Смарт-контракты: как проверить Approval и почему его нужно отозвать прямо сейчас
Вы обменяли токены на Uniswap, поставили NFT на OpenSea, потыкали в какой-то DeFi-протокол — и забыли. А между тем каждый из этих сайтов получил от вас Approval: разрешение тратить ваши токены в любой момент без дополнительного подтверждения. Многие из этих разрешений висят активными годами. Если хотя бы один из таких контрактов взломают — ваш кошелёк опустеет, даже если вы давно этим сайтом не пользуетесь.
Главное за 30 секунд
- Approval = разрешение смарт-контракту тратить ваши токены. Вы даёте его при каждом DeFi-взаимодействии
- Отключение кошелька от сайта не отзывает Approval — разрешение остаётся активным
- Даже аппаратный кошелёк (Ledger, Trezor) не защищает от эксплойтов через Approval
- Проверить и отозвать всё можно за 5 минут через revoke.cash — бесплатно
- Никогда не давайте разрешение на неограниченную сумму незнакомым протоколам
Что такое Approval и почему это опасно
Представьте: вы дали соседу ключ от квартиры, чтобы он полил цветы. Один раз. Но ключ вы так и не забрали. Сосед с тех пор может зайти когда угодно — вы просто об этом не думаете.
Approval работает так же. Когда вы первый раз меняете токен на DEX или открываете NFT-маркетплейс, кошелёк просит подписать транзакцию-разрешение. Вы кликаете «Подтвердить» — и смарт-контракт получает право распоряжаться вашими токенами.
Два типа Approval:
- Ограниченный — только на конкретную сумму (например, «разрешаю потратить 100 USDT»)
- Неограниченный (Unlimited / Infinite Approval) — доступ ко всему балансу токена навсегда
Большинство протоколов по умолчанию запрашивают неограниченный Approval — это удобно для них, но опасно для вас.
Сценарий угрозы:
1. Вы дали Unlimited Approval протоколу X в 2023 году
2. В 2026 году протокол X взломали
3. Злоумышленники через уязвимость в контракте сразу выводят все ваши токены по ранее выданному разрешению
4. Деньги ушли — вы даже не были подключены к сайту
Главная ошибка: «я отключил кошелёк, я в безопасности»
Это самый распространённый миф. Когда вы нажимаете «Disconnect» или закрываете MetaMask, сайт просто перестаёт видеть ваш адрес. Approval при этом остаётся активным в блокчейне.
Единственный способ защититься — явно отозвать разрешение отдельной транзакцией.
Как проверить свои Approval за 5 минут
Инструмент: revoke.cash — бесплатный сервис, работает с 100+ EVM-сетями (Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base и другие).
Пошаговая инструкция:
Шаг 1: Зайдите на revoke.cash
Шаг 2: Подключите кошелёк (MetaMask, Rabby, WalletConnect и др.) или введите адрес в поисковую строку без подключения — это безопаснее, если просто хотите посмотреть
Шаг 3: Выберите нужную сеть (Ethereum, BNB Chain и т.д.)
Шаг 4: Изучите список. Вы увидите:
- Название токена
- Адрес смарт-контракта, которому выдан Approval
- Разрешённая сумма (конкретная или ∞ = бесконечная)
Шаг 5: Нажмите «Revoke» рядом с подозрительными или неактуальными разрешениями → подтвердите транзакцию в кошельке
⚠️ Каждый отзыв — это транзакция в блокчейне, то есть требует небольшой платы за газ.
Что отзывать, а что оставить: практические правила
| Ситуация | Действие |
|---|---|
| Протокол взломан или закрылся | ❌ Отзываем немедленно |
| Сайт незнакомый, дали Approval случайно | ❌ Отзываем |
| Unlimited Approval на маленький протокол | ❌ Отзываем, заменяем на ограниченный |
| Uniswap / Aave / известный протокол, активно пользуетесь | ✅ Можно оставить |
| OpenSea с активными листингами | ✅ Оставляем — без него листинги пропадут |
| Старый протокол, которым не пользовались 6+ месяцев | ❌ Лучше отозвать |
Как не попасться на мошенников при отзыве
Вокруг темы Approval появился собственный вид скама. Схема такая: злоумышленники рассылают поддельные токены на ваш кошелёк — сервисы безопасности видят «подозрительный апрув» и предлагают его отозвать. Вы пытаетесь отозвать — и тратите $30–60 на газ, который уходит мошеннику.
Защита:
- Используйте только официальный revoke.cash (проверяйте адрес!)
- Не переходите по ссылкам на «Revoke» из Telegram или email
- Перед отзывом проверяйте адрес контракта на Etherscan — должен совпадать с официальным адресом протокола
Профилактика: как не накапливать опасные Approval
Правило 1: Никогда не давайте Unlimited Approval незнакомым протоколам
При появлении запроса на Approval вручную введите конкретную сумму вместо «Max». Это чуть менее удобно, но ограничивает ущерб при взломе.
Правило 2: Проверяйте Approval раз в квартал
Занимает 5 минут. Заведите привычку — например, в первый день каждого квартала.
Правило 3: Отдельный кошелёк для DeFi-экспериментов
Создайте отдельный адрес для взаимодействий с новыми протоколами. Держите там минимальные суммы. Основной кошелёк — только для хранения.
Что сделать прямо сейчас
Шаг 1: Прямо сейчас зайдите на revoke.cash, введите адрес своего кошелька (без подключения) и посмотрите, сколько активных разрешений накопилось. Вы удивитесь.
Шаг 2: Отзовите все Unlimited Approval от незнакомых или устаревших протоколов.
Шаг 3: Перед следующим обменом токенов убедитесь, что работаете с надёжным обменником — проверьте площадку через мониторинг Wellcrypto, чтобы исключить фишинговые сайты, которые сразу запросят вредоносный Approval.
Дисклеймер: Материал актуален на март 2026 года и носит информационный характер. Не является руководством по безопасности конкретных протоколов. Всегда проверяйте адреса смарт-контрактов на официальных ресурсах проектов.
