Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Вы подключили кошелёк к dApp, подписали approve, а потом что-то пошло не так. Может быть, сайт оказался подозрительным. Может быть, пришла новость о взломе протокола. Может быть, просто почувствовали, что пора почистить разрешения — и правильно почувствовали. Эта статья написана именно для этого момента: не для теоретического понимания DeFi, а для конкретного действия прямо сейчас.
Если вы пришли сюда в панике и хотите действовать немедленно — вот краткая шпаргалка. Затем читайте полный разбор.
Удалять срочно:
Удалять планово:
Можно не трогать пока:
Это только первый ориентир. Дальше разбираем всё подробно — от механики approve до конкретных инструментов и типичных ошибок.
Начнём с самого главного — и самого недооценённого. Многие пользователи в DeFi знают слово «approve», но мало кто понимает его настоящую цену.
Approve — это разрешение, которое вы даёте смарт-контракту. Разрешение тратить ваши токены. Не один раз — а в любой момент, пока это разрешение активно.
Когда вы делаете своп в DeFi, перед тем как обменять токен, dApp просит у вас approve. Это необходимо: смарт-контракт не может взять ваши токены без явного разрешения. Approve — это и есть это разрешение, записанное в блокчейн.
Технически это выглядит как транзакция типа approve(spender, amount), где spender — адрес смарт-контракта, amount — сколько токенов он может потратить. Эта запись остаётся в блокчейне навсегда — или до тех пор, пока вы её не отзовёте.
Allowance — это размер разрешения. Фактически то же самое, что approve, только с акцентом на лимит: сколько токенов разрешено тратить контракту.
Spending cap — термин, который использует MetaMask в своём интерфейсе. По смыслу это то же самое: лимит на расход токенов, который вы задаёте при выдаче approve.
Разница в том, что spending cap — это то, что вы видите в кошельке в момент подписи. Allowance — это то, что записано в блокчейне. Две стороны одной монеты.
Unlimited approval (или «бесконечный approve») — это когда сумма разрешения установлена в максимальное значение: технически 2^256 - 1. По сути — без ограничений. Контракт может взять все ваши токены этого типа, которые есть на кошельке сейчас и появятся потом.
Многие dApp по умолчанию просят unlimited approval — это удобно для пользователя, потому что не нужно каждый раз заново давать разрешение перед каждым свапом. Но это создаёт постоянно открытое «окно» для потенциальной атаки.
Лимитный approve безопаснее: даёте ровно столько, сколько нужно для текущей операции — и контракт не может взять больше.
Это фундаментальная особенность EVM-совместимых блокчейнов. Контракт не может самостоятельно «взять» ваши ERC-20 токены — он может только получить то, что вы явно разрешили. Поэтому свап, стейкинг, добавление ликвидности, bridge, NFT mint, farming — всё это начинается с approve.
Это не трюк и не мошенничество само по себе. Это архитектурный стандарт. Проблема возникает тогда, когда approve выдан мошенническому контракту — или когда честный контракт старого dApp остаётся с неограниченным разрешением годами.
Это ключевое разграничение, которое многие не понимают — и это стоит им денег.
Disconnect (отключение кошелька от сайта) — это лишь отключение сессии. Сайт больше не «видит» ваш кошелёк в браузере, не может запрашивать новые подписи. Но все ранее выданные approvals в блокчейне остаются нетронутыми.
Revoke (отзыв разрешения) — это ончейн-транзакция, которая обнуляет allowance для конкретного контракта. После revoke контракт больше не может тратить ваши токены — разрешение уничтожено в самом блокчейне.
Иными словами: disconnect — это закрытая дверь, но ключи всё ещё у чужих. Revoke — это смена замка.
Не каждый approve требует немедленного revoke. Но есть ситуации, когда медлить нельзя.
Сигналы тревоги: сайт нашли в Telegram-канале или X (Twitter) с обещанием airdrop; URL похож на известный, но слегка отличается (uni-swap вместо uniswap); интерфейс выглядит необычно или некорректно.
В таком случае revoke нужен немедленно — до того, как контракт воспользовался разрешением. Скорость здесь имеет значение.
