Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Вы заходите на сайт, подключаете MetaMask, видите кнопку Sign или Sign message. Никакого перевода. Никакого газа. Токены прямо сейчас никуда не уходят. «Это просто вход», — думаете вы, — «просто подтверждение, что кошелёк мой». Нажимаете Confirm — и всё, кажется, хорошо.
Но через несколько часов или дней токены пропадают. Без вашего участия. Без дополнительных нажатий. Без ещё одного окна с кнопкой Send.
Это и есть главная ловушка Web3 в 2026 году: отсутствие немедленного перевода не означает отсутствие риска. Подпись — это не просто «галочка для входа». Это авторизация действия от вашего имени. И если вы подписали что-то, не понимая что именно, — злоумышленник уже получил то, что ему нужно.
Как устроено криптомошенничество в 2026 году в широком смысле — отдельная тема. Эта статья про узкий, но массовый сценарий: подпись без перевода, blind signing, signature phishing, permit и Permit2. Именно эта группа угроз стала одной из самых активно эксплуатируемых в 2025–2026 году по данным аналитических отчётов по on-chain безопасности. А значит, базовое понимание того, как не потерять крипту сегодня, невозможно без понимания того, что такое Sign и почему оно опасно. Если вы только начинаете работать с кошельком — убедитесь, что правильно выбрали криптокошелёк и понимаете базовую архитектуру работы с ним.
Большинство пользователей делят действия в кошельке на две категории: «опасное» — это когда видишь сумму, комиссию и кнопку Send. И «безопасное» — всё остальное. Подпись, верификация, логин, подтверждение — это же просто интерфейс, разве нет?
Нет. В Web3 такая логика не работает. Подпись — это тоже форма авторизации. Вы не просто нажимаете «войти», вы подписываете конкретные данные своим приватным ключом. То, что вы подписываете, может быть безобидным — а может содержать инструкцию, которую злоумышленник позже выполнит против вашего кошелька.
Когда интерфейс показывает «0 ETH» и «~0 gas», мозг регистрирует «ничего не происходит». Именно на этот психологический триггер и рассчитаны атаки через подписи. Нет перевода — нет тревоги. Нет комиссии — нет ощущения «настоящего действия».
Но отсутствие gas fee не делает подпись harmless. Она просто означает, что действие происходит не прямо сейчас и не в блокчейне в момент клика. Это принципиально не то же самое, что «ничего не произойдёт».
В зависимости от содержимого подписи, вы можете авторизовать:
Это ключевой момент, который понимают не все даже опытные пользователи. Off-chain подпись хранится у того, кому вы её отдали. Злоумышленник может использовать её в нужный ему момент — через час, через день, через неделю. Пока у него есть эта подпись, риск реален.
Sign и Sign message — это запрос на подписание данных с помощью вашего приватного ключа. Технически это означает: «докажи кошельком, что ты владелец этого адреса, и подтверди эти данные».
Для входа на платформы — например, «Login with Ethereum» — это действительно безопасно, если данные содержат только одноразовый идентификатор сессии. Но если данные содержат инструкции, разрешения или параметры, которые злоумышленник сможет использовать — всё меняется.
Off-chain signature — это подпись, которая не публикуется в блокчейн немедленно. Она происходит локально: ваш кошелёк подписывает данные, эта подписанная информация передаётся стороне, запросившей подпись. Что она с ней сделает дальше — вы уже не контролируете.
Именно поэтому MetaMask специально предупреждает: off-chain подписи могут быть использованы dapp’ом или злоумышленником позже, уже без вашего участия. В момент подписи блокчейн «не видит» ничего — но это не значит, что подпись не имеет последствий.
Безобидный Sign: вы заходите на известную платформу, видите понятный текст вроде «Sign in to [platform] with your wallet. Nonce: 12345», понимаете, что это одноразовый логин-токен, и подписываете. Риска нет.
Опасный Sign: вы видите непонятный массив данных, символы в hex-формате, длинные поля с параметрами — или сайт просит «verify wallet», «confirm eligibility», «claim reward», а данные при этом содержат инструкции permit или allowance. Это красный флаг.
Понять, что происходит с вашими активами в Web3 — невозможно без базового понимания того, что такое DeFi и как работают dApp. А для тех, кто только начинает — важно сначала разобраться, как начать пользоваться криптовалютой в целом, прежде чем переходить к продвинутым Web3-сценариям.
