Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Вы сделали swap на DEX — обменяли USDT на ETH, всё прошло, транзакция подтверждена. Вы закрыли вкладку, отключились от dApp и забыли об этом. Казалось бы, всё закончилось. Но нет. У смарт-контракта этой биржи до сих пор есть разрешение тратить ваши токены. Возможно, без ограничений по сумме. Возможно, бессрочно.
Это и есть суть проблемы token approvals — разрешений, которые остаются активными даже после того, как операция давно завершилась. И именно поэтому revoke approvals — отзыв этих разрешений — в 2026 году стал такой же базовой гигиеной кошелька, как регулярная проверка адреса перед переводом.
Давайте разберём всё с нуля: что это такое, где прячется риск, как его найти и как правильно его устранить.
Token approval — это разрешение, которое вы выдаёте смарт-контракту, позволяя ему тратить токены с вашего адреса. Allowance — это лимит этого разрешения: сумма, которую контракт вправе потратить.
Представьте: вы выдали кому-то доверенность на списание средств с вашей банковской карты. Вы не передавали карту физически — но доверенность работает. Деньги могут быть списаны в любой момент, пока доверенность действует. Именно так устроен token approval в блокчейне.
Важно понять с самого начала: approve — это не перевод токенов. Это лишь выдача права на их трату. Реальное движение средств происходит позже, когда контракт решает воспользоваться этим правом.
Откуда берётся approval? Практически из любого взаимодействия с DeFi-экосистемой:
После завершения операции approve никуда не исчезает. Он остаётся. Навсегда — или до тех пор, пока вы его не отзовёте вручную.
Здесь пользователи путаются чаще всего, и эта путаница дорого обходится.
Когда вы нажимаете «Connect Wallet» на сайте dApp — вы выдаёте этому сайту разрешение видеть ваш адрес и инициировать запросы транзакций. Это соединение на уровне интерфейса: сайт знает, что вы — это вы, и может формировать для вас транзакции.
Это не token approval. Это просто «дверь», через которую вы зашли.
Через это соединение dApp может предлагать вам подписать транзакции. Но само по себе соединение не даёт контракту права тратить ваши токены.
Когда вы впервые свапаете или взаимодействуете с контрактом, он просит вас отдельно подписать approve-транзакцию. Вот это — уже настоящий token approval. Именно в этот момент вы выдаёте контракту право тратить ваши токены.
Вот главный миф, который разрушает дорого:
Disconnect — это не revoke.
Когда вы отключаетесь от dApp (через настройки MetaMask, Coinbase Wallet или любого другого кошелька), вы убираете соединение на уровне интерфейса. Сайт больше не видит ваш адрес напрямую. Но token approval, который был выдан смарт-контракту, — остаётся нетронутым.
Говоря проще: вы закрыли дверь — но доверенность всё ещё лежит у чужих людей. Они могут ею воспользоваться и без вашего присутствия.
MetaMask прямо объясняет: даже после disconnect dApp может сохранять возможность двигать токены в рамках ранее выданного allowance. Именно поэтому revoke approvals — это отдельное действие, которое нужно делать осознанно.
Понять это — значит понять природу самого риска.
Каждый раз, когда вы свапаете токен через DEX, протокол сначала просит вас одобрить трату этого токена. Иначе контракт не имеет права его взять. Но — и вот ключевой момент — в большинстве случаев DEX просит не «разрешить потратить 100 USDT для этого конкретного свапа», а «разрешить тратить USDT в любом количестве в любое время». Это называется infinite approval — безлимитное разрешение.
Удобно? Да: не нужно каждый раз заново выдавать approve. Опасно? Тоже да: контракт сохраняет это право навсегда.
Если NFT-коллекция продаётся за USDT или ETH, её контракт запросит approve на нужный токен. После успешного минта контракт получил то, что ему было нужно — но allowance остался. Завтра, через месяц, через год — технически он всё ещё может воспользоваться разрешением.
