Approve, allowance, revoke: как не превратить кошелёк в банкомат

Дисклеймер: материал носит информационный характер и не является инвестрекомендацией.

Если у вас вдруг списали токены без привычного подтверждения — в 9 случаях из 10 это не взлом блокчейна, а старое разрешение, которое вы когда-то выдали смарт-контракту. 

В 2026 это одна из самых частых причин потерь у розницы: дрейнеры, фишинг-страницы, поддельные проверки eligibility — всё крутится вокруг подписей и разрешений.

Что такое approve/allowance, почему unlimited approval опасен, как работает revoke, и что делать, если вы уже нажали не туда.

Разберём терминологию 

Approve — это разрешение смарт-контракту тратить ваши токены.

Allowance — размер этого разрешения.

Revoke — отзыв разрешения.

Вы даёте разрешение не кошельку, а конкретному контракту — и часто на очень большую сумму (иногда фактически безлимит).

Как именно воруют через approve

Классический сценарий выглядит так:

1. Вы заходите на сайт «airdrop / claim / check eligibility / mint / verify wallet».
2. Подключаете кошелёк.
3. Вам предлагают безобидное действие — чаще всего approve.
4. Вы подтверждаете.
5. Дальше контракт (или тот, кто им управляет) может переводить токены без ваших новых подтверждений, пока allowance не будет отозван или исчерпан.

Отсюда ощущение «списали без подписи» — подпись была, просто давно.

Почему unlimited approval — главный красный флаг

Многие интерфейсы по умолчанию предлагают «max» / «unlimited», чтобы вы не платили газ каждый раз.

Плюс: меньше трения.

Минус: один раз ошиблись — и токены можно выметать до нуля.

Практическое правило:

• для разовых действий давайте точную сумму или небольшой лимит;
• безлимит — только тем контрактам, которым вы доверяете как банку (и то спорно).

Отдельная тема 2026: подписи и Permit / Permit2

У пользователя часто ломается логика: я же ничего не отправлял, я просто подписал.

Есть две реальности:

1) Обычный approve (он же ERC-20 approval)

Это транзакция в сети, вы платите газ. Разрешение видно в сканерах и в инструментах revoke.

2) Permit / Permit2 и подписи без газа

Это когда вы подписываете сообщение, а право тратить токены активируется через другую механику (иногда без отдельной транзакции от вас в момент подписи). Для пользователя это выглядит ещё опаснее: просто подпись → токены ушли.

Если сайт просит «подписать для верификации» — это почти всегда попытка украсть.

Как проверить, кому вы дали разрешения

Есть 3 удобных пути (можно выбрать один).

Способ 1. Revoke-инструменты

Открываете инструмент проверки approvals, подключаете кошелёк, выбираете сеть и смотрите список разрешений.

Что искать:

• незнакомые названия/домены;
• разрешения на крупные суммы;
• разрешения для стейблов (USDT/USDC/DAI) — это любимая цель дрейнеров;
• NFT approvals (часто отдельной вкладкой).

Способ 2. Через сканер сети (Etherscan и аналоги)

Подходит, если вы хотите вручную проверить адреса и историю.

Что искать:

• транзакции «Approve»;
• контракт-адрес, которому вы выдали allowance;
• список token approvals (если интерфейс сети показывает).

Способ 3. Через интерфейс кошелька

Некоторые кошельки показывают approvals, но чаще это менее удобно, чем специализированные инструменты.

Как сделать revoke?

Шаг 1. Определите сеть

Approve существует отдельно в каждой сети: Ethereum, Arbitrum, Base, BSC и т. д.

Если вы делали «claim» в конкретной сети — revoke делайте там же.

Шаг 2. Откройте список approvals и отсортируйте по риску

Приоритет:

стейблы (USDT/USDC/DAI)
крупные токены (ETH-обёртки, ликвидные активы)
всё остальное

Шаг 3. Удалите «безлимиты» и незнакомые разрешения

«Revoke» / «Set allowance to 0» — это и есть отзыв.

За транзакцию обычно платится газ.

Шаг 4. Проверьте ещё раз через 2–3 минуты

Иногда интерфейс кэширует данные. Убедитесь, что allowance стал 0.

Что делать, если токены уже списали

Если вы подозреваете дрейнер/фишинг, действуйте как при пожаре.

1) Сразу перенесите оставшиеся активы на новый адрес

Новый адрес лучше создать на чистом устройстве/профиле браузера. Не подключайте старый адрес ни к каким сайтам «для проверки».

2) Сразу сделайте revoke на старом адресе

Это не вернёт украденное, но может остановить дальнейшие списания для тех токенов, которые ещё остались.

3) Проверьте allowances во всех сетях

Дрейнеры часто работают мультисетево. Люди чистят Ethereum и забывают Base/Arbitrum.

4) Отвяжите риск-контуры

Если вы использовали этот адрес для airdrops/mini-apps — лучше его больше не использовать как основной.

Вывод

Approve — полезная механика, но именно она чаще всего превращает кошелёк в банкомат для злоумышленников. В 2026 выигрывает тот, кто держит порядок: лимитирует approvals, регулярно делает revoke и разделяет адреса по ролям.