Что такое approve-скам и drainer в сети TRON

Approve Scam — один из самых опасных видов мошенничества в сети TRON и других блокчейнах, поддерживающих стандарт ERC-20/TRC-20. Злоумышленники обманом заставляют пользователя подписать транзакцию Approve, предоставляющую мошенническому контракту право распоряжаться токенами на вашем кошельке. После подписания злоумышленник может в любой момент вывести все ваши USDT, USDC, TRX или другие токены. Опасность Approve-скама в том, что транзакция Approve не переводит средства немедленно — жертва не видит потери и может не подозревать об угрозе дни, недели или даже месяцы.

Как работает функция Approve в стандартах ERC-20 и TRC-20

Стандарт TRC-20 (полный аналог ERC-20) включает функцию Approve(address spender, uint256 amount). Вызывая её, владелец токенов разрешает другому адресу (spender) перевести указанное количество токенов со своего баланса. В DeFi это необходимо: пулу ликвидности нужно разрешение забрать токены для обмена; маркетплейсу — для продажи NFT; протоколу — для стейкинга. Однако злоумышленники маскируют Approve под безобидные действия. Технически, после вызова Approve контракт токена сохраняет запись: «адрес A разрешил адресу B тратить X токенов». Затем в любой момент B может вызвать transferFrom(A, C, X) и перевести токены. Approve не тратит токены владельца — тратит их вызывающий (spender). Именно поэтому жертва не видит изменения баланса после подписания.

Unlimited Approve — главный инструмент мошенников

Вместо конкретной суммы мошенники запрашивают Approve на максимальное значение uint256 (2^256-1). На практике это означает бесконечное разрешение. Мошенник может вывести не только текущий баланс USDT, но и все будущие поступления на этот кошелёк. Unlimited Approve — стандартная практика в DeFi (чтобы не подписывать транзакцию каждый раз), но именно эту «фичу» используют скамеры. Легитимные DeFi-протоколы обычно запрашивают Approve на сумму, которую вы собираетесь внести в пул, а не на бесконечность. Если вы видите Approve на сумму с огромным количеством нулей — это Unlimited Approve.

Основные типы Approve-скамов

Фальшивые dApp (децентрализованные приложения): мошенники создают точные копии популярных сервисов: SunSwap, JustSwap, TronLink, TronStake. Пользователь подключает кошелёк, видит знакомый интерфейс, нажимает «Обменять» или «Застейкать», но вместо этого подписывает Approve на мошеннический контракт. Фишинг через социальные сети: группы в Telegram, Twitter/X-аккаунты, Discord-серверы публикуют ссылки на фальшивые аирдропы. «Получи 5000 USDT бесплатно — просто подключи кошелёк и подтверди адрес». Drainer-контракты: специализированные смарт-контракты, написанные для автоматической кражи средств. После получения Approve drainer отслеживает баланс жертвы и мгновенно переводит все токены на адрес мошенника. Некоторые drainer’ы могут имитировать «ошибку» и запрашивать Approve повторно для других токенов. Мульти-токен Drainer: современные drainer-контракты проверяют баланс жертвы по нескольким токенам (USDT, USDC, BTT, JST, SUN) и крадут всё сразу.

Реальные примеры Approve-скамов в сети TRON

За 2024-2026 годы зафиксированы десятки крупных инцидентов. Пример 1: Поддельная версия SunSwap (2024) — мошенники зарегистрировали домен sunswap.xyz и запустили рекламу в Google. Жертвы подключали кошелёк, нажимали «Swap», подписывали Approve — и теряли все USDT. Собрано более $1.2 млн за 2 недели. Пример 2: Фальшивый аирдроп WIN (WinKLink) в Telegram (2025) — бот рассылал сообщения: «Вы выиграли 10000 WIN! Подтвердите получение». После Approve токены WIN не приходили, зато исчезали USDT. Пример 3: Drainer-контракт «TRON Saver» (2026) — мошенники создали контракт, который маскировался под «защитный кошелёк». Жертвам обещали повышенную доходность при переводе USDT на контракт, но фактически контракт имел Approve на все токены. Drainer собирал Approve от тысяч жертв и одномоментно вывел более $500k. Во всех случаях мошенники использовали миксеры и кросс-чейн мосты для отмывания средств.

