Вы нажали «Connect Wallet» на незнакомом сайте — и сразу почувствовали неладное. Или уже подписали что-то непонятное и теперь не знаете, утекли ли ваши токены. Именно в таких ситуациях счёт идёт на минуты. Паника — плохой советчик, хаотичные действия — ваш враг. Эта статья даёт конкретный план: что делать сразу, как проверить разрешения, как отозвать доступ и когда лучше создать новый кошелёк.
Короткий ответ. Само подключение кошелька к сайту — ещё не катастрофа. Опасность наступает, когда вы подписываете транзакцию или выдаёте approve смарт-контракту. Первые шаги: закрыть сайт, отключить его от кошелька, проверить историю операций, проверить и отозвать подозрительные разрешения. Если на кошельке есть ценные активы — перевести их на новый кошелёк с новой seed-фразой.

Что значит подключить криптокошелёк к сайту

Когда вы нажимаете «Connect Wallet» на любом сайте — DeFi-платформе, NFT-маркетплейсе, игре или якобы «airdrop-сервисе» — кошелёк передаёт сайту ваш публичный адрес. Это само по себе безвредно: адрес публичный, по нему нельзя ничего списать.
Опасность появляется на следующем шаге — когда сайт запрашивает подпись. И здесь важно различать несколько типов запросов:
Подключение (Connect) — безопасно. Сайт видит ваш адрес и баланс. Списать ничего не может.
Подпись сообщения (Sign Message) — зависит от содержания. Некоторые подписи используются для авторизации. Другие — для выдачи скрытых разрешений. Пользователь видит строку текста, не понимает её смысла и нажимает подтвердить.
Approve токена (Token Approval) — уже опасно. Это разрешение смарт-контракту распоряжаться вашими токенами. Если лимит не ограничен — контракт может списать весь баланс.
Транзакция (Transaction) — самое опасное. Вы подтверждаете конкретное действие в блокчейне: перевод, вызов контракта, изменение параметров.
Именно поэтому подключить кошелёк к сайту и подписать что-то на этом сайте — два принципиально разных действия.

Когда подключение кошелька к сайту становится опасным

Несколько сценариев, при которых риск становится реальным:
Сайт просит approve на токены. Всплывает окно кошелька с запросом разрешения на трату токена. Если сумма «Unlimited» или очень большая — это drainer. Смарт-контракт получит право в любой момент списать все ваши токены.
Сайт обещает airdrop или claim. «Получите бесплатные токены — подключите кошелёк и подтвердите получение». На самом деле подтверждение — это approve или транзакция на списание. Реального airdrop нет.
Сайт требует «верификацию кошелька». Никакая легальная платформа не верифицирует кошелёк через подпись транзакции. Это предлог, чтобы получить разрешение.
Сайт просит seed-фразу. Это абсолютный стоп-сигнал. Вводить seed-фразу куда бы то ни было нельзя никогда. Любой сайт, запрашивающий её — мошеннический.
После подключения появились списания. Токены исчезли с кошелька без явной транзакции с вашей стороны. Это значит, что approve уже был выдан и контракт им воспользовался.
Сайт просит подписать непонятное сообщение. Подпись может содержать разрешение типа «Permit», которое работает как approve, но без видимой транзакции. Пользователь подписывает строку текста — и незаметно выдаёт полный доступ к токенам.

Что такое approve и почему это главная угроза

Approve — это разрешение, которое вы выдаёте смарт-контракту: «разрешаю тебе распоряжаться этим токеном в этом кошельке». Это стандартная функция ERC-20 токенов, без которой не работают DEX-биржи, DeFi-протоколы и многие другие сервисы.
Проблема в том, что approve может быть:
Безлимитным — контракт может забрать любое количество токенов в любое время.
Неограниченным по сроку — разрешение не истекает само по себе. Выданное год назад approve работает сегодня.
Скрытым в подписи — тип «Permit» позволяет создать approve через обычную подпись сообщения, а не через транзакцию. Пользователь не видит в кошельке явного запроса.
Выданным мошенническому контракту — визуально окно кошелька выглядит одинаково для легитимного и вредоносного approve. Разница — в адресе контракта.
Именно поэтому проверка активных разрешений — обязательный шаг после любого взаимодействия с подозрительным сайтом.

