Approve/allowance — это механизм “разрешений” в токенах стандарта ERC-20, из-за которого люди чаще всего теряют стейблкоины и другие токены в DeFi. Коротко: вы не отправляете токены в момент approve — вы даёте смарт-контракту право забирать их с вашего адреса в пределах лимита (allowance). Если лимит “безлимитный”, а dApp оказался фейком или контракт скомпрометирован — токены могут быть списаны без отдельного “перевода”.

В этом гайде разберём: что такое разрешения токенов, почему “безлимитные approve” опасны, как проверить кому вы уже выдали доступ и как отозвать разрешения (revoke) в Ethereum и L2 (Arbitrum, Optimism, Base). Если вы только выбираете кошелёк — сначала прочитайте: как создать кошелёк Ethereum и L2 (MetaMask, Ledger) и настроить безопасное хранение.

💡 Главный вывод: Approve — это не перевод, а “доступ”. Чем шире доступ (сумма и срок), тем выше потенциальный ущерб при ошибке или скаме.

1) Что такое approve и allowance простыми словами

В смарт-контрактах многие операции устроены так: вы не “отправляете токен в протокол”, а протокол сам забирает токен у вас, когда вы нажимаете “Deposit/Swap/Stake”. Чтобы протокол мог это сделать, вы сначала выдаёте ему разрешение.

В стандарте ERC-20 есть две ключевые вещи:

• approve(spender, amount) — вы разрешаете “spender” (обычно это контракт протокола/роутер DEX) списывать до amount токенов.
• allowance(owner, spender) — это текущий лимит разрешения: сколько токенов “spender” может списать у “owner”.

Важно: токены не уходят на этапе approve. Списание происходит позже через transferFrom, когда вы делаете действие в dApp (или когда контракт вызывает списание согласно логике протокола).

Approve ≠ перевод

2) Почему dApp просит “безлимитный” approve и когда это уместно

Многие интерфейсы DeFi предлагают разрешение “Unlimited” (максимальный лимит) по простой причине: это снижает трение. Вы один раз выдаёте доступ — и дальше делаете операции без повторных approve (каждый approve — отдельная транзакция и комиссия).

Когда “безлимитный approve” иногда оправдан:

• вы давно пользуетесь крупным протоколом и понимаете риски;
• вы работаете с небольшим “горячим” балансом, который не жалко потерять полностью;
• вы готовы регулярно чистить разрешения (revoke) и не держите там долгосрочные накопления.

Когда безлимитный approve — плохая идея:

• вы тестируете новый/непонятный dApp;
• вы попали на сайт по рекламе/ссылке из чата;
• вы используете основной кошелёк, где лежит “всё”.

3) Чем опасны “безлимитные” разрешения токенов

Опасность не в самом механизме approve — он базовый для ERC-20, без него DeFi бы “не взлетел”. Опасность в том, что разрешение живёт до тех пор, пока вы его не измените (не установите лимит в 0 или меньшую сумму). Это как выдать приложению доступ к банковской карте без лимитов: если приложение окажется вредным — ущерб максимальный.

3.1 Как реально воруют токены через approve

• Вы подключаете кошелёк к поддельному сайту (клон DEX/лендинга/бриджа) и подписываете approve.
• Сайт/контракт “внешне похож”, но spender — это контракт злоумышленника.
• Дальше злоумышленник вызывает transferFrom и списывает токены в пределах allowance.

3.2 Самые частые токены-жертвы

Чаще всего уносят стейблкоины (USDT/USDC/DAI) и ликвидные токены, потому что их легко “превратить” в другое без проскальзывания и блокировок. Поэтому разрешения на стейблкоины — зона повышенного внимания.

3.3 “Подпишите сообщение” — отдельная красная зона

Иногда мошенники не просят approve напрямую, а уводят через подписи/пермиты/обёрнутые транзакции. Если интерфейс просит “просто подпись” и не объясняет, что именно вы подписываете — остановитесь и перепроверьте источник.

4) Где чаще всего ловят скам на approve/allowance

Почти всегда сценарий выглядит “жизненно”: «нужно только подключить кошелёк и подтвердить разрешение». Вот места, где чаще всего ловят людей:

• Реклама и поисковая выдача (фейковый домен, очень похожий на оригинал).
• Ссылки в Telegram/Discord (“официальный airdrop”, “компенсации”, “выплаты”).
• Клоны известных протоколов: дизайн тот же, но адреса контрактов другие.
• “Revoke-сервисы”-подделки: вас заманивают “почистить разрешения”, а по факту вы подписываете новые approve.

