Білий список (Whitelist)
17.04.2026
У крипті білий список (whitelist) має три поширених — і досить різних — значення. Усі три зводяться до «списку адрес з особливими правами», але контекст і модель ризику у них різні.
1. Білий список адрес для виведення на біржі
Функція безпеки на централізованих біржах. Користувач заздалегідь реєструє адреси, які дозволено використовувати для виведення. Переказ на будь-яку іншу адресу блокується.
Типові можливості:
- Тайм-лок після додавання нової адреси: 24–72 години, перш ніж на адресу можна відправити кошти (варіанти є у Binance, Kraken, Coinbase, OKX, Bybit)
- 2FA / email / підтвердження з пристрою при додаванні або видаленні адреси
- Окремі списки по мережах і по активах — іноді з обов'язковим memo/tag (XRP, XLM, TON, Kaspa)
- На деяких біржах є режим «тільки білий список», при якому виведення на будь-яку не перераховану адресу відхиляється
Це сильний захист від викрадення акаунта. Навіть якщо зловмисник вкрав пароль і 2FA, він не встигне додати нову адресу і вивести кошти у вікно тайм-лока — і у вас буде час помітити і заблокувати акаунт.
Для майнера, що маршрутизує виплати пулу через біржу, увімкнений білий список виведення — одна з найцінніших звичок з безпеки.
2. Білий список для NFT/токенсейлу («allowlist», «WL spot»)
Заздалегідь схвалені адреси гаманців, що отримують гарантований, ранній або пільговий доступ до мінту або продажу токенів. Проекти збирають адреси через ролі в Discord, кампанії Galxe / Guild.xyz, ончейн-дії або реферальні квести.
Механіка:
- Список формується офчейн
- Merkle-корінь усіх адрес зберігається в контракті продажу
- Під час мінту користувач надсилає Merkle-доказ того, що його адреса в списку — це економічно по газу навіть для десятків тисяч адрес
Термін «allowlist» все частіше віддають перевагу замість «whitelist» — його використовують багато проектів і інструменти OpenSea — але механіка ідентична.
Застереження: сам Merkle-механізм безпечний, а ось соціальний шар навколо маркетингу WL — великий вектор фішингу. Фальшиві WL-повідомлення в ЛС і скомпрометовані акаунти модераторів Discord з фейковими посиланнями на мінт — один з топових сценаріїв скаму в NFT-спільнотах.
3. Allowlist в смарт-контракті
Контракт обмежує виклик функції заданим набором адрес. Типові реалізації:
mapping(address => bool)— простий список у сховищі- AccessControl з OpenZeppelin — ролевий доступ (наприклад,
MINTER_ROLE) - Ончейн Merkle-корінь + перевірка доказу — економічно для великих наборів
Де зустрічається:
- Адміністративні функції (пауза, апгрейд, виведення комісій)
- Привілейовані виклики мостів або оракулів
- KYC-обмежені перекази токенізованих реальних активів; інституційний DeFi (Aave Arc / Horizon, Maple Finance)
- Ліміти пресейлу і вікна для ранніх інвесторів
Протилежність — чорний список (blacklist / deny-list). У більшості токенів його немає, але стейблкоїни USDT і USDC ведуть список заблокованих адрес під контролем емітента і можуть заморожувати адреси за санкціями, судовими рішеннями і у випадку великих крадіжок.
Allowlist в контракті безпечний рівно настільки, наскільки безпечний адмін-ключ, що керує списком. Мультисиг або governance-контракт з таймлоком значно безпечніші, ніж єдиний EOA з адмін-роллю.