Схема классическая и всё ещё работает. Человек кликает по ссылке «claim whitelist» или «verify wallet», подключает MetaMask или Trust Wallet, видит безобидный запрос — и подписывает. Через несколько минут с кошелька уходят все USDT. Это работает именно через approve: подпись была, просто никто не обратил внимания.
Если такое произошло — проверяйте approvals немедленно. Об этом подробнее — в разборе что делать если криптокошелёк взломали.
Если протокол, которым вы пользовались, взломан или скомпрометирован — revoke approvals на его контракты должен быть первым действием после того, как вы узнали новость. Даже если сам протокол уже остановлен, approve в вашем кошельке остаётся.
Отдельная категория риска — сайты, которые просят «проверить eligibility» и под этим предлогом получают approve на ваши токены. Никакой проверки eligibility не требует approve. Если вы подписали что-то на таком сайте — идите в revoke немедленно.
Чем больше USDT, USDC или DAI на адресе, тем критичнее контролировать активные approvals. Unlimited allowance на стейблкоин при значительном балансе — это прямой риск полной потери. Периодическая ревизия разрешений для таких кошельков — не паранойя, а гигиена.
Это главный практический блок. Разберём все доступные инструменты.
Revoke.cash — самый удобный и популярный инструмент для управления approvals. Поддерживает более 100 сетей, включая Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base и многие другие.
Как пользоваться:
Важная деталь: Revoke.cash также позволяет не полностью отзывать approve, а изменить его лимит — уменьшить сумму вместо полного удаления. Это полезно, если вы планируете использовать dApp дальше, но хотите ограничить риск.
Каждая крупная сеть имеет свой block explorer с встроенным token approval checker:
Алгоритм везде похожий: вставьте адрес кошелька → выберите тип токена (ERC-20, ERC-721, ERC-1155) → увидите список активных approvals → нажмите Revoke напротив нужного.
Преимущество: вы видите полную историю и можете работать напрямую через браузерный интерфейс эксплорера без сторонних инструментов. Недостаток: удобство ниже, чем у Revoke.cash, особенно если нужно проверить сразу несколько сетей.
MetaMask Portfolio (portfolio.metamask.io) содержит отдельный раздел управления разрешениями и spending caps. Здесь можно просматривать и отзывать allowances прямо из интерфейса MetaMask без перехода на сторонние сайты.
Поддерживаемые сети в MetaMask Portfolio включают Ethereum, Polygon, BNB Chain, Optimism и Base. Функционал spending caps позволяет увидеть не только факт выданного approve, но и точный лимит, установленный для каждого контракта.
Это особенно удобно для пользователей MetaMask: единый интерфейс для просмотра и управления разрешениями без необходимости переходить в сторонние сервисы.
Некоторые крупные протоколы предоставляют возможность отозвать approve прямо внутри своего интерфейса. Например, в разделе настроек или управления аккаунтом. Это удобно для конкретного dApp, но не даёт общей картины по всем разрешениям кошелька — только по тем, что были выданы в рамках этого протокола.
Теперь — конкретные шаги. Разберём на примере универсального маршрута, применимого к большинству ситуаций.
Если вы работали только в Ethereum — достаточно проверить одну сеть. Если использовали несколько сетей (Polygon, BNB Chain, Arbitrum, Base) — проверяйте каждую отдельно. Revoke.cash удобен именно тем, что позволяет переключаться между сетями в одном интерфейсе.
Начинайте с той сети, где у вас наибольший баланс или где последний раз была подозрительная активность.
В Revoke.cash или block explorer введите адрес кошелька. Для чтения данных подключение кошелька необязательно — данные публичны. Но для выполнения revoke-транзакции кошелёк нужно подключить.
Обратите внимание на:
Прежде чем делать revoke, убедитесь, что понимаете, кому выдано разрешение. Неизвестный адрес без имени в блокчейн-эксплорере — повод для немедленного revoke. Знакомый адрес крупного протокола — оцените, нужно ли разрешение вам сейчас.
Revoke — это ончейн-транзакция. Это означает:
Подтвердите транзакцию в кошельке, дождитесь подтверждения блокчейном.
После успешного revoke обновите страницу и убедитесь, что approve больше не отображается в списке. Если разрешений было несколько — повторите процедуру для каждого.