Бриджи — один из самых сложных случаев. Они оперируют с несколькими сетями и нередко просят широкий approve для обеспечения гибкости маршрутизации. После того как мост выполнил свою функцию, одобрение остаётся активным.
Это отдельная проблема: часть dApp запрашивает не точный лимит под конкретную операцию, а maximum uint256 — по сути, бесконечный доступ. Пользователь соглашается, потому что не понимает, что именно одобряет. Именно о корректной проверке и безопасности кошельков рассказывает материал как не потерять крипту в 2026 году.
Операция давно завершена. Вы уже и забыли про тот свап три месяца назад. А allowance живёт.
Смарт-контракты не имеют срока давности для использования allowance (если только этот лимит не установлен явно). Сегодня контракт не активен — завтра он может оказаться под управлением другого оператора.
Даже легитимный протокол может быть взломан. Если у него есть ваш infinite approval на USDT — злоумышленник, получивший контроль над протоколом, может вывести ваши токены. Именно это произошло в нескольких резонансных DeFi-эксплойтах: пользователи давали allowance легитимному протоколу, тот взламывался — и токены утекали у всех, кто не успел отозвать разрешения.
Это самая обыденная и от того наиболее массовая проблема. Несколько протоколов за год, несколько бриджей, несколько NFT-минтов — и в итоге у десятка контрактов есть доступ к вашим токенам. Большинство пользователей об этом даже не догадываются.
Разница принципиальная:
При этом большинство DEX по умолчанию просят именно infinite approval — потому что это удобнее для пользователя в плане UX. Но это удобство создаёт постоянный риск.
Coinbase прямо рекомендует регулярно проверять и отзывать approvals — особенно те, что выданы с бесконечным лимитом.
Это не опциональная привычка «для параноиков». Это базовая защита для каждого, кто работает с DeFi и Web3.
Особенно если вы использовали «безлимитное» одобрение. Свап прошёл — отзовите. Чтобы в следующий раз снова выдать ровно нужный лимит.
NFT-контракты, airdrop-дистрибьюторы, клейм-страницы новых проектов — все они нередко просят approve. После получения того, что вы хотели, allowance нужно убрать.
Контракты бриджей имеют доступ к токенам на обоих концах маршрута. Это особенно важно для USDT, который вы переводите между сетями. О том, в каких сетях работает USDT и как выбрать правильную — отдельный материал. После моста — отзывайте разрешения.
Малоизвестный протокол, который показался интересным — возможно, он легитимен. Но риск выше. После операции — сразу проверьте и уберите allowance.
Это вообще отдельная зона максимального риска. Значительная часть фишинговых схем замаскирована под страницы клейма. Если вы взаимодействовали с такой страницей и она запрашивала approve — проверьте allowances немедленно.
Если вы подписали что-то, в чём не были уверены, — не ждите. Первое действие после — проверить активные разрешения. О природе blind signing и о том, почему слепая подпись опасна, — подробный разбор в отдельном материале на сайте.
Проекты закрываются, команды меняются, контракты передаются. Даже если протокол был полностью легитимен — если вы к нему больше не вернётесь, зачем держать открытый доступ?
Начнём с главного: как вообще узнать, у кого есть доступ к вашим токенам?
Coinbase Wallet предоставляет встроенный путь к управлению разрешениями:Settings → Recovery phrase, profile, connections, and more → Token approvals → Revoke
Это удобно: не нужно уходить с платформы, всё видно прямо в интерфейсе кошелька. Для каждого активного allowance показывается контракт-получатель и выданный лимит.
MetaMask предлагает два пути. Первый — через MetaMask Portfolio: специальный раздел управления разрешениями с поддержкой Ethereum mainnet, Polygon, BNB Chain, Optimism и Base. Там можно видеть все активные approvals по сетям и отзывать их в несколько кликов.
Второй путь — через встроенный инструмент просмотра в самом расширении. Для каждой сети MetaMask указывает, что можно использовать approval checker в соответствующем обозревателе блокчейна.