Что делать сразу после подключения к подозрительному сайту

Не ждите. Каждая минута после выдачи approve — это время, за которое контракт может опустошить кошелёк. Действуйте по порядку:
Шаг 1. Закройте сайт.
Не взаимодействуйте с ним больше. Не нажимайте никаких кнопок, не подтверждайте новые запросы. Просто закройте вкладку.
Шаг 2. Не подписывайте новые операции.
Если после закрытия сайта в кошельке появляется запрос на подпись или транзакцию — отклоните его. Это автоматические запросы от уже загруженных скриптов.
Шаг 3. Откройте кошелёк и отключите сайт.
В большинстве кошельков есть список подключённых сайтов. Найдите подозрительный домен и отключите его. Важно: отключение сайта не отменяет уже выданные approve. Это два разных действия.
Шаг 4. Проверьте историю транзакций.
Просмотрите последние операции. Ищите: approve на токены, транзакции с незнакомыми контрактами, списания токенов, которые вы не инициировали. Если такие транзакции есть — действуйте немедленно.
Шаг 5. Оцените, что именно вы подписали.
Вспомните и проверьте: было ли это просто подключение, подпись сообщения или одобрение токена. От этого зависит уровень риска.
Шаг 6. Проверьте активные разрешения.
Об этом — в следующем разделе.
Шаг 7. Переведите ценные активы на новый кошелёк, если риск высокий.
Если вы подписали approve или непонятную транзакцию — не ждите подтверждения опасности. Действуйте превентивно.

Как отключить сайт от криптокошелька

Отключение подозрительного сайта — первый шаг. Вот общий алгоритм для большинства кошельков:
MetaMask:
Откройте расширение. Нажмите на три точки в правом верхнем углу. Перейдите в «Connected Sites» / «Подключённые сайты». Найдите подозрительный домен. Нажмите крестик или «Disconnect».
Trust Wallet:
Откройте приложение. Перейдите в настройки (иконка в правом нижнем углу). Найдите раздел «DApp Browser» или «Connected DApps». Отключите подозрительный сайт.
Tonkeeper (TON):
Откройте приложение. Перейдите в настройки. Найдите раздел «Подключённые приложения» или «Connected Apps». Удалите подозрительное соединение.
Общее правило для любого кошелька:
Найдите раздел с названием «Connected Sites», «DApps», «Permissions», «Приложения» или «Разрешения». Там отображается список сайтов, которым кошелёк дал разрешение на просмотр вашего адреса. Отключите всё подозрительное.
Ещё раз: отключение сайта удаляет его из списка подключённых, но не отзывает уже выданные approve. Для этого нужен отдельный шаг — проверка и отзыв разрешений через специальный инструмент.

Как проверить и отозвать разрешения кошелька

Это самый важный технический шаг. Approve — это запись в смарт-контракте токена, которая сохраняется в блокчейне. Пока она там есть — контракт имеет право списать ваши токены.
Для проверки и отзыва разрешений используются специализированные сервисы, которые считывают все активные approve по вашему адресу и позволяют их отозвать. Принцип работы у всех одинаковый:
1. Выберите нужную сеть.
Approve выдаются в конкретной сети: Ethereum (ERC-20), BNB Smart Chain (BEP-20), Tron (TRC-20), Polygon и других. Для каждой сети — отдельная проверка.
2. Подключите кошелёк к проверенному revoke-сервису.
Убедитесь, что домен сервиса правильный. Используйте только официальные адреса, которые вы нашли через проверенные источники — не через рекламу и не через ссылки в Telegram.
3. Просмотрите активные разрешения.
Сервис покажет список всех контрактов, которым ваш кошелёк выдал approve. Для каждого — адрес контракта, название токена и лимит.
4. Оцените каждое разрешение.
Ищите:

