What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

Критический Средний ущерб: $20,000 Обычная длительность: 1-3 days

Эксплойт одобрения токенов: как мошенники опустошают Web3-кошельки

Эксплойт одобрения токенов — это сложная Web3-мошенничество, при котором злоумышленники манипулируют пользователями, заставляя их цифровой подписью одобрять транзакцию смарт-контракта, предоставляющую неограниченное разрешение на перевод определённых токенов из их кошелька. В отличие от традиционного взлома, эта атака требует явного согласия пользователя — но жертвы не понимают, что именно они одобряют. После подтверждения мошенники выполняют транзакции вывода, перекачивая токены на адреса, контролируемые злоумышленниками, зачастую в течение нескольких часов. Эта атака становится всё более распространённой по мере роста децентрализованных финансов (DeFi); аналитическая компания Chainalysis сообщила, что кражи на основе одобрений выросли на 400% с 2022 по 2023 год, а жертвы ежегодно теряют свыше 280 миллионов долларов. Механизм эксплойта основан на фундаментальном принципе Web3: смарт-контракты требуют разрешений на взаимодействие с токенами пользователя. Мошенники используют это, маскируя запросы на одобрение под легитимные транзакции (например, утверждая, что это чеканка NFT, обмен токенов или голосование в управлении), тогда как на самом деле предоставляют неограниченные права на перевод. Особую опасность представляет временная задержка — жертвы могут не заметить компрометацию кошелька в течение дней или недель, к тому времени токены уже переведены на миксер-сервисы и биржи, что делает возврат практически невозможным.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Частые вопросы Куда сообщить

Распространённые тактики

• Фишинг с использованием поддельных интерфейсов dApp: мошенники создают фальшивые децентрализованные приложения, имитирующие легитимные платформы (OpenSea, Uniswap, Aave), но перенаправляют пользователей на вредоносные смарт-контракты, которые запрашивают одобрение токенов вместо выполнения заявленной функции.
• Социальная инженерия через Discord/Telegram: злоумышленники публикуют поддельные ссылки в сообществах Web3, обещая эксклюзивные дропы NFT, аирдропы управления или возможности фарминга доходности, требующие подключения кошелька и одобрения токенов.
• Скомпрометированные расширения браузера для кошельков: вредоносные расширения Chrome или Firefox маскируются под MetaMask или инструменты управления кошельком, внедряя поддельные запросы на одобрение в легитимные взаимодействия с dApp без ведома пользователя.
• Использование путаницы пользователей в механике одобрений: мошенники эксплуатируют тот факт, что большинство пользователей не понимают разницу между одобрением транзакции (подписанием одного действия) и одобрением токена (предоставлением неограниченного доступа в будущем), используя технически звучащие формулировки в своих запросах.
• Кампании по ловле редких NFT: злоумышленники создают фальшивые платформы для торговли NFT или лончпады с редкими коллекциями, требуя одобрения токенов для участия в аукционах или получении токенов, после чего сразу же опустошают кошельки.
• Манипуляция интерфейсом и пользовательским опытом: мошеннические dApp показывают расплывчатые описания транзакций («Подтвердить обмен», «Включить торговлю»), скрывая реальный объём одобрения, часто устанавливая неограниченный лимит (type(uint256).max) в коде.

Как распознать

Вас просят одобрить конкретный токен, но dApp утверждает, что предоставляет несвязанные услуги (например, чеканка NFT с запросом одобрения токена управления, которого у вас нет).
Запрос на одобрение показывает необычно высокий или «неограниченный» лимит (отображается как очень большое число или MAX в деталях транзакции).
URL транзакции или домен dApp слегка искажён по сравнению с легитимным вариантом (например, «uniswapp.org» вместо «uniswap.org»).
Вы видите экран подтверждения транзакции, который неясно объясняет, что именно вы одобряете, или не соответствует вашему намерению.
Баланс вашего кошелька внезапно уменьшается по токенам, которые вы явно не переводили, что можно заметить при проверке истории транзакций, где есть операции, которые вы не инициировали.
Легитимный dApp или кошелёк неоднократно запрашивает повторное одобрение одного и того же токена, хотя это должно быть необходимо только один раз, если лимит не был полностью израсходован.