Пошаговая схема обмана — как именно это работает

1. Мошенник создаёт поддельный сайт или Telegram-бота с обещанием «бесплатных токенов», «выгодной инвестиции» или «срочного обновления контракта».
2. Жертва переходит по ссылке (из рекламы, сообщества, личного сообщения). Сайт визуально неотличим от оригинала.
3. На сайте предлагают «подключить кошелёк» через TronLink, MetaMask или WalletConnect. После подключения сайт получает адрес кошелька и информацию о балансе токенов.
4. Сайт отображает кнопку: «Получить дроп», «Проверить кошелёк», «Активировать», «Обновить контракт». При нажатии кошелёк показывает транзакцию Approve. Текст транзакции замаскирован — вместо «Approve USDT for scam_contract» пользователь видит «Approve USDT for SunSwap Router» или просто «Contract Interaction».
5. Жертва подписывает транзакцию, не проверив адрес получателя (spender). Кошелёк показывает предупреждение, но пользователь его пропускает из-за спешки или невнимательности.
6. Мошенник получает право тратить токены. Drainer-контракт может ждать команды от создателя или срабатывать автоматически при пополнении баланса жертвы.
7. Токены переводятся на адрес мошенника, обмениваются на TRX через DEX (SunSwap, JustSwap) и отправляются на миксеры или биржи без KYC.

Как распознать фальшивый запрос Approve — 10 признаков

• Неожиданный запрос: Approve запрашивает сайт, который не является DeFi-протоколом. Ни один легитимный сервис (TronScan, TronLink, биржа, NFT-маркетплейс) не попросит Approve для «проверки кошелька» или «получения дропа».
• Подозрительный URL: домен отличается от официального заменой символов (sansswap.com вместо sunswap.com, tronlink.xyz вместо tronlink.org). Проверяйте URL вручную.
• Отсутствие HTTPS: сайт работает по HTTP или имеет невалидный SSL-сертификат. Браузеры помечают такие сайты как «небезопасные».
• Unlimited Approve: если в транзакции указано бесконечное количество токенов (uint256 max) — это подозрительно.
• Срочность и давление: «только 10 минут», «осталось 5 мест», «первым 1000 участникам». Мошенники создают панику, чтобы жертва не думала.
• Неизвестный адрес контракта: spender (кому даётся разрешение) — это незнакомый адрес, не связанный с известными протоколами. Проверьте его через TronScan.
• Необычная сеть: сайт просит подключиться к кастомной RPC или добавить новую сеть в кошелёк. Легитимные сервисы используют стандартные сети.
• Грамматические ошибки: интерфейс сайта содержит опечатки, странные формулировки, плохой перевод.
• Агрессивная реклама: сайт продвигается через рекламу в Google, YouTube, Telegram с обещанием «халявы».
• Нет информации о команде: на сайте нет ссылок на GitHub, whitepaper, дорожную карту, аудит.

Как проверить существующие Approve на вашем кошельке

В TronLink (расширение для браузера): откройте расширение, перейдите в «Assets» → выберите токен (например, USDT) → нажмите на три точки → выберите «Approved/Allowances». Вы увидите список всех адресов, которым разрешено тратить ваши USDT, с указанием суммы. На официальном TronScan (tronscan.org): введите адрес своего кошелька в поиск, перейдите на вкладку «Tokens» → «Token Approvals». Таблица покажет: контракт токена, spender (кому дано разрешение), сумму и статус. Для EVM-кошельков (MetaMask, Rabby): используйте сервисы revoke.cash, etherscan.io/tokenapproval или debank.com (раздел Approvals). Рекомендуется проверять Approve не реже одного раза в месяц, особенно если вы активно используете DeFi.

Инструменты для отзыва (Revoke) Approve

Revoke.cash: универсальный инструмент, поддерживающий TRON и все EVM-сети. Подключите кошелёк, выберите сеть TRON, просмотрите список Approve и нажмите «Revoke» для каждого подозрительного разрешения. Комиссия за отзыв — стандартная транзакция TRON (потребует Energy или TRX). TronLink: выберите токен, найдите spender в списке Approved, нажмите «Revoke». Подтвердите транзакцию в кошельке. TronScan: на странице Token Approvals нажмите кнопку «Revoke» напротив каждого разрешения. Bulk Revoke: для отзыва нескольких Approve сразу используйте revoke.cash — он позволяет выбрать несколько разрешений и отозвать их одной транзакцией (batch). Рекомендуется отзывать Approve для контрактов, которыми вы больше не пользуетесь, и для всех подозрительных разрешений немедленно.

Лучшие практики безопасности для защиты от Approve-скамов

• Аппаратный кошелёк (Ledger, Trezor): храните крупные суммы на хардверном кошельке. Даже если вы подпишете Approve на горячем кошельке через Ledger, транзакция transferFrom потребует физического подтверждения на устройстве. Однако если Approve подписан через Ledger — transferFrom не требует повторного подтверждения. Поэтому используйте отдельный горячий кошелёк для DeFi с минимальным балансом.
• Изолированные кошельки: создайте отдельные кошельки для разных целей: один для DeFi-операций (с небольшим количеством средств), второй для хранения капитала (без Approve, без подключения к dApp), третий для ежедневных переводов (средства на расходы).
• Проверка контракта через TronScan: перед Approve введите адрес spender в TronScan. Проверьте: верифицирован ли контракт, сколько ему дней, сколько транзакций, кто создатель. Если контракт неверифицирован — не подписывайте Approve.
• Используйте наш инструмент: на странице /tools/token/ введите адрес контракта для автоматического анализа рисков.
• Тестовый Approve: перед крупным взаимодействием дайте Approve на 1 USDT, выполните тестовую операцию, затем отзовите разрешение.
• Мониторинг кошелька: в TronLink включите уведомления о входящих/исходящих транзакциях. Используйте Telegram-ботов для отслеживания активности (например, @tron_tracker_bot).
• Проверка транзакции перед подписанием: в TronLink при подписании нажмите «Детали» — посмотрите, какой контракт вызывается (to address), какая функция вызывается (method ID), какие параметры передаются. Approve имеет method ID 0x095ea7b3.

Как проверить транзакцию перед подписанием — технические детали

Перед подписанием любой транзакции в TronLink или MetaMask нажмите на кнопку «Детали» или «Hex Data». Вы увидите поле «To» — адрес контракта, с которым взаимодействуете. Убедитесь, что это адрес легитимного протокола, а не подозрительный адрес. Поле «Data» содержит закодированный вызов функции. Первые 4 байта — это Method ID. У Approve method ID — 0x095ea7b3. Если вы видите этот method ID, а сайт обещает вам «проверку кошелька» — это 100% обман. Также можно использовать расширения для браузера: Pocket Universe (проверка транзакций на вредоносность), Blowfish (антивирус для крипто-транзакций), Fire (анализ рисков в реальном времени). Эти инструменты показывают понятное объяснение того, что делает транзакция, на естественном языке.

Психология мошенников — почему люди попадаются

Approve-скамы основаны на психологических уловках: Срочность: мошенники создают искусственный дефицит времени. «Осталось 5 минут», «только 100 участников». Под давлением времени жертва перестаёт проверять детали. Жадность: обещание бесплатных денег отключает критическое мышление. «Вы выиграли 50 000 USDT» — даже скептически настроенные люди могут поверить. Социальное доказательство: мошенники накручивают участников в Telegram ботами, показывают фальшивые скриншоты «выплат». Авторитет: использование логотипов TronScan, TRON Foundation, Binance создаёт ложное чувство доверия. Сложность: многие пользователи не понимают, что такое Approve, и доверяют интерфейсу сайта. Помните: если предложение выглядит слишком хорошим, чтобы быть правдой — скорее всего, это скам.

Продвинутые методы защиты — для опытных пользователей

Используйте симуляцию транзакции перед подписанием: сервисы Tenderly (tenderly.co/tx/simulator) и EthTx (ethtx.info) позволяют симулировать выполнение транзакции без отправки в сеть. Вы увидите, какие токены будут переведены и на какие адреса, без риска потери средств. Для продвинутого анализа используйте Tenderly Simulation API — вставьте hex-данные транзакции и получите полный отчёт. Также существуют браузерные расширения с функцией симуляции: Fire (chrome.google.com) и Blowfish. Они автоматически анализируют каждую транзакцию перед подписанием и предупреждают, если она выглядит подозрительно. Для полной изоляции используйте виртуальные машины или отдельные браузерные профили для DeFi-операций.

Что делать, если вы уже подписали Approve мошенническому контракту

1. Немедленно отзовите Approve: зайдите на revoke.cash или откройте TronLink → токены → Approved → Revoke. Это главное и самое срочное действие. Каждая минута промедления увеличивает риск кражи.
2. Переведите оставшиеся токены на новый кошелёк: создайте новый кошелёк (новую сид-фразу), переведите на него все средства со скомпрометированного адреса. Не используйте старый адрес для хранения средств.
3. Отзовите Approve для всех токенов: мошенник мог получить Approve не только на USDT, но и на USDC, BTT, JST, TRX (через контракты TRC-20 для TRX). Проверьте все токены.
4. Сохраните доказательства: TXID транзакции Approve, адрес мошеннического контракта, скриншоты сайта и переписки. Это может пригодиться для правоохранительных органов.
5. Сообщите о мошенничестве: в TRON SCAM Database (tron-scan.com/scam), на официальном форуме TronScan (раздел Security), в Telegram-группы @tron_community, @tronscan_announcements.
6. Подайте заявление в полицию: в РФ — Управление «К» МВД (киберпреступления). Приложите все собранные доказательства. Криптовалютные преступления квалифицируются по ст. 159 УК РФ (мошенничество).
7. Проверьте, не установил ли мошенник Approve на другие DeFi-протоколы: иногда drainer-контракты перенаправляют жертву на легитимный протокол и от его имени запрашивают Approve. Проверьте все разрешения через revoke.cash.
8. Обратитесь к специалисту по возврату: будьте крайне осторожны — многие «возвратчики» сами являются мошенниками. Проверяйте репутацию через независимые источники.

Разница между Approve и IncreaseAllowance/DecreaseAllowance

В некоторых контрактах (например, USDT от Tether) вместо стандартного Approve используются функции IncreaseAllowance и DecreaseAllowance. Это сделано для безопасности: IncreaseAllowance увеличивает существующее разрешение на указанную сумму, а DecreaseAllowance уменьшает. Мошенники адаптируются: поддельные dApp могут запрашивать IncreaseAllowance вместо Approve, маскируя транзакцию под «увеличение лимита для торговли». Механизм опасности тот же — подписав IncreaseAllowance на огромную сумму, вы даёте мошеннику доступ к вашим токенам. Всегда проверяйте адрес spender независимо от того, какая функция используется (approve, increaseAllowance, permit).

Как Trc-20 Permit используется в скамах

Permit — это новая функция стандарта ERC-20/TRC-20, позволяющая подписывать Approve офчейн (через подпись сообщения, без отправки транзакции). Это удобно для DeFi, но мошенники也开始 использовать Permit для кражи средств. Жертве показывают подпись сообщения в кошельке, которая выглядит как «Sign message» (без отправки транзакции), а на самом деле это подпись Permit. После подписания мошенник может использовать эту подпись для вызова функции permitThrough в любом блокчейне, потратив токены жертвы. Как защититься: никогда не подписывайте сообщения (signature requests) на подозрительных сайтах; проверяйте, что именно вы подписываете, в окне кошелька; используйте расширения для анализа подписей (Pocket Universe, Blowfish).

Вопросы и ответы об Approve-скамах

В: Можно ли отозвать Approve без комиссии? О: Нет, транзакция Revoke требует Energy или TRX для комиссии. Однако комиссия за отзыв обычно ниже, чем за сам Approve.

В: Видит ли мошенник баланс моего кошелька до Approve? О: Да, после подключения кошелька сайт получает ваш адрес и может запросить баланс через TronScan API. Мошенники специально проверяют баланс и атакуют только кошельки с крупными суммами.

В: Может ли мошенник украсть TRX через Approve? О: TRX — это нативная монета, не являющаяся TRC-20 токеном. Approve не работает с TRX напрямую. Однако мошенник может украсть USDT, USDC, BTT, JST, SUN и другие TRC-20 токены.

В: Что делать, если я подписал Approve на тестовом кошельке? О: Отзовите Approve через revoke.cash. Если общий баланс кошелька нулевой — можно просто выбросить кошелёк и создать новый.

В: Безопасен ли TronLink? О: TronLink — безопасный кошелёк, но он лишь инструмент. Опасность представляют сайты, к которым вы подключаете TronLink. Сам кошелёк не может украсть ваши средства, если вы не подписываете вредоносные транзакции.

Как мошенники обходят защиту кошельков

Мошенники постоянно совершенствуют методы обхода защиты встроенной в TronLink и MetaMask. Один из методов — маскировка транзакции под безобидную через функцию permit (EIP-2612). Вместо Approve используется подпись сообщения, которая не требует отправки транзакции и не показывает предупреждение кошелька. Другой метод — использование прокси-контрактов: пользователь подписывает Approve для одного контракта, который затем перенаправляет вызов на другой контракт (мошеннический). Третий метод — социальная инженерия в самом кошельке: мошенники просят жертву «обновить кошелёк» через фальшивое расширение, которое перехватывает все транзакции. Будьте особенно осторожны с расширениями браузера — используйте только официальные из Chrome Web Store с большим количеством установок и положительных отзывов.

Что такое Flash Loans и как они используются в Approve-скамах

Flash Loans (мгновенные кредиты) — это функция DeFi, позволяющая занять средства без обеспечения при условии возврата в той же транзакции. Мошенники используют Flash Loans для усиления Approve-скамов: сначала злоумышленник берёт Flash Loan в крупном протоколе (например, JustLend). Затем использует эти средства для создания видимости высокой ликвидности в поддельном пуле. Жертва видит большой объём и доверяет проекту, подписывая Approve. После этого злоумышленник использует Approve жертвы для кражи USDT, возвращает Flash Loan и скрывается с прибылью. Flash Loan атаки сложны в исполнении, но в TRON они становятся всё более популярными из-за низких комиссий и высокой скорости блоков.

Список проверенных инструментов для самостоятельной проверки

• TronScan Token Approval Checker — бесплатный, официальный, проверяет Approve на любом адресе.
• Revoke.cash — мультичейн, поддерживает TRON, batch revoke, имеет открытый исходный код.
• Etherscan Token Approval — только для EVM, но работает с TRON через прокси-контракты.
• Blowfish — расширение для браузера, анализирует транзакции перед подписанием, поддерживает TRON через TronLink.
• Pocket Universe — расширение для Chrome, показывает понятное описание транзакции.
• Fire — AI-антивирус для крипто-транзакций, предупреждает о вредоносных одобрениях.
• Interact Wallet — кошелёк со встроенным анализатором разрешений.

Что нужно знать о мультичейновых Approve

Некоторые мошенники создают контракты, работающие на нескольких блокчейнах одновременно (через кросс-чейн мосты или Wormhole). Вы подписываете Approve в сети TRON, но разрешение действует и на средства в других сетях (Ethereum, BSC, Polygon). Это происходит, если контракт использует общий реестр разрешений или кросс-чейн сообщения. Как защититься: проверяйте, не является ли контракт мультичейновым (через TronScan → Contract Info → Other Chains); если контракт заявлен как мультичейн, проверьте его через revoke.cash на всех сетях; не подписывайте Approve для контрактов, которые утверждают, что работают на 5+ блокчейнах одновременно — это часто скам.