Signature phishing — это атака, при которой злоумышленник создаёт фишинговый сайт или взламывает интерфейс, чтобы получить у пользователя off-chain подпись, которую затем использует для кражи активов.
Схема работает следующим образом:
Это ключевое и неочевидное: злоумышленнику выгоднее работать через подпись, чем просить прямой перевод. Причина проста: прямой перевод вызывает немедленную тревогу, пользователь видит сумму и думает дважды. Подпись — не вызывает. «Раз денег не видно — значит безопасно», — именно эта ложная логика делает signature phishing одной из самых эффективных схем 2025–2026 года.
Вредоносная подпись почти никогда не выглядит как «отдай мне свои токены». Она маскируется под стандартные пользовательские действия:
Во всех этих сценариях пользователь не чувствует угрозы. Именно поэтому он подписывает.
Blind signing — это подписание данных, которые вы не можете нормально прочитать и понять. Вместо читаемого текста вы видите hex-строку, массив байт или абстрактные параметры, смысл которых кошелёк не может отобразить в человекочитаемом виде.
Ledger определяет blind signing именно так: подписание транзакции без полного понимания или видимости данных. И сравнивает это с подписанием чистого чека — вы ставите подпись, но не знаете, какую сумму потом впишут.
На устройствах Ledger при попытке выполнить blind signing появляется предупреждение. Это не просто информационное сообщение — это сигнал тревоги: кошелёк говорит вам, что не может отобразить данные в понятном формате, а значит, вы подписываете вслепую.
Разница между blind signing и clear signing принципиальная:
Это один из самых важных мифов, который нужно разрушить. Ledger, Trezor и другие hardware-кошельки защищают ваш приватный ключ от кражи — они не позволяют злоумышленнику вытащить ключ из устройства. Но они не могут защитить вас от вас самих.
Если вы самостоятельно подтверждаете подпись на hardware wallet — пусть даже с предупреждением о blind signing — устройство выполняет вашу команду. Оно не знает, хочет ли вас обмануть сайт, который запросил эту подпись. Оно знает только одно: владелец нажал Confirm.
Именно поэтому организация работы с кошельками критически важна: как организовать криптокошельки новичку — отдельный кошелёк для Web3, отдельный для хранения — это не паранойя, а рабочая защита. Подробнее о безопасном хранении — в материале как хранить крипту безопасно. А о том, что такое seed phrase и почему он — главный ключ ко всему, — в статье что такое seed phrase.
Permit — это механизм, описанный в стандарте EIP-2612, который позволяет пользователю дать разрешение на расходование токенов через подпись, а не через привычную on-chain approve-транзакцию.
В обычной схеме, если вы хотите разрешить какому-то протоколу тратить ваши токены, вам нужно сначала отправить отдельную транзакцию approve с оплатой газа. Это on-chain действие — оно видно в блокчейне.
Permit убирает эту транзакцию: вы подписываете сообщение off-chain, и протокол затем использует эту подпись, чтобы задействовать allowance уже в рамках основной транзакции. Удобно, меньше шагов, меньше комиссий.
Риск ровно в том, что для пользователя разница незаметна. В обычной схеме approve — вы видели явную транзакцию в блокчейне, платили газ, понимали, что делаете что-то важное. В permit-схеме вы видите только «подписать сообщение» — без газа, без очевидного действия, без ощущения «что-то происходит с моими токенами».
Но последствие то же самое: если подпись permit попала к злоумышленнику, он может использовать её, чтобы получить доступ к вашим токенам — ровно так же, как если бы вы сделали классический approve на его адрес.
Gasless approval ≠ безопасный approval. Отсутствие комиссии означает только то, что вы не платили газ. Авторизация при этом реальна.
Permit2 — это ещё более продвинутый механизм управления разрешениями, изначально разработанный Uniswap. Его цель — упростить работу с токен-апрувалами для всех dApp, а не только для одного протокола.
В основе Permit2 лежат два режима:
Логика такая: пользователь один раз делает on-chain approve на контракт Permit2 (это обычная транзакция с газом). После этого взаимодействие с dApp может происходить через подписи — без каждый раз новых on-chain транзакций. Меньше шагов, меньше газа, удобнее UX.