Для основных сетей:
В каждом случае алгоритм одинаков: вводите адрес кошелька — видите список всех выданных разрешений с суммами и адресами контрактов.
Revoke.cash — это специализированный инструмент, поддерживающий сотни EVM-совместимых сетей. Он позволяет:
Как MetaMask, так и Coinbase допускают использование таких внешних инструментов там, где встроенного revoke недостаточно. Ledger также рекомендует пользователям заходить на Revoke.cash через раздел «Исследуйте» в своём интерфейсе.
Вот конкретная последовательность действий. Она одинакова вне зависимости от того, используете ли вы MetaMask, Coinbase Wallet или Revoke.cash.
Зайдите во встроенный раздел approvals вашего кошелька или откройте Revoke.cash / нужный block explorer. Подключите кошелёк или введите адрес вручную.
Approvals хранятся отдельно для каждой сети. Если вы работаете с USDT в ERC20 и TRC20 — проверяйте Ethereum и TRON отдельно. Каждая сеть — отдельный список разрешений.
Для каждого allowance отображается:
Infinite approval на незнакомый или давно не используемый контракт — первый кандидат на revoke.
В зависимости от интерфейса кнопка называется по-разному: Revoke, Отозвать, Set to 0, Cancel. Суть одна: вы устанавливаете allowance в ноль — то есть полностью убираете разрешение.
Revoke — это on-chain транзакция. Кошелёк покажет запрос на подпись. Подтверждайте — транзакция уйдёт в сеть.
Важно: для этого вам нужно иметь на кошельке нативный токен сети для оплаты gas. ETH для Ethereum, TRX для TRON, MATIC для Polygon, BNB для BNB Chain.
После подтверждения транзакции allowance сброшен. Контракт больше не может тратить ваши токены. Проверьте в списке — разрешение должно исчезнуть.
Это частое заблуждение: «разрешение я выдал бесплатно, так почему за отзыв надо платить?»
Ответ прост: и approve, и revoke — это on-chain транзакции. Обе записываются в блокчейн и требуют gas. Разница только в том, что approve часто оплачивается неявно в рамках основной операции (swap уже включал approve-транзакцию). А revoke — это отдельное самостоятельное действие с отдельной комиссией.
Сколько стоит revoke? Зависит от сети:
Иногда пользователь видит 15–20 старых allowances на Ethereum и понимает: отозвать все прямо сейчас может стоить заметно. Стратегия в таком случае: начать с infinite approvals на незнакомые контракты — они наиболее опасны. Остальные — по мере снижения gas.
И помните: gas за revoke — это инвестиция в безопасность. Она всегда дешевле, чем потеря токенов через взломанный контракт или вредоносный approve.
USDT — самый используемый токен при свапах, переводах и DeFi-операциях. И именно USDT имеет особенность, которую большинство пользователей не знает до первого столкновения.
В стандарте ERC20 смарт-контракт USDT (Tether) имеет нестандартную логику approve: он не позволяет просто перезаписать существующий allowance новым значением без промежуточного сброса.
Это означает: если у контракта есть allowance 500 USDT, а вы пытаетесь выдать новый approve на 1000 USDT — транзакция может быть отклонена или помечена как «transaction likely to fail».
Вы приходите на DEX, выбираете USDT → ETH, подтверждаете — а транзакция зависает или падает с ошибкой. Иногда причина именно в этом: у контракта уже есть активный allowance на USDT, и протокол пытается выдать новый — не сбросив старый.
Это не ошибка сети, не проблема с адресом кошелька и не вопрос комиссии. Это особенность контракта USDT.
Последовательность при работе с USDT approval:
Двухшаговый процесс — но он обязателен. Некоторые DEX автоматически формируют эту двойную транзакцию за вас; другие — нет, и тогда пользователь видит ошибку. Именно понимание этой механики позволяет переводить USDT без потерь и ошибок.