Важное примечание: после revoke следующая операция в том же dApp снова потребует approve. Это нормально. Revoke не «сломал» ваш аккаунт — просто следующая транзакция будет с новым разрешением, которое вы выдадите осознанно.
Если разрешений накопилось много и вы не знаете, с чего начать — вот логика приоритизации.
Это самый высокий риск. USDT, USDC, DAI — ликвидные активы с реальной стоимостью. Unlimited approval на них означает, что любой, кто контролирует соответствующий смарт-контракт, может опустошить ваш баланс в один момент.
Как проверить безопасность USDT и отличить настоящий токен от поддельного — отдельный вопрос, который тоже стоит изучить.
Отзывайте unlimited approvals на стейблкоины в первую очередь, даже если не уверены в риске — лучше перебдеть.
Всё, что было подписано после клика по ссылке в Telegram, Discord, X — если вы не уверены в источнике на 100%, ревокайте немедленно. Даже если деньги пока на месте: мошеннические контракты часто не действуют мгновенно.
Протокол, которым вы пользовались год назад и забыли — это dormant risk. Если dApp взломают или скомпрометируют завтра, а у вас висит их unlimited approve — вы в зоне риска. Регулярная чистка старых разрешений снижает поверхность атаки.
Ethereum, BNB Chain, Polygon, Base, Arbitrum, Optimism — проверяйте каждую. Это отдельные блокчейны, и approve в одной сети никак не связан с другой. Активность в сети, о которой вы «забыли», может содержать годами висящие разрешения.
Это особый тип разрешения — setApprovalForAll. Он выдаётся NFT-контрактам, например, маркетплейсам (OpenSea, Blur, и аналогам), и разрешает управлять всей коллекцией NFT, а не отдельным токеном.
Если вы минтили NFT на незнакомых сайтах или давали такое разрешение несколько лет назад — проверьте и отзывайте. Риск потери всей NFT-коллекции за одну транзакцию атакующего — не преувеличение.
| Тип разрешения | Что разрешает | Уровень риска | Приоритет revoke |
|---|---|---|---|
| Unlimited ERC-20 approve (стейблкоины) | Тратить все USDT/USDC/DAI без ограничений | Критический | Срочно |
| Unlimited ERC-20 approve (прочие токены) | Тратить все токены данного типа | Высокий | Приоритетно |
| Лимитный ERC-20 approve | Тратить не более N токенов | Средний | Планово |
| NFT setApprovalForAll | Управлять всей коллекцией NFT | Высокий | Приоритетно |
| Approve отдельного NFT | Передать конкретный NFT | Средний | Планово |
| Permit2 approval | Расширенное мультипротокольное разрешение | Зависит от spender | Проверить |
Disconnect действительно полезен: сайт перестаёт иметь доступ к вашему кошельку в браузере и не может запрашивать новые подписи. Но он не удаляет ни одного уже выданного approve. Это нужно делать отдельно через revoke.
Сравните с аналогией: disconnect — это как закрыть банковское приложение. Revoke — это отозвать выданную доверенность на управление счётом. Это два разных действия.
ERC-20 approve — наиболее распространённый тип разрешения. Именно он используется при свапах, стейкинге, добавлении ликвидности. Именно он становится инструментом кражи при мошеннических dApp. Приоритет revoke — высокий.
Этот тип разрешения особенно опасен для держателей NFT. Один setApprovalForAll на мошеннический контракт — и вся коллекция может уйти в одной транзакции. Характерно, что именно через такой механизм происходит большинство NFT-краж.
Permit2 — это смарт-контракт от Uniswap, который создаёт «надстройку» над стандартным ERC-20 approve. Вы один раз даёте approve токена контракту Permit2, а потом Permit2 выдаёт разрешения конкретным протоколам — без дополнительных ончейн-транзакций.
Это удобно с точки зрения UX и газа. Но означает, что при проверке approvals нужно смотреть не только стандартные ERC-20 approvals, но и разрешения внутри Permit2 — они могут быть не видны в стандартном списке.
Revoke.cash поддерживает проверку и отзыв Permit2-разрешений отдельно. Если вы активно пользовались Uniswap v3/v4 или другими протоколами с Permit2 — проверьте этот раздел.
