Проверка DeFi-контракта перед стейкингом: как обнаружить rug pull до того, как он случится

Rug pull — когда команда проекта выводит ликвидность или казначейство через заранее встроенные функции контракта, оставляя инвесторов с обесценившимися токенами. Технически это реализуется через функции с модификатором onlyOwner: drain(), emergencyWithdraw(), setFeeReceiver() с произвольным адресом, или через mintable-токен без cap. Опасность — такие функции не всегда злонамеренны (legit-проекты тоже используют emergency withdraw), но без timelock и multisig они полностью зависят от честности команды. Риск: upgradeable proxy позволяет подменить логику контракта уже после аудита.

Главные маркеры: функция mint() без cap (позволяет бесконечно разбавлять supply), blacklist() или pause() без DAO-голосования (команда может заблокировать вывод), setTaxFee() с диапазоном до 100% (фактически конфискация при выводе), owner() без timelock на критических функциях. Дополнительный сигнал — контракт не верифицирован на Etherscan (исходник закрыт). Согласно разбору на wordcripta.ru, апрув ERC-20 без ограничения суммы (approve(MAX_UINT256)) — отдельный вектор: владелец контракта может в любой момент списать весь одобренный баланс. Нюанс: один red flag не приговор, критична их комбинация.

Жертва подписывает approve() на адрес вредоносного контракта — часто под видом «claim rewards», «free mint» или «connect wallet». После этого атакующий вызывает transferFrom() и выводит весь одобренный баланс без каких-либо дополнительных действий со стороны жертвы. По данным walletwitness.com, approval phishing стал одним из ведущих векторов кражи ERC-20 токенов: жертва может не замечать потери неделями, если не мониторит апрувы активно. Риск: approve() на MAX_UINT256 даёт атакующему бессрочный доступ к токенам на кошельке.

Emergency withdraw — функция экстренного вывода средств из протокола, обычно предназначенная для защиты пользователей при баге. В легитимных протоколах (Compound, Aave) она позволяет пользователю самостоятельно вернуть свои средства. Опасный вариант — когда emergencyWithdraw() доступна только owner'у и направляет средства на его адрес, а не обратно депозитору. Такая конструкция — классический инструмент rug pull. Проверяйте: кто вызывает функцию и на чей адрес идут средства. Нюанс: tools4crypto.com фиксирует этот паттерн как один из наиболее распространённых в малоизвестных yield-фермах.

Audit-отчёт — документ, где аудиторская компания (CertiK, Trail of Bits, Hacken, Peckshield) фиксирует найденные уязвимости по степени критичности: Critical, High, Medium, Low, Informational. Красные флаги: нерешённые Critical или High уязвимости на момент публикации, аудит проведён неизвестной компанией без портфолио, дата аудита давно прошла, а контракт с тех пор обновлялся через proxy. Проверяйте статус уязвимостей: «Acknowledged» без фикса хуже, чем «Resolved». Нюанс: аудит проверяет конкретный commit — апгрейд через proxy после аудита делает его нерелевантным.

Среди крупных инцидентов: Ronin Bridge (2022) — $625 млн через компрометацию validator-ключей; Wormhole (2022) — $320 млн через уязвимость верификации подписи; Euler Finance (2023) — $197 млн через flash loan атаку на логику ликвидации. Все три прошли аудиты. В сегменте малых проектов rug pull через onlyOwner-функции массовые: по данным Chainalysis, в 2023 году таким образом было похищено более $1 млрд. Риск для РФ-инвестора: доход от крипто облагается НДФЛ, но украденные средства налоговым вычетом не учитываются.

Аудит CertiK снижает риск, но не устраняет его. CertiK проверяет код на момент аудита — если контракт upgradeable, логика может быть изменена позже. Несколько проектов с высоким CertiK-рейтингом всё равно подверглись rug pull через апгрейды proxy. Аудит — один из факторов оценки, не финальный приговор.