Именно потому, что дальнейшие взаимодействия требуют только подписи, без on-chain сигнала. Если вы один раз уже одобрили Permit2-контракт (что стандартно происходит при использовании Uniswap и многих других dApp) — злоумышленнику достаточно получить от вас одну фишинговую подпись, и он сможет использовать Permit2 для вывода ваших токенов.
Uniswap прямо описывает этот риск: если кошелёк уже одобрил Permit2-контракт, злоумышленник с нужной подписью пользователя может инициировать перевод токенов без дополнительного on-chain approve и без network cost в момент атаки. Именно поэтому malicious Permit2 signature — один из самых активно эксплуатируемых векторов атаки прямо сейчас.
Permit2 — легитимный и полезный стандарт. Uniswap, Aave, многие другие известные dApp используют его совершенно легально для улучшения UX. Проблема не в самом механизме, а в том, что пользователь не всегда понимает, что именно он подписывает в данный конкретный момент.
Правило простое: если вы работаете с проверенным dApp, в контексте понятного действия (swap, provide liquidity) — Permit2 подпись в порядке вещей. Если вы на незнакомом сайте подписываете «claim reward» или «unlock tokens» — это красный флаг, даже если интерфейс красивый.
Как устроен swap в криптовалюте и где безопаснее и выгоднее обменять крипту — важные знания для тех, кто работает с DeFi-инструментами и регулярно видит подобные запросы.
Это один из самых частых источников путаницы для новичков. Разберём каждое действие:
Когда вы нажимаете «Connect Wallet», вы разрешаете сайту видеть ваш адрес и баланс. Ничего больше. Токены не уходят, разрешений не даётся, риска почти нет. Это аналог «показать визитку».
Когда вы нажимаете Sign или Sign message, вы подписываете конкретные данные своим ключом. Что именно вы подписываете — зависит от содержимого. Это может быть безобидный логин-токен, а может быть permit-разрешение. Без понимания содержимого — это непредсказуемый риск.
Approve — on-chain транзакция, которая говорит: «я разрешаю этому адресу (spender) тратить до N токенов с моего баланса». Это видимое действие с газом. Именно здесь пользователь должен внимательно смотреть, кому и на сколько даёт разрешение.
Transfer или Send — прямой перевод токенов. Тут видна сумма, адрес получателя, комиссия. Это то, что большинство пользователей считают «опасным действием». Но, как мы видели выше, опасность может наступить гораздо раньше.
Потому что интерфейсы кошельков исторически были сделаны для разработчиков, а не для рядовых пользователей. Одни кошельки хорошо объясняют, что происходит. Другие показывают просто «Signature request» — и больше ничего. Незнакомый термин в непонятном контексте → нажать Confirm, чтобы «пройти дальше» → ошибка.
Вредоносная подпись редко кричит «я тебя обманываю». Вот типичные маскировки, которые встречаются в 2026 году:
Ключевая деталь: все эти сценарии апеллируют к выгоде или необходимости. Пользователь либо хочет получить что-то бесплатное (airdrop), либо думает, что без подписи не пройти дальше. Злоумышленники умело строят эти сценарии.
Это важно признать честно: signature phishing и blind signing — не только про новичков. Опытные пользователи тоже попадаются. Вот почему:
Практический алгоритм, который стоит выработать как привычку:
Не нажимайте Confirm сразу. Задайте себе один вопрос: «Зачем этому сайту нужна моя подпись прямо сейчас?» Если ответ неочевиден — не подписывайте.
Убедитесь, что вы на правильном сайте. Один лишний символ, другая доменная зона (.net вместо .io, дефис в неожиданном месте) — и это уже не тот сайт. Фишинговые домены в 2026 году делаются профессионально.
Откройте окно подписи полностью. Есть ли там читаемый текст? Понятно ли, что именно вы разрешаете? Если там hex, абстрактные параметры или поле «data» с длинной строкой — это кандидат на blind signing.
Спросите себя: «Могу ли я объяснить это действие своими словами?» Если нет — не подписывайте.
Пришли на новый сайт по ссылке из Telegram? Случайный airdrop от неизвестного проекта? «Бесплатный NFT», «reward», «claim» — без предварительного участия в проекте? Это красные флаги, даже если интерфейс красивый.