Не каждый approve — угроза. Вот когда можно не спешить.
Если вы каждую неделю делаете свапы на конкретном DEX — разрешение ему выгодно оставить. После revoke придётся снова выдавать approve перед каждой операцией, платя газ дважды. Взвесьте удобство против риска.
Если approve выдан на 100 USDT — и именно столько вы и планировали потратить — риск минимален. Даже при мошенническом контракте максимальная потеря ограничена лимитом.
Если на адресе нет ликвидных токенов — approve формально не несёт прямого риска. Тем не менее периодическая ревизия полезна: баланс может появиться, а разрешения останутся.
Ethereum и Polygon — это разные блокчейны. Approve в Polygon существует отдельно от approve в Ethereum. Если вы сделали подозрительную операцию в BSC, а ревокаете в Ethereum — проблема не решена. Всегда проверяйте правильную сеть.
Разобрали выше. Повторим коротко: disconnect убирает доступ сайта к кошельку в браузере. Revoke убирает разрешение контракта в блокчейне. Это не одно и то же.
Revoke стоит денег — это факт. Транзакция revoke в Ethereum в пиковые часы может стоить несколько долларов. Но это несравнимо с потерей всего баланса USDT. Экономия на газе при наличии опасного unlimited approval — это неправильная экономия.
В L2-сетях (Arbitrum, Base, Optimism, Polygon) revoke стоит значительно дешевле — иногда несколько центов. Если апрув висит в L2 — смело ревокайте.
Да, такое тоже бывает. Поисковик выдаёт сайт с похожим названием на revoke.cash, пользователь заходит туда, «делает revoke» — а на самом деле подписывает новый вредоносный approve. Всегда проверяйте адрес сайта в адресной строке. Используйте закладки для часто посещаемых инструментов безопасности.
Перед revoke стоит потратить 30 секунд на проверку адреса контракта в block explorer. Иногда пользователи в панике ревокают разрешения у легитимных протоколов — и потом не понимают, почему dApp перестал работать. А иногда — наоборот, не ревокают именно тот контракт, который нужно, потому что не проверили адрес.
Человек видит approve на USDT и ревокает его. Но рядом висит approve на WETH или USDC с тем же мошенническим контрактом — и он остаётся нетронутым. Всегда просматривайте полный список approvals, не останавливайтесь на первом найденном.
Здесь важно чётко разграничить два разных сценария.
Это ситуация этой статьи. Вы подписали потенциально опасное разрешение, но сам кошелёк не скомпрометирован — seed phrase в безопасности, устройство чистое, private key не утёк. В таком случае revoke — правильное и достаточное действие.
Ревокайте approve немедленно, переведите оставшиеся средства на другой адрес на время ревизии, затем верните, когда убедитесь в чистоте разрешений.
Revoke здесь не поможет. Если атакующий знает ваш private key — он может подписывать любые транзакции от вашего имени, в том числе вернуть approve после вашего revoke. Единственное правильное действие — немедленно перевести все активы на новый кошелёк с новой seed фразой.
Подробный алгоритм действий при полном компромисс кошелька — в материале что делать если криптокошелёк взломали в 2026 году.
И ещё один принципиальный момент: что такое seed phrase и почему она — главный секрет кошелька. Если хранение seed phrase у вас не выстроено правильно — безопасность approvals становится второстепенной проблемой.
Ethereum — основная сеть с наибольшим количеством накопленных approvals у большинства пользователей. Gas здесь выше, чем в L2, но если висят dangerous approvals — не откладывайте. Используйте Etherscan Token Approvals или Revoke.cash.
BNB Smart Chain — популярна среди русскоязычных пользователей из-за низких комиссий и многочисленных DeFi-протоколов. BSCScan имеет Token Approval checker аналогичный Etherscan. Revoke здесь стоит значительно дешевле, чем в Ethereum.
Polygon — активно используется для NFT-минтинга и DeFi. Approvals накапливаются быстро из-за низкого газа: пользователи чаще взаимодействуют с новыми dApp, не думая о последствиях. PolygonScan + Revoke.cash — стандартный инструментарий.