Рынок уже несколько лет ищет более безопасную замену классическому infinite approval — и 2026 год принёс в этом направлении конкретные изменения.
Плюсы: удобно — approve выдаётся один раз, все последующие операции с этим токеном через данный контракт проходят без дополнительных подтверждений.
Минусы: контракт получает бессрочный и безлимитный доступ. Если протокол взломают или он окажется вредоносным — пострадают все держатели infinite approval.
Для активного DeFi-пользователя с основным балансом — это неприемлемый риск.
Плюсы: вы выдаёте ровно столько, сколько нужно для конкретной операции. После её выполнения контракт больше ничего не может взять.
Минусы: при следующей операции нужно снова выдавать approve — это дополнительная транзакция и gas.
Это более безопасный выбор для большинства пользователей. Небольшое неудобство несравнимо с разницей в рисках.
MetaMask в 2026 году активно продвигает новый стандарт — ERC-7715 (advanced permissions). Суть: разрешения с ограничениями по:
Это следующий шаг после limited approval: не просто «ограниченная сумма», а «ограниченная сумма + срок + условия».
Однако есть важная оговорка: ERC-7715 — это новый стандарт. В 2026 году большинство dApp всё ещё используют базовые approvals без автоматического истечения. Продвинутые разрешения доступны только там, где dApp специально их внедрил. Для остальных случаев — ручной revoke остаётся необходимостью.
Таблица 1. Infinite approval vs limited approval vs advanced permissions
| Параметр | Infinite approval | Limited approval | Advanced permissions (ERC-7715) |
|---|---|---|---|
| Удобство | Высокое | Среднее | Высокое (с поддержкой dApp) |
| Лимит суммы | Нет | Да | Да |
| Срок действия | Бессрочно | Бессрочно | Ограничен |
| Условия | Нет | Нет | Да |
| Уровень риска | Высокий | Низкий | Минимальный |
| Поддержка в 2026 | Повсеместно | Повсеместно | Только часть dApp |
| Нужен ручной revoke | Да | Желательно | Зависит от настройки |
Вернёмся к этому моменту — он настолько важен, что заслуживает отдельного акцента.
Когда вы отключаете кошелёк от dApp:
Что при этом не происходит:
Контракт и сайт — это разные сущности. Сайт — это интерфейс. Контракт — это код, живущий в блокчейне. Разрыв соединения с сайтом не влияет на то, что записано в блокчейне.
Поэтому правило одно: disconnect — всегда. Revoke — отдельно и обязательно.
Если у вас накопилось много разрешений и нет желания отзывать всё разом, вот приоритеты:
Видите контракт, название которого вам ни о чём не говорит? Это приоритет номер один. Вы не помните, когда и зачем выдавали это разрешение — значит, держать его открытым незачем.
Это инфраструктура с высоким объёмом средств и постоянным интересом злоумышленников. Взлом известного протокола — реальный сценарий. Если вы давно не пользуетесь конкретным DEX или бриджем — уберите allowance.
Любой «∞» в списке разрешений — это красный флаг, требующий пересмотра. Оставлять infinite approval оправдано только для постоянно используемых протоколов, которым вы действительно доверяете.
Это самая мутная зона: значительная часть таких сайтов создаётся ради одного approve. Если вы взаимодействовали с подобной страницей — проверьте немедленно.
Простой и практичный критерий: если протоколом не пользовались дольше трёх месяцев — разрешение скорее всего уже не нужно. Отзовите.
Таблица 2. Disconnect dApp vs revoke approvals
| Параметр | Disconnect dApp | Revoke token approvals |
|---|---|---|
| Что убирает | Соединение с интерфейсом сайта | Разрешение контракта тратить токены |
| On-chain / Off-chain | Off-chain | On-chain |
| Нужна комиссия | Нет | Да (gas fee) |
| Контракт теряет доступ к токенам | Нет | Да |
| Нужно делать отдельно | Нет (автоматически при закрытии) | Да, вручную |
| Достаточно для безопасности | Нет | Да |
Профилактика всегда лучше лечения. Вот конкретные правила.