  • approve с лимитом «Unlimited» или очень большими цифрами;
  • approve на контракты с незнакомыми адресами;
  • approve, которые вы не помните как выдавали;
  • approve с датой, совпадающей с посещением подозрительного сайта.
    5. Отзовите подозрительные разрешения.
    Нажмите «Revoke» / «Отозвать» рядом с подозрительным approve. Кошелёк запросит подтверждение транзакции. За каждый отзыв нужно заплатить небольшую комиссию сети.
    6. Проверьте результат.
    После подтверждения транзакции отзыва — обновите страницу и убедитесь, что разрешение исчезло из списка.
    Важные нюансы:
    Если у вас нет уверенности, какое именно разрешение опасное — отзовите все подозрительные. Когда вы снова будете пользоваться легитимным DeFi-сервисом, кошелёк запросит новый approve, и вы его выдадите осознанно.
    Отзыв approve в сети TON устроен иначе — там нет стандартного ERC-20 approve. Основной риск в TON связан с подписанными транзакциями и автоматическими платежами через смарт-контракты. Если вы подписали что-то непонятное в TON — лучше сразу переводить активы на новый кошелёк.
    Подробнее о защите кошелька и предотвращении взлома читайте в статье как защитить криптокошелёк от взлома и ошибок.

Когда нужно создать новый кошелёк

Отзыв разрешений решает проблему future-угроз — закрывает доступ, который мог быть использован позже. Но если кошелёк уже скомпрометирован глубже — нужен новый адрес.
Создайте новый кошелёк с новой seed-фразой, если:
Вы ввели seed-фразу на каком-либо сайте. Это безусловное требование. Seed-фраза означает полный контроль над кошельком. Как только она скомпрометирована — старый кошелёк нельзя считать безопасным никогда, даже после смены пароля.
Вы подписали транзакцию, смысл которой не понимаете. Если транзакция уже в блокчейне и вы не знаете, что именно она сделала — безопаснее уйти с этого адреса.
Вы видите странные исходящие транзакции, которые не инициировали. Это означает, что кошелёк уже под контролем или активный контракт уже работает.
Вы подписали approve с лимитом Unlimited на незнакомый контракт. Пока вы этот approve не отзовёте — угроза активна. Но если вы не уверены, что успели отозвать раньше, чем им воспользовались — перевод на новый кошелёк надёжнее.
Вы не помните, что именно подписывали. Если была паника, несколько подтверждений подряд и полная неопределённость — не рискуйте.
Как правильно создать и использовать новый кошелёк:

  • Создайте новый кошелёк в том же приложении или в другом — на выбор
  • Новая seed-фраза генерируется автоматически при создании
  • Запишите seed-фразу на бумаге и храните её физически, не в цифровом виде
  • Переведите ценные активы со скомпрометированного адреса на новый
  • Старый кошелёк не используйте для хранения средств
  • Не подключайте новый кошелёк к тем же сайтам, которые вызвали проблему
    Помните: старый адрес остаётся в блокчейне. Если на него придут средства — вы их увидите. Но хранить что-то ценное там больше нельзя.

Что такое crypto drainer

Drainer — это вредоносный смарт-контракт или набор скриптов, которые автоматически опустошают кошелёк после получения approve или подписи. Работают быстро: от подтверждения разрешения до списания токенов могут пройти секунды.
Схема классического drainer-атаки:

  1. Создаётся фишинговый сайт — клон известного проекта, поддельный airdrop, «эксклюзивный mint» или «верификация кошелька»
  2. Пользователя приводят на сайт через рекламу, Telegram-чат, Discord, Twitter/X или взломанный аккаунт известного проекта
  3. Сайт запрашивает подключение кошелька — выглядит как обычный DApp
  4. После подключения сайт просит подписать транзакцию или сообщение
  5. Подпись содержит approve или Permit2-разрешение на списание токенов
  6. Пользователь видит что-то вроде «Sign to verify wallet» и нажимает подтвердить
  7. Drainer немедленно использует разрешение и списывает токены
    Отличительные признаки drainer-сайтов:
  • Срочность: «mint заканчивается через 10 минут», «осталось 50 мест»
  • Обещание бесплатного: airdrop, reward, claim, bonus
  • Незнакомый домен, хотя визуально всё выглядит как знакомый проект
  • Кошелёк запрашивает approve сразу после подключения, без каких-либо действий на сайте
  • Сумма approve — Unlimited
  • Контракт в approve — незнакомый адрес