L2-сети Ethereum с минимальными комиссиями. Revoke здесь дёшев — несколько центов. Нет причин откладывать ревизию разрешений в этих сетях даже при небольших подозрениях.
Относительно молодая L2 от Coinbase с активно растущей экосистемой. Approvals здесь накапливаются активно среди пользователей, тестирующих новые протоколы. BaseScan поддерживает approval checker.
Linea (L2 от ConsenSys) и Avalanche поддерживаются Revoke.cash. Если вы взаимодействовали с dApp в этих сетях — проверьте approvals там тоже.
USDT — наиболее распространённый стейблкоин с approve. Unlimited approval на USDT — топ-1 по частоте встречаемости в мошеннических сценариях. Проверяйте во всех сетях, где держите USDT. Подробнее о безопасном хранении USDT — в материале можно ли хранить деньги в USDT в 2026 году.
USDC — второй по популярности стейблкоин, логика та же. Часто используется в Ethereum-экосистеме, Arbitrum и Base. Unlimited approval на USDC — такой же приоритет для revoke, как и USDT.
DAI — децентрализованный стейблкоин MakerDAO. Активно используется в DeFi. Approvals часто выдаются при стейкинге и добавлении ликвидности — проверяйте особенно если пользовались Maker/Aave/Compound.
WETH (Wrapped ETH) используется в DeFi вместо нативного ETH. Approvals на WETH при значительном балансе — также в зоне внимания.
При работе с NFT-маркетплейсами (OpenSea, Blur и аналоги) вы выдаёте setApprovalForAll — разрешение управлять всей коллекцией. После того как перестали пользоваться маркетплейсом — ревокайте. Это занимает одну транзакцию и минимум газа.
Вопрос, который почему-то задают редко. Ответ — зависит от активности.
Если вы активный DeFi-пользователь и регулярно взаимодействуете с разными протоколами — проверяйте approvals раз в месяц. Накапливаются быстро.
Если вы умеренно активны — проверяйте после каждого нового dApp, который попробовали впервые, и раз в квартал для общей ревизии.
Если вы в основном держите крипту и редко взаимодействуете с DeFi — проверяйте при любой необычной активности или новостях о взломе протокола, которым хоть раз пользовались.
Хорошая практика — делать ревизию approvals одновременно с проверкой где хранится крипта и насколько безопасно настроено хранение. Это смежные задачи из одной области операционной безопасности.
Approve нельзя рассматривать в отрыве от понимания того, как работает DeFi. Что такое DeFi простыми словами — там разобрано, как устроены децентрализованные финансы, в чём их принципиальное отличие от банков и какие риски существуют для новичка.
Approve — это архитектурная особенность EVM. Без него смарт-контракты не могут работать с токенами пользователя. Это не баг, это фича. Но любая фича может быть использована против вас — если вы не контролируете, кому и на что выданы разрешения.
Понимание approve важно также в контексте переводов и управления адресами кошелька. Если вы ещё путаетесь в том, что такое адрес кошелька и чем он отличается от private key — этот базовый материал поможет выстроить правильную картину.
Ретроспектива полезна, но лучше выстроить правильные привычки вперёд. Вот несколько принципов, которые снижают накопление проблемных разрешений.
При следующем свапе или взаимодействии с DeFi — обратите внимание на spending cap в MetaMask. По умолчанию часто предлагается unlimited. Вручную введите сумму конкретной операции или немного больше — и контракт не получит неограниченный доступ.
Да, при следующей операции нужно будет снова подтвердить approve. Но ончейн-транзакция approve стоит относительно немного, а защита несопоставимо выше.
Отличная практика: держите один кошелёк для хранения (большой баланс, минимум взаимодействий с dApp) и отдельный — для экспериментов с новыми протоколами, минтинга, аirdrop. Так даже при компрометации «рабочего» кошелька основные средства в безопасности.
Прежде чем подтвердить approve — скопируйте адрес контракта и проверьте его в block explorer. Есть ли у контракта верификация? Есть ли транзакции? Совпадает ли имя контракта с тем, что ожидается? 30 секунд проверки могут сэкономить весь баланс.
