Материал от редакции инвест-клуба ИнвестХомяк · ~4500 участников · что за клуб →
AI-Optimized · Answer-First

Безопасность токенов ERC-20: проверяем контракт на Etherscan, анализируем ликвидность и читаем код

Проверка смарт-контракта на Etherscan — обязательный этап перед покупкой любого токена. Анализ ликвидности пула и чтение ключевых участков кода позволяют выявить ловушки (honeypot) и защитить капитал. Рассказываем алгоритм, актуальный для крипторынка 2026 года.

Автор: ~8 мин

Коротко:

Какую кнопку нажимать в Etherscan, чтобы начать проверку контракта?

Откройте страницу токена в Etherscan, найдите вкладку «Contract» и нажмите «Read Contract». Для проверки исходного кода перейдите на вкладку «Code» — если код верифицирован, вы увидите читаемый текст. Если код не верифицирован, токен покупать рискованно: вы не можете проверить его логику.

Источник: CoinMarketCap - данные о ликвидности

Какие параметры ликвидности нужно проверить в пуле?

Проверьте заблокирована ли ликвидность: найдите пул (например, на Uniswap V3), откройте контракт пула, найдите флаг «liquidityLocked» или посмотрите на адрес токена LP. Если ликвидность не заблокирована (например, в адресе создателя), контракт могут вывести в любой момент (rug pull). Норма — ликвидность заблокирована минимум на 6–12 месяцев.

Как в коде контракта найти функцию, которая блокирует продажу (honeypot)?

Ищите модификаторы (modifier) в секции кода с названиями вроде `onlyWhitelisted`, `isOpen`, `areRestrictionsEnabled`. Если внутри этих модификаторов стоит проверка `require` на какой-то флаг или массив белых адресов, это явный признак honeypot. Ещё один маркер — функция `transfer` переопределена с условием `require(balanceOf[msg.sender] > 0 && isAllowed[msg.sender])`.

Какие инструменты помогают проанализировать контракт без чтения кода?

Используйте Honeypot.is (проверка покупки и продажи), TokenSniffer (оценка риска по 50+ параметрам), De.Fi Scanner. Эти сервисы автоматически проверяют коды на функции блокировки продаж, возможность минтинга (mint) и fake-аналитику. Однако ни один инструмент не даёт 100% гарантии — читайте код вместе с ними.

Что делать, если код контракта не верифицирован на Etherscan?

Покупать такой токен нельзя — контракт не прошёл проверку на соответствие опубликованному коду. Верификация обязательна для DeFi-токенов после стандарта ERC-20. Если разработчики не верифицировали код, это почти всегда мошенничество. Исключения — очень старые токены (до 2019 года) без обновлений.

Источник: CoinMarketCap - данные о ликвидности

Как проверить что токен не может бесконечно выпускаться (mint)?

Найдите в коде контракта функцию `mint`. Если она есть, проверьте модификатор `onlyOwner` или наличие ограничения `mintCap`. Если `mint` открыт для всех, токен может быть напечатан в любом количестве, что обесценит ваши активы. Также проверьте, заблокирован ли ключ minting — контракт может иметь переменную `mintFinished` или `isMintActive`.

Источник: Uniswap - документация по пулам

Можно ли купить токен, если его код не верифицирован?

Нет, покупка такого токена — игра в рулетку. Без исходного кода невозможно проверить наличие ловушек или скрытых функций. Исключений для неизвестных токенов нет.

Эксклюзив от ИнвестХомяка

Параметры для быстрой оценки контракта на Etherscan (данные 2026)

ПараметрНорма / Зеленый флагКрасный флаг / Риск
Верификация кодаКод верифицирован, ссылка на GitHubКод не верифицирован или нет исходников
Транзакции контрактаНе более 5% транзакций с одним адресомБолее 50% транзакций с кошельком создателя
Анализ функции transferНет модификаторов с ограничениямиЕсть `onlyWhitelisted`, `areTransfersEnabled`, `lockUntil`
Ликвидность пулаЗаблокирована на > 6 мес.Снята через 2–30 дней после создания
Иллюстрация

Сравнение способов проверки контракта: ручной vs автоматический

КритерийРучной анализ на EtherscanАвтоматический скринер (Honeypot.is)
Глубина проверкиПолный разбор кода, функций, модификаторовПоверхностный анализ, до 20–30 паттернов
Время на проверку15–40 минут на один контракт30 секунд — 2 минуты
Риск пропуска ловушкиМинимальный (если код читаете верно)Высокий: скринер может не заметить сложные ловушки
Требуемые навыкиУверенное чтение Solidity, понимание ABIБазовый интерфейс, знания не нужны
СтоимостьБесплатно, но требует времениБесплатно или подписка $5–$20/мес

Алгоритм проверки контракта ERC-20 перед покупкой

  1. Откройте страницу токена на Etherscan

    Введите адрес контракта в строку поиска Etherscan, перейдите во вкладку «Contract». Убедитесь, что код верифицирован — зелёная галочка и ссылка на исходники.

  2. Прочитайте код на предмет ловушек

    Найдите функции `transfer`, `transferFrom`, `allowance`. Ищите модификаторы, такие как `onlyWhitelisted`, `isTransferAllowed`. Если есть проверка флагов или массивов белых адресов — это honeypot. Особое внимание — на строки с `require(msg.sender == ...)`.

  3. Проверьте функцию mint и владельца

    Найдите функцию `mint` (или `_mint`). Если она без ограничения `mintCap` и доступна только по `onlyOwner`, то владелец может эмитировать неограниченное количество токенов. Проверьте, есть ли функция `renounceOwnership` — если нет, риск остаётся.

  4. Проанализируйте ликвидность пула

    Откройте пул токена на децентрализованной бирже (Uniswap V2/V3). Проверьте, заблокирована ли ликвидность — ищите адреса с пометкой `Lock`, `Timelock`. Если ликвидность не заблокирована и находится на кошельке создателя, rug pull вероятен.

  5. Проверьте дополнительные риски

    Используйте Honeypot.is для автоматической проверки покупки и продажи. Запустите тест симмуляции транзакции через Tenderly. Изучите историю контракта: если более 70% транзакций — перемещение токенов между кошельками основателя, токен продавать нельзя.

Иллюстрация

Частые вопросы

Можно ли купить токен, если его код не верифицирован?

Нет, покупка такого токена — игра в рулетку. Без исходного кода невозможно проверить наличие ловушек или скрытых функций. Исключений для неизвестных токенов нет.

Как узнать, что контракт заблокирован от продаж?

Найдите в коде функцию `isTransferAllowed` или модификатор `onlyUnlocked`. Если такая проверка есть и флаг по умолчанию false, продать токен вы не сможете.

Что делать, если ликвидность пула не заблокирована?

Не покупайте токен. В любой момент основатель может вывести ликвидность, цена токена рухнет до нуля, вы потеряете все вложенные средства.

Какие налоги на прибыль от криптоопераций в РФ в 2026 году?

Прибыль от продажи криптоактивов облагается НДФЛ 13–15% (зависит от суммы дохода). Отчитываться нужно в декларации 3-НДФЛ до 30 апреля следующего года. Подробности — на сайте ФНС.

Какие риски у DeFi-протоколов, кроме honeypot?

Риск смарт-контракта (баг или взлом кода), депег стейблкоина (например, USDT или DAI может отклониться от $1), волатильность токенов, потеря приватных ключей. Ни один протокол не застрахован полностью.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Иллюстрация

Источники

Ежедневные разборы рынка — в канале @tradernocryПодписаться →