При появлении запроса на approve — проверьте, предлагает ли интерфейс выбрать сумму. Многие современные dApp и кошельки уже предоставляют эту возможность. Выбирайте «Custom amount» или «Set spending cap» и указывайте ровно нужную сумму.
Кошелёк, на котором лежит основной капитал, не должен активно взаимодействовать с незнакомыми смарт-контрактами. Создайте отдельный «рабочий» кошелёк под DeFi-активность — пополняйте его ровно на сумму, нужную для конкретной операции. Если этот кошелёк будет скомпрометирован — потери будут минимальными.
Это особенно актуально при безопасной покупке USDT и работе с крупными суммами в стейблкоинах.
Сделайте это ежемесячной привычкой. 10–15 минут раз в месяц: зайти в Revoke.cash или MetaMask Portfolio, посмотреть список активных разрешений, убрать ненужные. Это простое действие снижает риск драматически.
Логика та же, что с «рабочим» кошельком: если у вас есть отдельный адрес под DeFi-операции, все approvals будут сосредоточены там — и не затронут основные активы.
Не откладывайте. Зашли на незнакомый сайт, подписали что-то непонятное — открываете approval checker в ту же минуту. Скорость реакции критична: у злоумышленника нет стимула ждать.
Три разных действия с тремя разными последствиями:
Только revoke даёт реальную защиту на уровне блокчейна.
Паника — плохой советчик. Нужен чёткий алгоритм.
Откройте Revoke.cash или approval checker в кошельке. Прямо сейчас. Ищите свежие разрешения — особенно те, что появились в момент подозрительного взаимодействия.
Если видите свежий allowance на незнакомый контракт — revoke немедленно. Каждая минута может иметь значение: часть вредоносных контрактов срабатывает не мгновенно, и у вас есть шанс закрыть доступ до списания.
Посмотрите историю транзакций кошелька. Если токены уже ушли — revoke всё равно нужен, чтобы предотвратить дальнейшие списания. Если нет — вы успели.
Если вы подозреваете, что контракт получил широкий доступ и может вывести всё в любой момент — не ждите. Переведите оставшиеся токены на другой, незатронутый адрес. Создайте новый кошелёк, если нужно.
О том, как правильно хранить seed phrase и как не допустить его компрометации при переносе активов — отдельный подробный материал.
Даже если кажется, что «теперь всё нормально» — не возвращайтесь на тот же домен, не общайтесь с теми же контактами. Повторное взаимодействие часто является частью мошеннического сценария: пользователю предлагают «исправить» ситуацию через те же шаги, что и создали проблему.
Таблица 3. Что делать после подозрительного approve
| Симптом | Что проверить | Срочное действие | Когда нужен перенос активов |
|---|---|---|---|
| Подписал непонятный approve | Список allowances в кошельке | Revoke немедленно | Если allowance infinite и на крупный баланс |
| Появился незнакомый токен | Не взаимодействовать | Скрыть, игнорировать | Редко |
| Токены частично ушли | История транзакций + allowances | Revoke + срочный перевод остатка | Всегда |
| «Поддержка» предлагает «исправить» | Не реагировать | Прекратить контакт | По ситуации |
Таблица 4. Приоритеты при revoke
| Тип allowance | Уровень риска | Приоритет отзыва | Примечание |
|---|---|---|---|
| Infinite approve на неизвестный контракт | Критический | Немедленно | Не знаете протокол — убирайте |
| Infinite approve на старый DEX/bridge | Высокий | Высокий | Протокол мог быть скомпрометирован |
| Limited approve на неизвестный контракт | Высокий | Высокий | Даже лимит — это лишний доступ |
| Infinite approve на активно используемый DEX | Средний | Средний | Оцените необходимость использования infinite |
| Limited approve на проверенный протокол | Низкий | После завершения операций | Стоит убрать, когда протокол больше не нужен |
| Approve, связанный с airdrop/claim | Критический | Немедленно | Высокая вероятность мошенничества |
Что такое token approval в крипте?