Ни одна легитимная операция по проверке eligibility или верификации кошелька не требует approve на ваши токены. Если сайт просит approve — это либо свап/bridge/farming, либо мошенничество. Третьего не дано.
Если вы только начинаете работать с децентрализованными протоколами — несколько ориентиров.
Первое: разберитесь с тем, как не потерять крипту в 2026 году — там разобраны самые частые ошибки именно новичков.
Второе: поймите, что каждый approve — это подпись с последствиями. Не нажимайте Confirm автоматически. Читайте, что именно вы подписываете.
Третье: после каждого нового dApp, с которым взаимодействовали впервые, — проверьте, что именно выдали в approve, и оцените, нужно ли это разрешение оставлять.
Четвёртое: периодически делайте ревизию разрешений через Revoke.cash. Это занимает 5–10 минут и значительно снижает накопленный риск.
Если вы покупаете USDT через P2P и работаете с разными сетями — понимание approve напрямую связано с безопасностью ваших активов. Как работает P2P в крипте — там разобрано, как проводить P2P-сделки с минимальным риском.
Отдельный вопрос, который возникает у пользователей, активно работающих с переводами USDT: нужно ли делать revoke после обычного перевода?
Нет. Обычный перевод USDT между кошельками (transfer) не создаёт approve. Approve возникает только при взаимодействии со смарт-контрактами через dApp. Если вы просто переводили USDT с одного адреса на другой — approve нет.
Как перевести USDT в 2026 году, выбрать сеть и не переплатить — там разобраны все нюансы переводов стейблкоина между разными блокчейнами.
Не обязательно после каждого. После стандартного свапа на проверенном DEX, которым вы регулярно пользуетесь, — можно оставить. Но после любого нового или подозрительного dApp, после сомнительных сайтов, после новостей о взломах — да, ревокайте.
Нет. Disconnect и revoke — принципиально разные действия. Disconnect убирает подключение сессии. Approve остаётся в блокчейне и может быть использован независимо от подключения.
Это ончейн-транзакция с network fee / gas fee. В Ethereum — от нескольких десятков центов до нескольких долларов в зависимости от нагрузки сети. В L2-сетях (Arbitrum, Base, Optimism, Polygon) — значительно дешевле, обычно несколько центов.
В стандартных EVM-блокчейнах — нет: транзакция требует газа. Технически возможны ситуации, когда dApp сам покрывает газ (газлесс транзакции), но для revoke это редкость. В сетях с минимальным газом (Base, Optimism) затраты практически незаметны.
Unlimited approvals на USDT, USDC, DAI и другие стейблкоины → разрешения после посещения подозрительных сайтов → NFT setApprovalForAll → старые approvals у протоколов, которыми давно не пользуетесь.
Для следующей операции dApp снова запросит approve. Это нормально. Revoke не «блокирует» протокол навсегда — просто следующий раз вы выдадите разрешение осознанно и, желательно, с лимитом.
Нет. Approvals у доверенных, регулярно используемых протоколов с разумными лимитами можно оставить. Ревокайте то, что подозрительно, неактуально или имеет unlimited лимит на ликвидные токены.
Да. Revoke — это отзыв разрешения для контракта, а не перевод токенов. Ваши токены остаются на том же адресе. Меняется только то, что смарт-контракт больше не может ими распоряжаться.
Да. Если вы планируете продолжать пользоваться dApp — снизьте лимит до минимально необходимого вместо полного revoke. Revoke.cash позволяет изменить сумму approve без полного его удаления.
Нет. Это повторяется намеренно, потому что ошибка распространённая. Disconnect не затрагивает ончейн-разрешения. Только revoke удаляет approve из блокчейна.
Опасный spender — это адрес смарт-контракта, которому выдан approve, но который невозможно идентифицировать как легитимный протокол. Признаки: нет верификации в block explorer, нет имени, нет истории транзакций с другими пользователями, возраст контракта — несколько дней. Всё это — основания для немедленного revoke.
Безопасность кошелька — это не одноразовое действие, а регулярная привычка. Проверка approvals раз в месяц занимает меньше времени, чем восстановление после кражи. А revoke — это не страшно: это обычная транзакция, которая стоит центы и защищает от потерь на порядки больших.
Популярные лонгриды:
