Как оценить риск DeFi-протокола перед первым взаимодействием

Drainer — смарт-контракт, созданный исключительно для кражи: при подписи транзакции он получает approve на все токены в кошельке и немедленно их выводит. Легитимный контракт запрашивает разрешение только на конкретный токен и конкретную операцию, имеет верифицированный исходник на Etherscan и прошедший аудит. Drainer часто маскируется под mint NFT, claim airdrop или «эксклюзивный» своп. Источник: matchsystems.com/ru/ya-pereshyol-po-ssylke-i-poteryal-kriptu-chto-sluchilos.

Первый — отсутствие публичного аудита от известных компаний (Certik, Trail of Bits, Chainsecurity, Peckshield). Второй — анонимная команда без верифицированной истории в крипто. Третий — обещание APY выше 50% без чёткого объяснения источника дохода. Четвёртый — контракт не верифицирован на Etherscan. Пятый — возможность разработчика в одностороннем порядке изменить параметры пула или вывести ликвидность. Источник: finsmotr.com/blog/bezopasnost-v-seti/defi-moshennichestvo-shemy-zashhita.

Легитимные протоколы публикуют отчёты аудита на своём сайте и в репозитории GitHub. Проверьте дату: аудит двухлетней давности не покрывает новые контракты. Сверьте адрес проверенного контракта с тем, с которым взаимодействуете — мошенники копируют аудитные отчёты легитимных протоколов и подставляют свои адреса. Отсутствие аудита у протокола с TVL выше $1 млн — серьёзный красный флаг.

Rug pull — намеренный вывод ликвидности разработчиками после привлечения депозитов. Признаки: разработчики контролируют большую долю токенов (проверяется на Etherscan), нет timelock на административные функции (задержка исполнения), LP-токены не заблокированы. Инструменты проверки: Token Sniffer, DeFiLlama (динамика TVL),RugDoc. Резкий рост TVL за 24–48 часов с последующим падением — типичная картина. Источник: finsmotr.com/blog/bezopasnost-v-seti/defi-moshennichestvo-shemy-zashhita.

Проверьте URL посимвольно: мошенники используют омоглифы (аpp.uniswаp.org через кириллицу вместо латиницы) или похожие домены (uniswap-app.io вместо app.uniswap.org). Настоящий адрес всегда публикуется в официальном Twitter/X и GitHub протокола. Используйте закладки для часто посещаемых dApp — не переходите по ссылкам из Telegram и Discord. Источник: tangem.com/ru/blog/post/disconnect-malicious-dapp.

Аудит снижает риск, но не устраняет его полностью. Auditors проверяют исходный код в момент проверки — последующие обновления контракта могут не проверяться. История DeFi знает взломы аудированных протоколов (Euler Finance — $197 млн в 2023, несмотря на несколько аудитов). Аудит — необходимое, но недостаточное условие. Диверсификация по протоколам и лимиты на один протокол снижают риск концентрации.

Нет. Продвижение через инфлюенсеров — стандартная тактика rug pull: авторы платят за упоминания и уходят после привлечения ликвидности. Это не означает, что все рекламируемые протоколы мошеннические, но реклама не заменяет технический анализ.