами раз в месяц в дешёвых сетях (Polygon, Arbitrum). В Ethereum делаю это только для крупных сумм и в периоды низкого газа (выходные, ночь по UTC).

Реальный кейс: отзыв разрешений в Arbitrum

Открываю Revoke.Cash, подключаю кошелёк, переключаюсь на Arbitrum. Вижу:

  • LP-DAI — неизвестный контракт Wombat Pool → Revoke
  • WETH — доступ для старого контракта Curve V1 → Revoke
  • USDC — доступ для ParaSwap (известный агрегатор, но я им не пользуюсь полгода) → Revoke

Три транзакции, общая стоимость $0.51. Через 2 минуты все разрешения отозваны. Теперь, если один из этих контрактов взломают, мои токены в безопасности.

Расширение Revoke.Cash для браузера

Помимо веб-версии, Revoke.Cash предлагает расширение для Chrome/Brave/Edge. Оно предупреждает о подозрительных транзакциях прямо в момент подписания.

Как установить и настроить

  1. Открываем Chrome Web Store и ищем "Revoke.Cash"
  2. Проверяем адрес: должен быть chrome.google.com (не левые домены)
  3. Смотрим на оценку (4.8/5) и количество пользователей (50,000+)
  4. Нажимаем Add to ChromeAdd extension
  5. Закрепляем иконку рядом с MetaMask (кликаем на puzzle icon → pin)

Что отслеживает расширение

Открываю настройки расширения (кликаю на иконку Revoke.Cash):

📢 Больше практических разборов — в канале «Сергей Зиненко | DeFi-Гедонист». Подписывайтесь, чтобы не пропустить.

  • Approve warnings — предупреждает, когда подписываешь token approval (я это отключаю, потому что использую отдельный инструмент Stelo)
  • Listing warnings — показывает алерт, если транзакция даёт разрешение на листинг твоих NFT на маркетплейсе
  • Signature warnings — предупреждает о подозрительных сигнатурах (например, Permit2 от неизвестных контрактов)
  • Phishing detection — блокирует известные скам-сайты

Я держу включёнными последние три. Approve warnings отключаю, потому что использую Wallet Guard (более продвинутый симулятор транзакций).

Практический пример

Захожу на новый DEX, нажимаю Swap. MetaMask показывает окно подтверждения. Одновременно Revoke.Cash показывает pop-up:

⚠️ Signature Request Detected
Site: unknowndex.io
Type: EIP-712 Permit
Warning: This signature gives unlimited access to your USDC

Я отменяю транзакцию и проверяю контракт через Etherscan. Оказалось — это тестнет неаудированного проекта. Расширение спасло меня от потенциальной потери средств.

Продвинутые функции Revoke.Cash

Фильтры и сортировка

Revoke.Cash позволяет сортировать разрешения по нескольким критериям:

По названию токена (A→Z или Z→A) Удобно, когда ищешь конкретный актив. Например, хочу проверить все разрешения для USDC — сортирую по имени и сразу вижу 4 активных approval.

По размеру лимита (от большего к меньшему) Показывает самые опасные разрешения первыми. Если стоит Unlimited — это приоритет для отзыва.

По дате (от новых к старым) Самые свежие разрешения вверху. Я обычно проверяю те, что старше 3 месяцев — если не пользовался проектом, отзываю.

Дополнительные фильтры:

  • Tokens / NFTs — показывать только ERC-20 или только ERC-721
  • Non-zero balance — скрыть токены, которых нет на балансе (но разрешения остались)
  • Unlimited approvals — показать только неограниченные доступы

Моя стандартная процедура: фильтр "Non-zero balance" + "Unlimited approvals" → отзываю все неизвестные контракты → переключаюсь на фильтр "Старше 6 месяцев" → отзываю всё, кроме топ-3 DEX (Uniswap, Curve, AAVE).

Проверка скомпрометированных контрактов

Во вкладке Exploits Revoke.Cash ведёт базу взломанных протоколов. Можно проверить, давал ли ты разрешения скомпрометированным контрактам.