Что делать, если токены уже списались

Если вы открыли историю транзакций и увидели исходящий перевод, который не делали — крипта уже ушла. Действуйте по следующему алгоритму:
Немедленно отзовите все оставшиеся разрешения. Возможно, approve был использован частично или для нескольких токенов. Отзыв остановит дальнейшее списание.
Переведите все оставшиеся активы на новый кошелёк. Сначала отзовите approve, затем выведите средства. Если порядок нарушить — drainer может снова воспользоваться approve прямо во время перевода.
Соберите и сохраните все данные:

  • Адрес вашего кошелька
  • Адрес контракта, через который произошло списание
  • TxID операции списания
  • Время операции
  • Адрес сайта, через который вы подключались
  • Скриншоты подтверждений из кошелька
  • Переписку, рекламу, ссылку, через которую попали на сайт
    Не платите за «возврат крипты». После появления информации о кражах немедленно активизируются мошенники второй волны: «возвращаем украденные токены, комиссия 5%». Это 100% развод. Никто не может изъять токены из чужого кошелька без доступа к нему.
    Не передавайте seed-фразу «специалистам по возврату». Если вы это сделаете — потеряете всё оставшееся.
    Обратитесь в поддержку биржи, если скомпрометированный кошелёк был связан с биржевым аккаунтом или если известный адрес мошенника встречается в базах данных AML. В некоторых случаях биржа может заморозить средства, если они пришли с известного drainer-адреса.
    О том, что делать с «грязными» токенами и как работает AML-анализ, читайте в статье грязные USDT пришли на кошелёк.

Чек-лист безопасности: что сделать прямо сейчас

Действие Статус
Подозрительный сайт закрыт Срочно
Новые транзакции не подписывались Срочно
Сайт отключён от кошелька Первые 5 минут
История транзакций проверена Первые 10 минут
Активные разрешения проверены Первые 15 минут
Подозрительные approve отозваны Первые 20 минут
Ценные активы переведены на новый кошелёк При высоком риске
Новая seed-фраза создана отдельно При создании нового кошелька
Seed-фраза записана на бумаге, не в телефоне Всегда
Скриншоты и данные сохранены Обязательно

Как не попасть на drainer в следующий раз

Несколько правил, которые закрывают большинство векторов атак:
Используйте отдельный кошелёк для DApp и тестов. Заведите «горячий» кошелёк с небольшой суммой для взаимодействия с новыми сайтами. Основные средства держите на отдельном «холодном» адресе, который никогда не подключается к DApp.
Проверяйте домен перед подключением. Фишинговые сайты копируют интерфейс известных проектов и меняют одну букву в домене: uniswаp.org вместо uniswap.orgopensеa.io вместо opensea.io. Смотрите на адресную строку внимательно.
Не нажимайте «Approve» не читая. Перед подтверждением approve посмотрите: на какой токен выдаётся разрешение, какой лимит, какому контракту. Если что-то непонятно — отклоняйте.
Не верьте airdrop из рекламы. Реальные airdrop анонсируются через официальные каналы проекта, которые вы уже отслеживаете. Если реклама ведёт на незнакомый домен с обещанием бесплатных токенов — это drainer.
Не подключайте кошелёк из поиска. Всегда открывайте знакомые DApp через сохранённые закладки. Поиск может показывать рекламные ссылки на фишинговые клоны.
Регулярно проверяйте активные разрешения. Раз в несколько месяцев заходите на revoke-сервис и отзывайте все разрешения, которые вам больше не нужны. Особенно — безлимитные.
Не храните крупные суммы в горячем кошельке. Горячий кошелёк — для текущих операций. Для хранения — аппаратный кошелёк или отдельный адрес с надёжно хранящейся seed-фразой.
Отклоняйте запросы подписи, если не понимаете их смысл. Лучше отказаться от легитимной операции, чем подписать вредную. Легитимный сервис позволит вам разобраться и подписать позже.
Подробный разбор рисков и методов проверки сделок — в статье как проверить риски криптоперевода перед сделкой.

