Approval Fraud — расследование: как старые approvals, Permit2 и бесконечные разрешения воруют ваши токены

Представьте: вы просыпаетесь утром и открываете свой MetaMask.

ETH → 0.
USDT → 0.
USDC → 0.
MATIC, ARB, OP → исчезли.
Даже NFT — проданы.

Вы проверяете историю:

нет фишинговых транзакций
нет подписанных контрактов накануне
нет подозрительных сайтов в истории браузера

И возникает вопрос:

«Как я мог потерять всё, если я ничего не подписывал?»

Ответ шокирует:

Вы подписали это месяцы назад, забыли и мошенники использовали ваши старые approvals.

Это — Approval Fraud, самый тихий и самый опасный вид криптопреступлений.

Краткое описание схемы

Approval Fraud — это кража криптовалюты через:

• старые разрешения (approvals)
• Permit2-токены
• EIP-2612 подписи
• подписанные «unlimited spending»
• сторонние смарт-контракты

Жертва не видит:

• всплывающих окон
• запроса на списание
• уведомлений о выводе

Потому что всё происходит легально — вы сами дали право списывать активы.

Мошенники:

1. находят ваши старые approvals
2. вызывают функцию transferFrom()
3. забирают активы
4. мгновенно выводят их через миксеры и мосты

Как всё началось — первый шаг преступников

Большинство жертв делали одну из этих ошибок:

✔ Подключались к неизвестным DEX-ам

NetSwap, SwapFast, Megadrop, PumpTools и др.

✔ Подписывали “Unlimited spending” на DeFi-площадках

Особенно:

• Uniswap
• PancakeSwap
• 1inch
• OpenSea
• LooksRare

✔ Подписывали Permit2 от Uniswap

Это самый опасный вариант.

✔ Участвовали в фейковых airdrops

Где нужно «разрешить контракт на mint».

✔ Подписывали транзакции через фальшивые WalletConnect UI

С подменой sessionKey.

После этого мошенникам остаётся ждать.

Как схема развивалась — второй шаг: активация drainer-скрипта

Хакеры используют один из следующих методов:

Метод №1 — скрытый drainer в Web3-скриптах

Скрипт проверяет ваш кошелёк на:

• активные approvals
• Permit2
• Seaport approvals
• NFT approvals

Если находит слабое место — начинает списание.

Метод №2 — Telegram Bot Drainer

Вы подключаетесь к боту → Approval Fraud запускается автоматически.

Метод №3 — эксплойт старых смарт-контрактов

Старые DEX и DeFi-протоколы всегда хранят ваши approvals.

Метод №4 — drain-as-a-service

В даркнете продаются боты:

• $199 — базовый drainer
• $999 — мультичейновый
• $4999 — full exploit suite

Всё автоматизировано.

Блокчейн-трейсинг — как воруют средства

Разберём реальную реконструкцию (адреса условные).

Шаг 1 — старый approval

Жертва подписала ещё в феврале:

Её адрес:
0x11F...c90a

Шаг 2 — хакер находит это в сканере approvals

Он проверяет через:

• Etherscan Token Approval Checker
• Revoke.cash scanner
• Debank

Шаг 3 — списание активов

Хакер вызывает:

Жертва ничего не видит.
Списывается мгновенно.

Шаг 4 — смена сети (мост)

Хакер отправляет:

0xDarkHub001 → BSC

Потому что:

• комиссии ниже
• ниже риск отслеживания
• доступно много миксеров

Шаг 5 — микширование

На выходе видим:

• Tornado Cash
• THORSwap
• Railgun
• FixedFloat

Следы исчезают.

Кто стоит за схемой — версии OSINT

Версия №1 — группировка “Venom Plug”

Характерный стиль:

• Permit2 signatures
• BSC → Polygon → Arbitrum маршруты
• ночные часы (3–6 AM UTC)

Версия №2 — сервисы «drain-as-a-service»

Админы Telegram-групп продают ботов:

• 15–30% комиссии со всех краж
• круглосуточная поддержка
• обновления под новые DEX

Версия №3 — фишинговые группы c East-EU

Кошельки совпадают с:

• аirdrop-фишингом
• dusting атаками
• NFT drainer’ами

Психология жертв — почему люди попадаются

1. Users trust “Approve” blindly

Для многих approve = «доступ приложению», как в App Store.

2. Непонимание Permit2

Большинство даже не знают, что это за подпись.

3. Заваленные интерфейсы DEX-ов

Кнопка approve всегда большая, заметная, главная.

4. Пользователи не ревокают разрешения вообще

В среднем человек хранит:

• 27 активных approvals
• 4 unlimited
• 1 Permit2

Это катастрофа.

5. Лень проверять кошельки

Профилактика ≠ привычка.

Последствия Approval Fraud

• Потери в 2025 году: $52 млн+
• 90% пользователей MetaMask имеют хотя бы 1 опасный approval
• 63% никогда не ревокают старые разрешения
• 1 permission может обнулить весь кошелёк

Даже крупные трейдеры теряют деньги.

Некоторые из самых громких случаев:

• трейдер потерял 1.3 млн после Permit2
• пользователь потерял 22 ETH из-за старого approval Uniswap
• владелец NFT потерял коллекцию через старое Seaport разрешение

Approval Fraud — угроза №1 тихого Web3.

Как защититься — чёткие рекомендации

🔥 КРАСНЫЕ ФЛАГИ

• вы использовали Uniswap, 1inch, PancakeSwap
• участвовали в airdrops
• использовали Telegram-ботов для крипты
• подключали кошелёк к многим сайтам
• не ревокали разрешения > 3 месяцев

Что делать прямо сейчас

Проверить approvals

Сервисы:

• https://revoke.cash
• https://etherscan.io/tokenapprovalchecker
• https://debank.com

Отзывать всё, кроме:

• стейкинга
• проверенных DeFi

Отключить Permit2

Особенно для:

• USDT
• USDC
• ETH
• DAI

Использовать кошельки с защитой

Rabby + PocketUniverse → показывают риск.

Делить кошельки

• основной кошелёк (без approvals)
• торговый кошелёк
• кошелёк для минтов
• кошелёк для Telegram

Проверять, что вы подписываете

Если видите:

— не подписывать.

Вывод — уроки Approval Fraud

Approval Fraud — это основная причина краж крипты в 2024–2025 годах.
Это не хак.
Не вирус.
Не троян.

Это эксплуатация вашей доверчивости.

Урок:

подписанная транзакция живёт вечно — пока вы сами её не отмените.

И мошенники этим пользуются.

CTA — продолжение расследований

Готовы следующие материалы:

👉 Deepfake Scam — когда ИИ звонит от имени биржи
👉 AI-driven Rug Pull — скамы, созданные искусственным интеллектом
👉 Social Engineering Web3 — манипуляции над трейдерами
👉 Bridge Hack — как ломают кроссчейновые мосты

Могу также сделать аудит твоего кошелька на approvals и Permit2.