Как защитить себя

Всегда проверяйте домены dApp, вводя их напрямую в браузере, а не переходя по ссылкам из соцсетей, Discord или писем — используйте инструменты проверки блокчейн-доменов, такие как Revoke.cash, для двойной проверки URL.
Используйте сервисы мониторинга одобрений токенов, например Revoke.cash или вкладку Approvals на Etherscan, чтобы регулярно проверять все активные одобрения в вашем кошельке и отзывать разрешения для сервисов, которыми вы больше не пользуетесь.
Одобряйте только конкретное количество токенов, необходимое для одной транзакции, а не неограниченный лимит; большинство легитимных dApp позволяют вводить пользовательские суммы одобрения.
Включайте инструменты симуляции транзакций, такие как Tenderly или функцию Simulation на Etherscan, перед подписанием любой транзакции, чтобы точно видеть, что произойдёт (какие токены и куда будут переведены).
Храните токены, которыми вы не торгуете активно, в отдельных холодных кошельках (аппаратных кошельках, таких как Ledger или Trezor), которые никогда не подключаются к dApp, минимизируя риски для ценных активов.
Практикуйте стратегию «слоистого кошелька»: используйте один кошелёк с небольшими суммами для взаимодействия с dApp и тестирования, а для долгосрочного хранения держите отдельный защищённый кошелёк, снижая потенциальные потери при компрометации адреса.

Реальные примеры

Пользователь видит пост в Twitter с рекламой эксклюзивного airdrop на Ethereum L2 с гарантированными наградами. Он переходит по ссылке, подключает MetaMask и видит кнопку «Claim Airdrop». Перед обработкой dApp запрашивает разрешение на перевод его токенов USDC (якобы для получения дропа). Пользователь одобряет неограниченный лимит. Через 6 часов весь баланс USDC на сумму $18 000 переведён на адрес злоумышленника. Дроп был подделкой, а запрос одобрения — настоящей атакой.

Модератор Discord в популярном NFT-сообществе делится ссылкой на «проверенный» NFT-маркетплейс с ранним доступом к коллекции blue-chip. Пользователи, подключая кошельки, получают запрос одобрить ETH для торговли. Интерфейс показывает одну транзакцию, но в коде контракта скрыто неограниченное одобрение другого токена (часто ценного токена управления, который есть у участников). Через два дня жертвы обнаруживают, что их токены управления Uniswap были выведены на сумму $25 000 в группе пострадавших.

Инвестор получает фишинговое письмо с сообщением, что его позиция в Aave требует срочного действия из-за «корректировок ликвидности». В письме ссылка на интерфейс, похожий на настоящий Aave (с незначительной ошибкой в домене). Вход и «подтверждение» корректировки запускают запрос одобрения токенов, который пользователи принимают за рутинное обслуживание. Злоумышленник затем бесшумно выводит одобренные токены в течение недели, к тому моменту жертва перестаёт следить за кошельком и обнаруживает потерю $34 000 только при квартальном обзоре портфеля.

Частые вопросы

В чём разница между одобрением транзакции и одобрением токена?

Одобрение транзакции подписывает одно конкретное действие (например, обмен 10 USDC на ETH). Одобрение токена даёт смарт-контракту право переводить ЛЮБОЕ количество этого токена из вашего кошелька многократно, пока вы не отзовёте разрешение. Мошенники используют эту путаницу, заставляя пользователей думать, что они подписывают одноразовую транзакцию, тогда как на самом деле предоставляют неограниченный доступ.

Можно ли вернуть токены после их вывода?

Восстановить средства крайне сложно после перевода. Транзакции в блокчейне необратимы, а злоумышленники быстро перемещают токены через миксеры (Tornado Cash) или на децентрализованные биржи. Единственный вариант — связаться с биржей, если вы знаете, где токены были проданы, но это редко приводит к возврату. Гораздо эффективнее предотвращать такие ситуации с помощью управления одобрениями.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), эксплойт одобрения токенов: как мошенники опустошают web3-кошельки is described at https://scamlens.org/ru/encyclopedia/token-approval-exploit.

https://scamlens.org/ru/encyclopedia/token-approval-exploit

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Эксплойт одобрения токенов: как мошенники опустошают Web3-кошельки

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Частые вопросы

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide