Как безопасно пользоваться апрувами

Криптовалютный мир постоянно эволюционирует, привнося новые инновации и изменения в способы торговли и инвестирования. Однако ”узким горлышком” всей децентрализованной крипты были и остаются апрувы (разрешения) на пользование средств криптанов в рядовых операциях, таких как свопы, отправка в стейкинг, лендинги и другие.

Они - апрувы, или разрешения на операции, играют важную роль в безопасности и управлении активами на блокчейне.

В данной статье мы рассмотрим такие вопросы как:

• Что такое апрувы и как они устроены
• Почему апрувы являются узким горлышком децентрализованной крипты
• Как контролировать своп апрувы

В DeFi-пространстве всё строится на смарт-контрактах - ключевых инструментах при обмене активами. Контракты выступают в роли автоматизированных посредников между обеими сторонами обмена.

Большинство смарт-контрактов функционируют в блокчейнах, работающих поверх виртуальной машины Ethereum (Ethereum Virtual Machine - EVM).

В EVM-сетях у каждого токена есть свой собственный смартконтракт - программа, внутри которой прописаны множество параметров, правил и функций.

Одним из таких параметров является Approve - возможность смарт-контракта распоряжаться токенами из от конкретного контракта.

Изначально у токена стоит нулевое число токенов в поле апрува, что дословно означает следующее "контракт может использовать ноль токенов с баланса". Но при обмене на любой DeX-площадке ты можешь увидеть подобное окно, в котором производится апрув средств.

В нём для начала у вас просят дать разрешение на обмен ваших токенов, и только после получения этого разрешения, смарт-контракты смогут совершить обмен средств.

Апрув можно выдать как на фиксированную сумму, например, 200 токенов, так и на максимально допустимое значение.

Как задаются апрувы в различных кошельках:

• В кошельке Metamask ты можешь задавать размер средств для апрува в смартконтракте.

• В Rabby Wallet апрув можно задать на максимальный размер, для этого нужно щёлкнуть тумблер Unlimited allowance.

Если же тумблер выключен, то апрув будет выдан на конкретную сумму, которая фигурирует в транзакции.

Как работают апрувы мы разобрались, теперь пришла пора разбираться где их слабое место и как держать его на контроле.

Как говорилось выше, в момент совершения апрува ты открываешь шлюз, через который средства с кошелька могут быть переправлены на другой кошелёк/хранилище при исполнении смарт-контракта.

В чём плюс такого механизма действия: в дальнейшем при обмене криптоактивов / заносе ликвидности и прочих действиях тебе не придётся давать повторный апрув на пользование средств.

Как это работает:

• Если ты дал апрув смартконтракту на использование условных $500 USDT для обмена USDT на ETH на DeX-платформе, то при каждом обмене ты сможешь менять средства без апрува, но только до тех пор пока все апрувнутые $500 не пройдут через контракт
• И когда тебе понадобится совершить обмен свыше ранее апрувнутых $500 USDT, то придётся дать дополнительный апрув для смарт-контракта.

Согласись, что это весьма удобно.

Но в удобстве кроется недостаток такой схемы: если платформу, на которой задействован смарт-контракт взломают, то через апрув с кошелька могут сдрейнить (украсть) все разрешённые к пользованию бабосы.

Таким образом, слабым местом апрува является надёжность смарт-контракта и площадки с которой идёт взаимодействие через смарт-контракт.

По стандарту, каждый раз совершая обмен/занос ликвидности/продажу NFT, тебе придётся давать разрешение на пользование цифровым активом.

Применимо к NFT: разрешение применяется на все активы из одной коллекции, хранящиеся на кошельке.

Что касается токенов: тут можно задать конкретное количество цифровых активов для проведения апрува.

Чтобы не потерять средства в случае непредвиденного взлома протокола/площадки/маркетплейса мы рекомендуем после проведения конкретной сделки производить отзыв апрувов либо выдавать их на ограниченную сумму, которую в случае форсмажора вам будет не жалко потерять.

Как произвести отзыв апрувов

На сегодняшний день самой распространённой и функциональной площадкой для отзыва апрувов является Revoke Cash.

На ней ты можешь найти все апрувы в EVM-сетях, отсортировать их по конкретным сетям, токенам, алфавиту и другим характеристикам.

Чтобы проверить и отозвать свои апрувы:

1. Переходи на сайт Revoke Cash
2. Выбирай сеть для подключения
3. Выбирай сеть в которой нужно изучить посмотреть апрувы
4. Затем необходимо выбрать токен/актив с которого ты хочешь отозвать апрув
5. В конце нужно нажать на кнопку Revoke

В итоге у тебя сформируется обычная транзакция, по результатам которой у смарт-контракта будет выставлено разрешение на пользование нулём токенов с твоего кошелька.

Проще говоря, контракт также сможет пользоваться твоими токенами, но ему будет разрешено использовать только НОЛЬ токенов, что равносильно запрету на пользование любого другим количеством токенов.

Также можно отзывать апрувы через Rabby Wallet.

Для этого прыгай на вкладку Approvals.

И проводи отзыв либо по одному токену, либо по ряду токенов:

1. Можно отсортировать апрувы по контрактам либо по конкретным средствам
2. Выбрать несколько контрактов разом
3. И произвести Revoke (отзыв) апрувов
   

Для контроля и отзыва апрувов ты также можешь использовать DeFi Shield.

Подключай кошелёк и переходи во вкладку Shield и там тебе выдаст все апрувы, которые были даны с выбранного кошелька

Если тебе необходимо посмотреть апрувы в конкретной сети, то выбирай тумблер Networks и там включай/отключай то что вам нужно /не нужно.

Чтобы отозвать апрув, нажимай на кнопку Revoke.

После этого тебе нужно будет подписать транзакцию по отзыву апрува в кошельке.

Но знаний про то как работают апрувы и как их отозвать может не хватить чтобы избежать скама, для этого необходимо держать нос по ветру и концентрацию на все 100%.

Летом 2023 по рыночку пронеслась волна скамов через апрувы и газовые токены:

• Тебе на кошелёк прилетает фейковый токен, за которым инициируется фейковая транзакция на апрув средств
• Из-за того что токен очень похож на оригинальный, например BUSD или BNB у тебя может возникнуть чувство тревоги и желание отозвать апрув
• И тут происходит магия мошенничества: в момент отзыва апрува программа фейкового токена запускает выделение с твоего счёта газовых токенов, к примеру Ethereum или BNB токена, если такие есть на балансе, и включение их в транзакцию по "отзыву средств". По итогу фейковый апрув будет снят, а выделенные средства переведены на кошелёк мошенника

Как понять, что такое произошло: в окне отзыва апрува тебе выдаст нестандартно большую комиссию, например $30 в ETH вместо $1 для сети Arbitrum. Такая цена комисии сформируется как раз за счёт отправки и чеканки токенов на кошелёк скамера.

Для профилактики здоровья твоего кошелька мы рекомендуем раз в месяц проводить комплексный отзыв всех апрувов для снижения потенциальных источников кражи.

Спасибо за внимание!

VSЁ для тебя | кнопка бабло | обменник