**Approve ≠ перевод

21 ноября 202521 ноя 2025

2 мин

**Approve ≠ перевод. Подпись ≠ безопасность.** В крипте всё чаще подсовывают не платёж, а «разрешение на списание». Особенно опасны тихие разрешения через **permit/permit2** — визуально это «подписать», а по факту вы дарите доступ к токенам. Разберёмся, как не попасться и как эскроу снимает риск 🔐 **Что происходит под капотом** — Классический approve — это ончейн‑транзакция: видно в эксплорере, платите комиссию. — **Permit (EIP‑2612)** и **Permit2** — это офчейн‑подпись по формату EIP‑712: газа нет, следов минимум, зато у dApp появляется право списывать ваши токены по заранее подписанным условиям. **Где ловят чаще всего** Маскируют «подпись» под оплату в QR/deeplink, просят «на секундочку» подтвердить лимит «для скидки», ставят безлимитный allowance на чужой адрес или собирают пакетные разрешения через permit2. **Как отличить безопасную подпись от ловушки** Проверьте читаемые поля EIP‑712 в окне кошелька: — **spender**: кто именно получит право списания; — **token/amount**: какой т

**Что происходит под капотом**

— Классический approve — это ончейн‑транзакция: видно в эксплорере, платите комиссию.

— **Permit (EIP‑2612)** и **Permit2** — это офчейн‑подпись по формату EIP‑712: газа нет, следов минимум, зато у dApp появляется право списывать ваши токены по заранее подписанным условиям.

**Где ловят чаще всего**

Маскируют «подпись» под оплату в QR/deeplink, просят «на секундочку» подтвердить лимит «для скидки», ставят безлимитный allowance на чужой адрес или собирают пакетные разрешения через permit2.

**Как отличить безопасную подпись от ловушки**

Проверьте читаемые поля EIP‑712 в окне кошелька:

— **spender**: кто именно получит право списания;

— **token/amount**: какой токен и на какую сумму;

— **deadline/expiration** и **nonce**: срок действия и одноразовость;

— для Permit2 — типы PermitSingle/PermitBatch, batch‑лимиты.

Любые «нечитаемые» подписи, чужие домены или безлимит — красный флаг.

**Чек‑лист перед сделкой** ✅

1) Ставьте минимальные и сроковые лимиты, а не «без ограничений».

2) Делайте тест‑транзакцию на малую сумму.

3) Используйте отдельный «рабочий» кошелёк, для крупных чеков — мультиподпись 2‑из‑3.

4) Регулярно отзывайте лишние разрешения после сделки.

5) Отключите blind‑signing; подписывайте только EIP‑712 с понятными полями.

**Как эскроу защищает от permit‑обмана**

— В едином чате фиксируем адреса, сеть, курс, окно проверки и правила релиза; после депозита менять реквизиты нельзя.

— Бот валидирует тип операции: если вместо «send» подсовывают «permit/approve», включается стоп‑сигнал.

— Средства блокируются у гаранта и релизятся только по фактам и чек‑листу; спор — арбитраж по TXID/хэшам/скринкасту. Опции: timelock 24–72 ч, мультисиг. Комиссия — от 10%.

**Практика**

Крупный чек делим на этапы: депозит в эскроу → ограниченный permit только на сумму этапа → приёмка по критериям → релиз → мгновенный revoke. Так вы контролируете и технику, и поведение контрагента.

Итог: **подписывайте осознанно, платите проверенно**. Разрешения — под микроскоп, крупные суммы — только через эскроу.

Полезные ресурсы:

• EIP‑2612 (Permit) — спецификация и поля подписи: https://eips.ethereum.org/EIPS/eip-2612

• Uniswap Permit2 — как работают лимиты и пакетные разрешения: https://docs.uniswap.org/contracts/permit2/overview

• Etherscan Token Approvals — быстрый аудит и отзыв разрешений: https://etherscan.io/tokenapprovalchecker

Наши ресурсы:

• Сайт сервиса: https://guarantor.su

• Telegram‑бот: @GARANT_S_bot

Вопрос к вам: попадались на «подписать для ускорения», а потом обнаруживали безлимитный allowance? Какой лимит и срок считаете безопасными для permit/permit2? Делитесь опытом и задавайте вопросы — поможем настроить схему эскроу под ваш кейс.