✍️ В чем отличие Approve от Permit? И что за магический Permit2 на Uniswap, где мы не можем указать сумму, которую хотим доверить

✍️ В чем отличие Approve от Permit? И что за магический Permit2 на Uniswap, где мы не можем указать сумму, которую хотим доверить смарт-контракту? Какие в целом тут есть риски и как себя обезопасить?

👐 В DeFi многие часто жмут кнопки не глядя. Но 90% потерь случаются из-за непонимания, что именно мы подписываем.

💪 Давайте разбираться!

✔️ Разберем три основных типа доступа к твоему EVM-кошельку

🔠 1. Approve (Классика) - это база. Смарт-контракт не может трогать твои деньги без разрешения. Ты отправляешь транзакцию (платишь газ) и говоришь блокчейну: "Разрешаю этому контракту тратить мои 1000 токенов".

➖ Минус: Платишь газ. Висит вечно, пока не отменишь (Revoke).

🔠 Если дал "бесконечный апрув" на скам-сайт — выведут всё, тут обязательно следим за своими аппрувами и переодически ревокаем их в самом rabby или тут

🔠 2. Permit (ERC-2612) -это «Апрув без газа». Ты просто подписываешь сообщение в кошельке (бесплатно). Протокол сам отправляет эту подпись в блокчейн, и она превращается в обычный Approve.

😮 Где работает? Например - это токены (UNI, 1INCH) или обновленные (USDC, DAI и т д)

Почему при работе с USDT не встречается Permit?

USDT - это «дед» крипты. Его контракт написан до появления стандарта Permit (2020 год). Tether консервативен и не обновляет код токена. Для USDT работает только старый добрый Approve за газ.

😫Почему Permit (ERC-2612) - может быть очень опасным для невнимательных пользователей и как происходит скам?

Давайте разберем по шагам:

👉 Подписываешь оффчейн-сообщение (подобно тому, как подписываешь swap на Uniswap Permit2)

👉 Злоумышленник отправляет ТРАНЗАКЦИЮ с твоей подписью и активирует этот permit на блокчейне. (то есть отсутствие газа = не защита, а наоборот: у жертвы меньше “триггеров подозрения”, поэтому в чатах жертв можно увидеть сообщения, да я никакую транзакцию не делал, просто зашел на сайт и подключил кошелек, на самом деле не просто подключил, а подписал как раз таки скамный Permit, если не оплатил газ - это не значит, что риска нет)

🔠 3. Permit2 (от Uniswap Labs) Это отдельный смарт-контракт («прокси»), который Uniswap придумали, чтобы решить проблему старых токенов и сэкономить газ.

⚙️ Как это работает:

✔️ Ты даешь Один Глобальный Approve (обычно бесконечный) на контракт Permit2.

✔️ Дальше Permit2 работает как управляющий: он позволяет использовать удобные бесплатные подписи даже для тех токенов, которые их не поддерживают (USDT, WETH).

В чем плюсы:

✔️ Срок годности: Подпись сама сгорает, например через 30 минут (время отображается)

✔️ Пакетность: Одной подписью можно свапнуть сразу 5 разных монет.

✔️ Но главный принцип такой: Permit2 НЕ может тратить больше, чем ему позволяет обычный approve, который мы дали в первом шаге

Пример: даем approve на → 1000 USDC, Permit2 → ∞ USDC → фактический максимум = 1000 и больше потратить никак не получится, простыми словами approve всегда сильнее, чем Permit2 и если ты сделаешь revoke Approve у Permit2 , то ВСЕ Permit2 разрешения сразу теряют силу никто не сможет списать ваши токены.

☠️ Главный риск: Ложное чувство безопасности

Многие думают: "Подпись Permit2 имеет срок действия (например, 30 минут), значит хакер не успеет украсть всё за это время". Это фатальная ошибка.

🔠 В пункте 1 ты уже дал бесконечный доступ контракту Permit2 к своим токенам.

🔠 Хакер подсовывает тебе фейковое окно подписи и ты не глядя подписываешь.

🔠 Хакер мгновенно (в ту же секунду) использует твою подпись, чтобы забрать твои токены через Permit2. Ему не нужно ждать окончания таймера.

🔠 Лимит времени защищает от "зависших" разрешений в будущем, но не спасает от мгновенной кражи в моменте.

Ну и дополнительно в самом низу статьи, вы можете найти небольшой чек-лист, как базово читать, что подписываешь

Кидайте 🔥 - если было полезно

#безопасность #permit #permit2