Многие думают, что украсть крипту можно только через сид-фразу или вредоносный смарт-контракт. Но есть другой опасный сценарий: вы ничего не отправляете в блокчейн, а просто ставите подпись — и злоумышленник получает доступ к вашим токенам.
Что такое permit
Permit — это механизм, который позволяет дать разрешение на использование токенов через подпись, без отдельной транзакции approve.
Это удобно: меньше комиссий, быстрее подтверждение, лучше UX в DeFi.
Но именно в этом и риск: подпись многим кажется «безопасной мелочью», хотя иногда она дает право списать ваши активы.
Как работает схема атаки
Обычно сценарий такой:
- пользователь заходит на фейковый сайт airdrop, mint, claim или OTC-обменника 🎣
- сайт просит не сделать транзакцию, а лишь подписать сообщение
- в подписи зашит permit или похожее разрешение
- после подтверждения атакующий вызывает transferFrom и выводит токены на свой адрес
Визуально это может выглядеть безобидно, потому что кошелек показывает не «отправку средств», а просто запрос на подпись.
Почему это опасно
- нет привычного ощущения риска, как при on-chain транзакции
- разрешение может быть выдано на всю сумму или огромный лимит
- пользователь часто не читает, что именно подписывает
- некоторые токены и протоколы используют разные варианты permit-механик
Какие подписи особенно опасны
Обращайте внимание на запросы, связанные с:
- Permit
- Permit2
- Approve / allowance
- SetApprovalForAll
- TransferWithAuthorization
- непонятными typed data / EIP-712 сообщениями
Особенно опасно, если сайт обещает награду, просит «подтвердить владение кошельком» или торопит по времени 🚨
Как защититься
- Не подписывайте то, что не понимаете
- проверяйте домен: фишинговые копии часто отличаются 1 символом
- держите основной банк на отдельном холодном кошельке 🧊
- для DeFi используйте отдельный «расходный» адрес
- перед подписью смотрите, какой токен, какой spender и какой лимит
- регулярно проверяйте и отзывайте разрешения через revoke-сервисы
- не подключайте кошелек к случайным mint/airdrop-сайтам
- используйте кошельки, которые подробно показывают содержимое подписи
Что делать, если уже подписали
- срочно revoke всех подозрительных approval/permit
- переведите оставшиеся активы на безопасный адрес
- проверьте историю approvals по всем сетям
- если подписан SetApprovalForAll для NFT — немедленно отзовите доступ 🛡️
Главный вывод
Подпись — это не «просто вход» и не безобидная кнопка. В крипте подписать иногда так же опасно, как и отправить транзакцию.
Если кошелек просит подтвердить сообщение, относитесь к этому как к финансовому действию, а не формальности.
📌 Посмотрите подборку каналов про криптовалюты — там регулярно разбирают новые схемы атак, фишинг и способы защиты капитала.