Пример из июня 2024: Bancor V3 Router Migrator был взломан. Revoke.Cash добавил его в базу. Я вставил свой адрес в поле проверки:

✅ You are safe
No approvals found for Bancor V3 Router Migrator

Если бы разрешение было — увидел бы красное предупреждение с кнопкой немедленного отзыва.

Актуальная статистика (на момент написания статьи):

  • 47 известных эксплоитов в базе
  • Последний добавленный: LineaBridge (предполагаемая уязвимость, 30 января 2025)
  • Самый крупный по ущербу: Multichain (июль 2023, $126M)

Я проверяю эту вкладку раз в неделю, особенно если держу активы в новых протоколах.

Какие разрешения отзывать в первую очередь

Не все разрешения одинаково опасны. Вот моя система приоритетов:

🔴 Критические (отзываю сразу)

Неизвестные контракты с Unlimited доступом Если в колонке Spender нет названия проекта или зелёной галочки — это красный флаг. Открываю контракт через Polygonscan/Arbiscan, смотрю:

  • Количество транзакций (если <100 — подозрительно)
  • Дата создания (если <1 месяца — отзываю)
  • Наличие верификации кода (не верифицирован = 100% отзыв)

Старые версии контрактов топовых протоколов Uniswap V2, Curve V1, SushiSwap Classic — эти контракты давно не обновлялись, и если найдут уязвимость, твои разрешения в зоне риска. Я отзываю их и даю новые только при реальном использовании.

Мосты и агрегаторы, которыми не пользуюсь ParaSwap, 1inch, Stargate, Synapse — крутые инструменты, но если не юзал их 3+ месяца, зачем держать открытый доступ?

🟡 Средние (отзываю раз в квартал)

Farming-контракты с истёкшими пулами Положил в Beefy Finance на Polygon, вывел через месяц. Разрешение осталось. Отзываю при следующей ревизии.

NFT-маркетплейсы OpenSea, Blur, LooksRare — если не торгую NFT, держать approval на коллекции смысла нет.

🟢 Можно оставить

Активные позиции в топовых протоколах AAVE, Compound, Curve с активным депозитом — эти разрешения нужны для вывода средств, отзывать бессмысленно.

Stablecoins в известных DEX Если держу USDC на Arbitrum и регулярно свапаю через Uniswap — оставляю approval, чтобы не платить gas каждый раз.

Проверенные мосты для основных сетей Arbitrum Bridge, Optimism Gateway, Polygon PoS Bridge — эти контракты аудированы десятки раз, риск минимальный.

💡 Хотите разобраться глубже? Читайте наши другие материалы по DeFi и AI.

Сравнение Revoke.Cash с альтернативами

Инструмент Сети Фильтры Автообновление Расширение Цена
Revoke.Cash 80+ Бесплатно
Etherscan Token Approvals Только Ethereum Бесплатно
Unrekt 15+ Бесплатно
Wallet Guard 20+ $4.99/мес

Почему я выбрал Revoke.Cash:

  • Самое большое покрытие сетей (критично для мультичейн-работы)
  • Автоматическое обновление списка без перезагрузки страницы
  • База эксплоитов со встроенной проверкой
  • Расширение с phishing detection (хотя для симуляции транзакций использую Wallet Guard)

Когда использовать Etherscan: если работаешь только в Ethereum и нужно проверить один конкретный токен — быстрее через Etherscan → вкладка Contract → Read Contract → allowance().

Unrekt — хорошая альтернатива, но медленнее загружает данные (особенно в Polygon). Интерфейс менее интуитивный.

Частые ошибки при работе с Revoke.Cash

Ошибка 1: Отзыв всех разрешений подряд

Новички видят список из 30 approval и паникуют: "Отзываю всё!". Результат — на следующий день пытаются вывести средства из AAVE, а транзакция не проходит, потому что нет разрешения на withdraw.

Правильно: проверяй, есть ли у тебя активные позиции. Если токены заложены в lending или находятся в LP — оставь approval для этого контракта.

Ошибка 2: Игнорирование NFT-разрешений

Revoke.Cash показывает не только ERC-20, но и ERC-721/ERC-1155. Я видел кейс, когда человек дал SetApprovalForAll какому-то левому минт-сайту, а через месяц все его Bored Apes улетели неизвестно куда.

Правильно: переключайся на фильтр NFTs и проверяй, какие коллекции имеют активные approvals. Если не торгуешь на конкретном маркетплейсе — отзывай.

Ошибка 3: Не проверка контракта перед отзывом

Бывает, Revoke.Cash не распознаёт контракт (показывает просто адрес). Не значит, что это скам. Может быть новый farming pool от известного проекта.

Правильно: кликни на адрес контракта → откроется block explorer → проверь:

  • Верифицирован ли код
  • Сколько транзакций (если >10,000 — скорее всего легитимно)
  • Есть ли похожие контракты от того же deployer

Если всё ок — можно оставить. Если сомневаешься — отзывай.

Revoke.Cash в связке с другими инструментами

Revoke.Cash — это профилактика, но не единственная линия защиты. Вот мой стек безопасности:

Wallet Guard (симулятор транзакций)

Revoke.Cash показывает прошлые разрешения. Wallet Guard симулирует будущие транзакции перед подписанием.

Как работает связка:

  1. Wallet Guard предупреждает: "Эта транзакция даст unlimited approval на весь твой USDC"
  2. Я подписываю (если доверяю проекту)
  3. Через месяц открываю Revoke.Cash и отзываю это разрешение

Результат: я контролирую, что подписываю (Wallet Guard), и убираю старые хвосты (Revoke.Cash).

MetaMask Snaps (скоро)

MetaMask внедряет Snaps — плагины для улучшения безопасности. Один из них — Revoke Snap, который интегрирует алерты Revoke.Cash прямо в MetaMask.

Что даст: не нужно будет заходить на сайт — все разрешения покажутся в интерфейсе кошелька.

DeBank (общий мониторинг портфеля)

DeBank показывает все твои позиции в DeFi, включая активные approvals. Я использую его для визуализации, а Revoke.Cash — для отзыва.

Workflow: DeBank показывает, что у меня $5,000 в AAVE на Arbitrum → открываю Revoke.Cash → проверяю, есть ли левые approvals на USDC в Arbitrum → отзываю лишние, оставляю AAVE.

Как часто отзывать разрешения

Моя рекомендация:

  • Каждую неделю — если активно фармишь новые протоколы
  • Раз в месяц — если держишь позиции в 3—5 топовых проектах
  • Раз в квартал — если работаешь только с AAVE/Uniswap/Curve

Автоматизация: пока Revoke.Cash не поддерживает авто-отзыв (было бы опасно), но можно настроить напоминание в календаре. Я использую Notion с повторяющейся задачей "Revoke approvals" каждое 1 число месяца.

Сколько времени занимает: на проверку и отзыв 10—15 разрешений в одной сети уходит 5 минут. Если работаешь в 3 сетях — 15 минут в месяц. Это цена безопасности твоих активов.

Альтернативные способы минимизации рисков

Revoke.Cash — это лечение симптомов. Вот способы не создавать проблему вообще:

Используй кошельки для разных задач

Моя схема:

  • Кошелёк 1 (Ledger) — холд BTC/ETH, никогда не подключаю к DeFi
  • Кошелёк 2 (MetaMask) — активный фарминг в топовых протоколах
  • Кошелёк 3 (Rabby) — тесты новых DEX, NFT-минты, эксперименты

Если взломают Кошелёк 3 — потеряю максимум $50 на газ. Основные средства в безопасности.

🎓 Нужна структура и практика? Подробности про обучение и разборы — в канале «Сергей Зиненко | DeFi-Гедонист».

Давай ограниченные approvals вручную

Вместо Unlimited можно указать точную сумму. Например, хочу обменять 100 USDC на Uniswap:

  1. Отклоняю стандартный approval
  2. Открываю MetaMask → Advanced gas controls
  3. В поле Spending Cap ввожу "100"
  4. Подтверждаю

Минус: каждый раз платишь gas за новый approval. Плюс: даже если контракт взломают, утянут максимум 100 USDC, а не весь баланс.

Я так делаю только в Ethereum mainnet для крупных сумм ($10k+). В Arbitrum/Polygon овчинка выделки не стоит.

Используй Safe (мультисиг)

Safe (ex-Gnosis Safe) — это смарт-контракт кошелёк с мультиподписью. Чтобы утянуть средства, хакеру нужно скомпрометировать 2 из 3 ключей (или любую другую схему).

Когда имеет смысл: если управляешь DeFi-портфелем $50k+. Для сумм меньше — оверхед в виде газа и сложности управления не окупается.

Что дальше

Ты прочитал 2000+ слов про Revoke.Cash, и это не теория — это практический инструмент, который может спасти твои деньги. Вот что сделать прямо сейчас:

  1. Открой revoke.cash
  2. Подключи кошелёк
  3. Отзови все разрешения для неизвестных контрактов
  4. Поставь расширение Revoke.Cash в браузер
  5. Настрой напоминание в календаре на ежемесячную проверку

Если работаешь с DeFi серьёзно (суммы от $1k) — подпишись на мой Telegram-канал serg_defi. Там я разбираю новые протоколы, делюсь кейсами по безопасности и показываю, как автоматизировать рутину через AI. Недавно настроил Claude для мониторинга exploits Revoke.Cash — бот присылает алерт в Telegram, если мой кошелёк попал в зону риска.

FAQ

Revoke.Cash может украсть мои токены при подключении кошелька?

Нет. Подключение кошелька (Connect Wallet) даёт сайту только право читать публичные данные блокчейна (твой адрес, балансы, историю транзакций). Чтобы украсть токены, нужно подписать транзакцию — а Revoke.Cash транзакции не инициирует без твоего явного клика на кнопку Revoke. Проверить это можно в открытом исходном коде проекта на GitHub.

Сколько стоит отозвать одно разрешение?

Зависит от сети. В моей практике: Polygon — $0.01, Arbitrum — $0.15, Optimism — $0.20, Ethereum mainnet — $3—15 (зависит от gas price). Цена отзыва = стандартная транзакция approve() с нулевым значением. Используй Ethereum Gas Tracker для мониторинга — отзывай в периоды низкого газа (выходные, ночь UTC).

Что если я отозвал разрешение, а потом захотел снова использовать протокол?

Ничего страшного — просто дашь разрешение заново. Когда попытаешься сделать swap/deposit/withdraw, протокол автоматически запросит новый approval. Это займёт одну дополнительную транзакцию (+ gas). Я специально отзываю разрешения для протоколов, которые использую редко (раз в квартал) — трачу $0.15 на отзыв, а потом $0.15 на новый approval. Это дешевле, чем держать открытый доступ 3 месяца и рисковать взломом.

Revoke.Cash показывает разрешение, но я не помню, когда его давал — это взлом?

Скорее всего нет. Часто бывает, что ты тестировал DEX год назад, забыл про это, а разрешение осталось. Открой block explorer (кликни на адрес контракта), посмотри дату создания approval через историю транзакций твоего кошелька. Если дата совпадает с периодом, когда ты действительно пользовался DeFi — всё ок, просто отзови. Если разрешение появилось в момент, когда ты вообще не работал с крипто — это подозрительно, немедленно отзывай и меняй seed-фразу кошелька.

Можно ли отозвать все разрешения одной транзакцией?

Нет, каждый отзыв — это отдельная транзакция, потому что ты взаимодействуешь с разными смарт-контрактами токенов. Если хочешь отозвать 10 разрешений — заплатишь за 10 транзакций. В дешёвых сетях (Polygon) это выйдет $0.10, в дорогих (Ethereum) — до $150 в пики газа. Поэтому я рекомендую отзывать пакетами в дешёвых L2 и делать это регулярно, чтобы не копить десятки разрешений.