Самая мощная защита — архитектурная. Если на вашем «рабочем» Web3-кошельке нет основного резерва — цена любой ошибки ограничена. Не держите всё в одном кошельке, который вы активно используете для dApp.
Это не теория, а практика, которую рекомендуют все серьёзные участники рынка. Один кошелёк — для DeFi, dApp, экспериментов. Другой — для хранения основного резерва. Третий — для переводов USDT и повседневных операций. Если на «рабочем» Web3-кошельке будет скомпрометирована подпись — основной резерв останется нетронутым.
Любой кошелёк, который вы регулярно подключаете к сайтам и подписываете в нём что-либо, потенциально уязвим. Не потому что он плохой, а потому что вы активно им пользуетесь. Риск всегда пропорционален активности. Где хранить USDT и Bitcoin и как разделить хранение и операционную работу — важный вопрос для тех, кто работает с реальными суммами.
Если устройство или кошелёк предупреждает о blind signing — это не «формальность». Это честное сообщение: вы собираетесь подписать что-то, что не отображается читаемо. Либо поймите, что именно и зачем, либо откажитесь.
Существуют инструменты (revoke.cash, etherscan’s token approvals, встроенные функции некоторых кошельков), которые показывают, каким адресам и контрактам вы дали разрешения. Периодическая проверка и отзыв лишних разрешений — хорошая гигиена для активного Web3-пользователя.
Важно понять: сам факт подозрительной подписи не означает, что деньги уже украдены. Между подписью и реализацией риска может быть время. Именно поэтому действовать нужно быстро, но без паники.
Первое: проверьте баланс кошелька прямо сейчас. Если токены на месте — у вас есть время.
Второе: проверьте approvals — какие разрешения дал ваш адрес. Воспользуйтесь revoke.cash или аналогичным инструментом. Найдите подозрительные allowances и отзовите их.
Третье: если вы дали permit-подпись, ситуация сложнее — permit это off-chain авторизация, которую нельзя «отозвать» стандартным способом до того, как она использована. В таком случае — немедленно переводите ценные активы на другой, заведомо чистый адрес.
Четвёртое: зафиксируйте детали — время, сайт, транзакцию (если была). Эти данные нужны для обращения в поддержку платформы, если транзакция прошла через известный сервис. О том, что такое TXID и как его найти, — подробно в статье что такое TXID.
Пятое: не продолжайте использовать скомпрометированный адрес как основной Web3-кошелёк. Смените его — заведите новый для dApp-активности.
Не паниковать и не совершать хаотичных транзакций. Не переводить активы в спешке по случайным адресам «лишь бы куда». Не надеяться на «волшебную отмену» — ончейн-операции необратимы. Как не потерять крипту при любом инциденте — вопрос правильного порядка действий, а не скорости.
Это самая опасная и самая распространённая ошибка. Повторим главный тезис ещё раз: отсутствие немедленного списания не означает отсутствие риска. Off-chain подпись работает иначе — риск может реализоваться позже.
Нет. «Вход через кошелёк» — это Connect Wallet. Sign — это уже другое. Это зависит от содержимого. Слово «Sign» в интерфейсе не равно «это безобидный логин».
Дизайн сайта и уровень безопасности — независимые переменные. В 2026 году фишинговые сайты воспроизводят дизайн Uniswap, Aave, известных dApp с профессиональным качеством. Красивый интерфейс — не защита.
Нет газа = off-chain действие. Это не означает «ничего». Это означает, что блокчейн не записывает это прямо сейчас. Но подписанные данные у стороны уже есть.
Hardware wallet защищает приватный ключ. От вашей собственной подписи он не защищает. Если вы нажали Confirm на Ledger — это ваш выбор, и устройство его выполнит.
Blind signing — не настройка «для удобства». Это режим повышенного риска, который Ledger рекомендует изолировать: использовать его только на отдельном аккаунте, специально для ситуаций, где он необходим, не держа там основной резерв.
В Web3 опасность — это не только отправка денег. Это любая авторизация действий от имени вашего кошелька.
Sign, blind signing, permit, Permit2 — это механизмы, которые дают реальные права. Если вы подписываете то, что не можете объяснить своими словами — вы подписываете на доверии. А доверие — это именно то, на что рассчитывает злоумышленник.
