Белый список (Whitelist)
17.04.2026
В крипте белый список (whitelist) имеет три распространённых — и довольно разных — смысла. Все три сводятся к «списку адресов с особыми правами», но контекст и модель риска у них разные.
1. Белый список адресов для вывода на бирже
Функция безопасности на централизованных биржах. Пользователь заранее регистрирует адреса, которые разрешено использовать для вывода. Перевод на любой другой адрес блокируется.
Типичные возможности:
- Тайм-лок после добавления нового адреса: 24–72 часа, прежде чем на адрес можно отправить средства (варианты есть у Binance, Kraken, Coinbase, OKX, Bybit)
- 2FA / email / подтверждение с устройства при добавлении или удалении адреса
- Отдельные списки по сетям и по активам — иногда с обязательным memo/tag (XRP, XLM, TON, Kaspa)
- На некоторых биржах есть режим «только белый список», при котором вывод на любой не перечисленный адрес отклоняется
Это сильная защита от угона аккаунта. Даже если злоумышленник украл пароль и 2FA, он не успеет добавить новый адрес и вывести средства в окно тайм-лока — и у вас будет время заметить и заблокировать аккаунт.
Для майнера, маршрутизирующего выплаты пула через биржу, включённый белый список вывода — одна из самых ценных привычек по безопасности.
2. Белый список для NFT/токенсейла («allowlist», «WL spot»)
Заранее одобренные адреса кошельков, получающие гарантированный, ранний или льготный доступ к минту или продаже токенов. Проекты собирают адреса через роли в Discord, кампании Galxe / Guild.xyz, ончейн-действия или реферальные квесты.
Механика:
- Список формируется офчейн
- Merkle-корень всех адресов сохраняется в контракте продажи
- Во время минта пользователь отправляет Merkle-доказательство того, что его адрес в списке — это экономично по газу даже для десятков тысяч адресов
Термин «allowlist» всё чаще предпочитают вместо «whitelist» — его используют многие проекты и инструменты OpenSea — но механика идентична.
Оговорка: сам Merkle-механизм безопасен, а вот социальный слой вокруг маркетинга WL — крупный вектор фишинга. Фальшивые WL-сообщения в ЛС и скомпрометированные аккаунты модераторов Discord с фейковыми ссылками на минт — один из топовых сценариев скама в NFT-сообществах.
3. Allowlist в смарт-контракте
Контракт ограничивает вызов функции заданным набором адресов. Типичные реализации:
mapping(address => bool)— простой список в стораже- AccessControl из OpenZeppelin — ролевой доступ (например,
MINTER_ROLE) - Ончейн Merkle-корень + проверка доказательства — экономично для больших наборов
Где встречается:
- Административные функции (пауза, апгрейд, вывод комиссий)
- Привилегированные вызовы мостов или ораклов
- KYC-ограниченные переводы токенизированных реальных активов; институциональный DeFi (Aave Arc / Horizon, Maple Finance)
- Лимиты пресейла и окна для ранних инвесторов
Противоположность — чёрный список (blacklist / deny-list). У большинства токенов его нет, но стейблкоины USDT и USDC ведут список заблокированных адресов под контролем эмитента и могут замораживать адреса по санкциям, судебным решениям и в случае крупных краж.
Allowlist в контракте безопасен ровно настолько, насколько безопасен админ-ключ, управляющий списком. Мультисиг или governance-контракт с таймлоком заметно безопаснее, чем единственный EOA с админ-ролью.