⚠️ Практическое правило: если вы пришли по ссылке и вас сразу просят дать unlimited approve на стейблкоин — вероятность проблемы слишком высокая, чтобы “просто продолжить”.

5) Как проверить разрешения токенов (approve) в MetaMask/Rabby/Trust Wallet и в L2

Разрешения “живут” в контракте токена, поэтому их смотрят не “в кошельке как приложении”, а по данным сети. У разных кошельков (MetaMask, Rabby, Trust Wallet, Coinbase Wallet) интерфейсы отличаются, но логика одна: нужно увидеть список spender и лимит allowance.

5.1 Что именно проверять

• Токен: какой именно актив (USDT, USDC и т.д.).
• Spender: кому выдали доступ (контракт протокола/роутер/непонятный адрес).
• Лимит: точная сумма или “unlimited/max”.
• Сеть: Ethereum L1 или L2 (Arbitrum/Optimism/Base). Разрешения в разных сетях — разные.

5.2 Важная деталь про L2 (Arbitrum, Optimism, Base)

Если вы активно пользуетесь L2, то разрешения нужно проверять в каждой сети отдельно. Unlimited approve, выданный в Arbitrum, не даёт доступа в Ethereum L1 — и наоборот. Поэтому “почистить всё” одним действием часто не получится: придётся пройтись по сетям, где у вас была активность.

6) Как отозвать разрешения (revoke) — пошагово в Ethereum и L2

Отзыв разрешения — это обычная транзакция, которая меняет allowance. Чаще всего revoke означает установить лимит в 0 (или сильно снизить). Для этого вам понадобится немного газа в той сети, где вы отзываетe разрешение.

6.1 Способ №1: через “проверку разрешений” в блок-эксплорере вашей сети

• Откройте эксплорер нужной сети (Ethereum / Arbitrum / Optimism / Base).
• Найдите раздел, где показываются Token Approvals / Allowance (у многих эксплореров есть аналогичные страницы).
• Посмотрите список spender и выберите, что нужно отозвать.
• Подпишите транзакцию “revoke” (по сути approve на 0) в кошельке.

💡 Главный вывод: revoke — это транзакция. Вы платите комиссию, но снижаете риск потерять больше.

6.2 Способ №2: через специализированные “revoke”-интерфейсы

Существуют сервисы, которые собирают approvals и дают кнопку revoke. Это удобно, но здесь критично проверять домен и источник, потому что “поддельные revoke-страницы” — частая схема скама. Если сомневаетесь — лучше использовать эксплорер сети.

6.3 Способ №3: вручную через контракт токена

Технически вы можете вызвать у токена approve(spender, 0) вручную. Но для новичка это самый рискованный вариант: легко ошибиться адресом spender или сетью. Используйте этот подход, только если уверены, что делаете.

7) Практика: стратегия разрешений, чтобы не потерять токены в DeFi

Здесь нет “одного идеального” правила, но есть практики, которые резко снижают вероятность больших потерь.

7.1 Разделите кошельки на “холодный” и “горячий”

• Холодный (Ledger/Trezor) — хранение, минимум подключений к dApp.
• Горячий (MetaMask/Rabby) — повседневка и DeFi, но без больших остатков.

7.2 Не давайте unlimited approve “по умолчанию”

• Для новых протоколов — выдавайте лимит под конкретную операцию.
• Для стейблкоинов — особенно осторожно: это любимая цель.

7.3 Регулярно делайте “ревизию разрешений”

• Раз в 1–2 недели (или после “марафона DeFi”) пройдитесь по approvals и отзовите лишнее.
• Особенно после теста новых dApp, фарминга, “airdrop-активности”.

7.4 Проверяйте spender, а не только “красивый интерфейс”

Интерфейс может быть идеальной копией. Безопасность начинается с вопроса: какой именно контракт получает доступ к вашему токену.

8) Чек-лист: что проверить перед approve и что сделать после

• Сеть верная? Ethereum L1 или нужная L2 (Arbitrum/Optimism/Base).
• Токен верный? Не “клон” с похожим названием.
• Spender понятен? Это ожидаемый контракт протокола, а не случайный адрес.
• Лимит разумный? Под операцию или ограниченный, если вы не уверены.
• После операции: если протокол больше не нужен — отзовите разрешение (revoke).

FAQ

Полезные ссылки

• Чек-лист безопасности DeFi: как снижать риск смарт-контрактов до депозита
• Чек-лист: как читать отчёт аудита смарт-контракта
• Разрешения токенов (approve/allowance): чем опасны безлимитные и как отозвать (revoke)