Безопасная работа в Web3 в 2026 году строится на простом правиле: не подписывай то, что ты не понимаешь. Не потому что всё опасно, а потому что цена ошибки — ваши токены, и вернуть их будет некому.
Что значит Sign в криптокошельке?
Sign — это запрос на подписание данных вашим приватным ключом. Это не перевод, но и не безобидная операция: содержимое подписи может включать разрешения, permit-авторизации или другие данные, которые злоумышленник использует позже.
Опасно ли подписывать сообщение в MetaMask?
Зависит от содержимого. Подпись для входа на известную платформу с читаемым одноразовым текстом — безопасна. Подпись hex-данных, «claim reward», «verify wallet» на незнакомом сайте — потенциально очень опасна.
Можно ли украсть крипту через подпись без перевода?
Да. Именно на этом основан signature phishing. Off-chain подпись может включать permit-разрешение или другую авторизацию, которую злоумышленник использует для кражи токенов — без вашего дополнительного участия.
Что такое off-chain signature?
Подпись, которая не публикуется в блокчейн немедленно. Она происходит локально в кошельке и передаётся стороне, запросившей её. Эта сторона может использовать подпись позже — в том числе для вредоносных действий.
Что такое signature phishing?
Схема атаки, при которой злоумышленник создаёт фишинговый сайт или вредоносный сценарий, чтобы получить от пользователя off-chain подпись — маскируя это под логин, клейм, верификацию или другое «безопасное» действие.
Что такое blind signing простыми словами?
Подписание данных, которые вы не можете нормально прочитать. Кошелёк показывает технические данные вместо понятного текста, и вы подписываете «на доверии» — не понимая, что именно разрешаете.
Почему blind signing опасен?
Потому что вы не видите, что именно подписываете. В непонятных данных может быть спрятано разрешение на расходование токенов, permit-авторизация или другое действие, которое потом обернётся кражей.
Что такое Permit в крипте?
Механизм (EIP-2612), позволяющий изменить allowance через подпись, а не через обычную on-chain approve-транзакцию. Удобен для UX, но опасен при фишинге: gasless permit-подпись выглядит безобидно, а последствие то же, что у классического approve.
Чем Permit отличается от Approve?
Approve — это on-chain транзакция с газом, явно видимая в блокчейне. Permit — off-chain подпись, которая потом используется протоколом для изменения allowance. Результат похожий, но Permit не создаёт немедленной on-chain записи, что делает его менее заметным для пользователя.
Что такое Permit2 простыми словами?
Контракт Uniswap, который позволяет управлять разрешениями через подписи после одного начального on-chain approve. Легитимный и удобный стандарт, который одновременно стал популярным вектором фишинга — потому что дальнейшие операции требуют только подписи, без gas fee.
Почему Permit2 может быть опасен?
Если вы уже дали разрешение Permit2-контракту (стандартно при использовании Uniswap), достаточно одной фишинговой Permit2-подписи, чтобы злоумышленник мог вывести токены — без дополнительного approve и без on-chain транзакции в момент атаки.
Чем Sign отличается от Connect Wallet?
Connect Wallet — подключение интерфейса: сайт видит ваш адрес. Sign — подписание данных: вы авторизуете конкретные действия или данные. Connect Wallet практически безопасен. Sign — зависит от содержимого.
Чем Sign отличается от Approve?
Approve — это явная on-chain транзакция, устанавливающая allowance с газом. Sign — это подпись данных, которые могут быть off-chain. Permit и Permit2 объединяют оба: дают allowance-эффект через подпись.
Что делать, если я подписал подозрительное сообщение?
Проверьте баланс, проверьте approvals через revoke.cash, отзовите подозрительные разрешения, при необходимости — переведите ценные активы на чистый адрес. Не продолжайте использовать скомпрометированный адрес как основной Web3-кошелёк.
Может ли hardware wallet спасти от вредоносной подписи?
Не полностью. Hardware wallet защищает приватный ключ от кражи. Но если вы сами нажимаете Confirm на подозрительный запрос — устройство выполняет вашу команду. Защита аппаратного кошелька не заменяет понимание того, что именно вы подписываете.
Популярные лонгриды:
