Краткий ответ

Если вы подключили кошелёк к фишинг-сайту, но не подписали никаких транзакций или подписей, ваши средства, скорее всего, в безопасности — само подключение не даёт dApp способности перемещать ваши средства. Риск в подписи: любой approval, любая транзакция, любой "permit", любая off-chain подпись, называющая spender. Пока вы закрыли вкладку без подтверждения чего-либо, вы вероятно в порядке. Но best practice — отозвать любые approval на всякий случай, мониторить кошелёк на неожиданную активность 30 дней и рассмотреть миграцию остающихся активов на свежий seed, если параноите.

Что "подключение" фактически делает

Клик "Connect Wallet" даёт dApp две части информации: ваш адрес кошелька и сеть, на которой вы. Это всё. dApp может читать публичный баланс и историю вашего адреса (уже публично доступно) и может попросить вас подписать транзакции. Подключение не авторизует транзакции.

Для того чтобы dApp переместил ваши средства, вы должны явно одобрить транзакцию (которая стоит газа и видна в UI кошелька как popup транзакции) или подписать off-chain сообщение (которое тихое — просто popup запроса подписи, без газа).

Риск подписи

Современные фишинг-атаки полагаются на шаг подписи. Фейковая "claim airdrop" страница подключается, потом запрашивает запрос подписи, выглядящий невинно в UI кошелька, но фактически авторизация Permit2 или setApprovalForAll для адреса атакующего. Подпишите один раз, атакующий имеет indefinite способность сливать этот токен из вашего кошелька.

Если вы видели popup подписи и кликнули его, вы в риске. Если видели popup и кликнули "Reject" или закрыли popup, не в риске от этой подписи.

Остаточный риск "только подключение"

Три теоретических attack-пути только от подключения:

Сбор адреса для follow-up фишинга. Мошенник теперь знает ваш адрес кошелька; они могут отправить dust на него, таргетировать вас для будущего фишинга или продать адрес другим мошенникам. Низкий немедленный риск.

Эксплуатация browser-расширения. Если фишинг-сайт эксплуатировал zero-day в вашем wallet-расширении (редко), он мог потенциально извлечь приватные ключи. На 2026 год нет широко-эксплуатируемого zero-day в MetaMask или Rabby.

Frontend re-prompt позже. Изощрённый фишинг-сайт может задержать запрос подписи. Вы подключаетесь, оставляете вкладку открытой, возвращаетесь через 30 минут и видите prompt. Менее распространено, но возможно.

Рекомендуемая очистка

Даже если ничего не подписали, сделайте это:

  1. Немедленно закройте подозрительную вкладку.
  2. Посетите revoke.cash с пострадавшим кошельком. Просмотрите approval; отзовите любые, которые не распознаёте.
  3. Мониторьте кошелёк 30 дней на неожиданную активность. Etherscan email-оповещения могут помочь.
  4. Если кошелёк держит значимую ценность и вы беспокоитесь, сгенерируйте свежую seed-фразу, настройте новый кошелёк и мигрируйте средства. Стоимость: газ. Польза: душевное спокойствие.

Дополнительное чтение: revoke.cash, setApprovalForAll.