Связанные ситуации: когда нужна другая статья

Если вы читаете эту статью и понимаете, что ваша ситуация немного другая — вот куда обратиться:
Если проблема не в подключении к сайту, а в том, что вы отправили крипту не на тот адрес — это другая ситуация с другим алгоритмом действий. Подробнее в статье отправили крипту не на тот адрес: что делать.
Если перевод завис или не пришёл получателю — проблема не в безопасности, а в сети или адресе. Алгоритм действий описан в статье что делать, если криптоперевод завис или деньги не пришли.
Если хотите понять, как правильно отправить крипту, не допуская ошибок — читайте статью как отправить крипту на кошелёк и не потерять перевод.

FAQ: Ответы на популярные вопросы

Опасно ли просто подключить кошелёк к сайту?

Само подключение — передача вашего публичного адреса — безвредно. Риск возникает, когда сайт запрашивает approve, подпись сообщения или транзакцию. Пока вы ничего не подписали — ваши средства в безопасности.

Что делать, если подключил MetaMask к подозрительному сайту?

Закройте сайт, не подписывайте новые запросы. Откройте MetaMask → три точки → Connected Sites → отключите сайт. Проверьте и отзовите активные разрешения через revoke-сервис. Если подписали approve или транзакцию — переведите активы на новый кошелёк.

Можно ли украсть крипту без seed-фразы?

Да. Если вы выдали approve вредоносному контракту или подписали транзакцию на списание — токены могут быть переведены без вашего участия. Именно поэтому важно проверять и отзывать разрешения.

Что такое revoke в крипте?

Revoke — отзыв ранее выданного approve. Это транзакция в блокчейне, которая устанавливает лимит разрешения в ноль. После revoke контракт теряет право распоряжаться вашими токенами. За каждый отзыв платится небольшая комиссия сети.

Что такое token approval (approve)?

Это разрешение, которое вы выдаёте смарт-контракту: «разрешаю тебе тратить этот токен от моего имени». Необходимо для работы DEX-бирж и DeFi-протоколов. Опасным становится, если выдано незнакомому или вредоносному контракту, особенно с безлимитным объёмом.

Нужно ли переводить крипту на новый кошелёк?

Если вы ввели seed-фразу, подписали непонятную транзакцию, видите несанкционированные списания или выдали безлимитный approve незнакомому контракту — да, необходимо. Создайте новый кошелёк с новой seed-фразой и переведите туда все ценные активы.

Что делать, если токены уже списались?

Немедленно отзовите оставшиеся разрешения и переведите другие активы на новый кошелёк. Сохраните TxID, адрес контракта, адрес сайта и скриншоты. Не платите «помощникам» за возврат и не вводите seed-фразу на сайтах «восстановления».

Как проверить разрешения MetaMask?

Используйте revoke-сервис: подключите MetaMask, выберите нужную сеть (Ethereum, BNB Chain, Polygon и другие), просмотрите список активных approve и отзовите подозрительные, нажав Revoke и подтвердив транзакцию.

Как отключить сайт от Trust Wallet?

В Trust Wallet откройте настройки → найдите раздел «Connected DApps» или «DApp Browser» → удалите подозрительный сайт из списка подключённых. Затем отдельно проверьте разрешения через revoke-сервис для нужной сети.

Что такое drainer в крипте?

Crypto drainer — вредоносный смарт-контракт, который автоматически списывает токены после получения approve или подписи. Распространяется через фишинговые сайты под видом airdrop, NFT-mint, верификации кошелька. После получения разрешения списание происходит автоматически за секунды.

Сайт просит подключить кошелёк — это опасно?

Само подключение — нет. Опасность начинается после подключения, когда сайт запрашивает подпись или approve. Проверяйте домен, не подписывайте непонятных запросов, не нажимайте Approve без понимания, на что именно вы даёте разрешение и какому контракту.

Как понять, что кошелёк взломали?

Признаки: исходящие транзакции, которые вы не инициировали; списание токенов без видимых действий с вашей стороны; незнакомые approve в истории; потеря доступа к кошельку. Если видите хотя бы один из этих признаков — немедленно переводите остаток активов на новый кошелёк.