Будущее Approve и новые стандарты безопасности

Сообщество TRON и Ethereum работают над улучшением стандарта Approve. EIP-2612 (ERC-20 Permit) позволяет подписывать Approve офчейн без отправки транзакции, что снижает комиссии, но создаёт новые векторы атак. EIP-3009 (Transfer With Authorization) предлагает более безопасную альтернативу Approve с ограничением по времени. TRON Foundation изучает возможность внедрения TRC-20 Extension с улучшенной безопасностью. Новые кошельки (Rabby, Interact) уже показывают предупреждения при Unlimited Approve и предлагают устанавливать ограничения по сумме и времени. Следите за обновлениями и используйте современные кошельки с улучшенной защитой. Безопасность — это эволюционный процесс, и важно быть в курсе новых угроз и методов защиты.

История крупнейших Approve-скамов в мире криптовалют

Approve-скамы известны не только в TRON, но и в Ethereum, BSC и других сетях. Крупнейший инцидент — BadgerDAO (2021), где мошенники внедрили вредоносный скрипт на сайт протокола, который перехватывал Approve пользователей. Ущерб — $120 млн. В сети BSC был взломан персональный кошелёк разработчика через Approve на сумму $570 млн (Binance Bridge). В TRON крупнейший Approve-скам — фальшивый SunSwap (2024) с ущербом $3.7 млн. Эти примеры показывают, что даже опытные пользователи могут стать жертвами Approve-атак, если не соблюдают базовые меры предосторожности. Единственный способ защититься — никогда не подписывать Approve на подозрительных сайтах, регулярно проверять разрешения и использовать отдельные кошельки для разных целей.

Ресурсы для изучения и сообщества по безопасности

Рекомендуем подписаться на следующие ресурсы для постоянного повышения осведомлённости о Approve-скамах: официальный блог TronLink (tronlink.org/blog) — регулярные статьи о безопасности; TRON SCAM Database (tron-scan.com/scam) — реестр известных скам-контрактов и фишинговых сайтов; Telegram-канал @tron_scam_alerts — оперативные предупреждения о новых угрозах; Reddit r/Tronix — обсуждение безопасности сообществом; YouTube-каналы по безопасности DeFi (Crypto Safety, DeFi Dad, Whiteboard Crypto) — видеоразборы скам-схем. Подпишитесь минимум на 3 источника и проверяйте их регулярно. Безопасность — это не разовое действие, а постоянный процесс обучения и адаптации к новым угрозам.

Заключение — итоговые рекомендации

Approve-скамы — это не просто техническая уязвимость, а комбинация социальной инженерии и использования легитимных функций блокчейна. Мошенники постоянно совершенствуют свои методы, но ваша защита строится на нескольких простых принципах: никогда не подписывайте транзакции, которых вы не понимаете; проверяйте адрес spender в TronScan перед Approve; используйте отдельные кошельки для DeFi и хранения капитала; регулярно проверяйте и отзывайте Approve; используйте аппаратные кошельки для крупных сумм. Следуя этим правилам, вы защитите 99% своих средств от Approve-скамов. Добавьте нашу страницу /tools/token/ в закладки и проверяйте каждый контракт перед взаимодействием. Безопасность в DeFi — это навык, и вы только что сделали важный шаг к его освоению.

Что делать, если вы стали жертвой Approve-скама

Если вы обнаружили, что подписали вредоносный Approve и средства начали уходить с вашего кошелька, действуйте немедленно: 1. Заморозьте кошелёк: переведите все средства с затронутого адреса на новый, чистый кошелёк. 2. Отзовите Approve: на revoke.cash отзовите разрешение для скам-контракта. 3. Смените seed-фразу: если скам-сайт мог получить доступ к сид-фразе (ввод seed на сайте), создайте новый кошелёк с новой сид-фразой. 4. Сообщите: напишите в поддержку TronLink и внесите контракт в TRON SCAM Database. 5. Урок: проанализируйте, как вы попались, и запишите в заметки, чего следует избегать в будущем. Скорость реакции критична — каждая минута промедления может стоить новых потерь.