Token approval — это разрешение, которое вы выдаёте смарт-контракту на трату токенов с вашего адреса. Allowance — конкретный лимит этого разрешения. Approval не переводит токены — он только даёт контракту право их взять.
Чем disconnect от dApp отличается от revoke approvals?
Disconnect убирает соединение между сайтом и вашим кошельком на уровне интерфейса. Revoke убирает разрешение смарт-контракта тратить токены — это on-chain действие. После disconnect allowances остаются активными.
Зачем отзывать approvals после swap?
После swap у DEX-контракта может оставаться бессрочное разрешение тратить ваши токены. Если протокол взломают или он окажется вредоносным — это разрешение можно использовать для списания.
Почему swap USDT иногда не проходит из-за старого approval?
У контракта USDT нестандартная логика: он не позволяет перезаписать существующий allowance без предварительного сброса в ноль. Нужно сначала сделать revoke (set to 0), а потом выдавать новый approve.
Revoke approvals — это платно?
Да. Revoke — это on-chain транзакция, которая требует gas. Комиссия зависит от сети: в Ethereum это может быть несколько долларов, в TRON или Polygon — несколько центов.
Как посмотреть все активные approvals?
Через встроенный раздел в Coinbase Wallet, через MetaMask Portfolio, через approval checker на Etherscan/BscScan/PolygonScan или через Revoke.cash.
Нужно ли делать revoke после каждого swap?
Это оптимальная практика, особенно при infinite approval. Минимум — проверять approvals раз в месяц и убирать всё ненужное.
Чем опасен infinite approval?
Контракт с infinite approval может взять любое количество ваших токенов в любой момент. При взломе протокола или вредоносном обновлении контракта — все держатели infinite approval под угрозой.
Что лучше: infinite или limited approval?
Limited approval значительно безопаснее. Вы разрешаете потратить ровно нужную сумму. Контракт использовал разрешение — больше ничего не возьмёт без нового approve.
Что такое advanced permissions ERC-7715?
Это новый стандарт от MetaMask: разрешения с ограничениями по сумме, времени и условиям. Пока поддерживается не всеми dApp, но постепенно внедряется как более безопасная альтернатива бессрочным approvals.
Как действовать, если я уже подписал подозрительный approve?
Немедленно открыть approval checker, найти свежий allowance, сделать revoke. Если есть риск drain — перевести остаток активов на другой кошелёк. Не взаимодействовать с тем же доменом повторно.
Нужно ли делать revoke approvals на TRON (TRC20)?
Да. TRON также поддерживает approvals для TRC20-токенов, и проверять их нужно через TRONSCAN. Особенно актуально для USDT TRC20 — самого популярного токена в этой сети.
Помогает ли Telegram Wallet от проблем с approvals?
Если вы используете Telegram Wallet только для базовых операций — переводов USDT и TON — риск approvals минимален. Проблема возникает при взаимодействии с внешними dApp через Web3-браузер кошелька.
Можно ли отменить транзакцию, в которой дал approve?
Саму approve-транзакцию отменить нельзя — она уже в блокчейне. Но можно и нужно сразу сделать revoke, чтобы убрать последствия.
Как не оставлять опасные approvals в будущем?
Выдавайте limited approval вместо infinite, используйте отдельный кошелёк для DeFi, проверяйте allowances раз в месяц и делайте revoke после каждой завершённой операции.
Token approvals — это не мелкая техническая деталь «для гиков». Это реальный доступ к вашим токенам, который остаётся после каждого swap, mint и bridge. Пока вы думали, что операция закончилась — разрешение продолжает работать.
Три вещи, которые меняют ситуацию кардинально:
Безопасность в Web3 строится из маленьких, но последовательных привычек. Revoke approvals — одна из них.
Популярные лонгриды:
