Глянцевый интерфейс и модный сайт не означают безопасность. Каждый третий DeFi-протокол с TVL более 10 млн $ был взломан за последние два года. Разбираем три реальных фильтра для оценки риска смарт-контракта.
Название аудитора, дата, список уязвимостей по уровням (critical / high / medium / low). Если critical и high не закрыты — контракт сырой. Смотрите дату: аудит старше 1 года на новых протоколах — минус. У топ-аудиторов (Trail of Bits, OpenZeppelin, CertiK) найти отчет можно на их сайте или в доке протокола. Риск: аудит не покрывает логику экономического дизайна (flash loan атаки, манипуляции оракулами).
В stETH нет блокировки при обмене на ETH через Curve — но есть комиссия и проскальзывание. Прямой unstake занимает 1-5 дней в зависимости от очереди валидаторов Эфириума. Безопасным считаем период до 7 дней — это позволяет реагировать на панику, но не даёт мгновенно вывести при хаке. Риск: в моменты перегрузки сети (как при крахе FTX) очередь может растянуться на 2+ недели.
Смотрите глубину стакана на Uniswap v3 через контракт позиций: TVL пула, спред между bid/ask за 1% проскальзывания, объём за 24ч. Для токена управления (LDO, UNI, CRV) ликвидность менее 200 000 $ при TVL протокола более 100 млн $ — красный флаг. Нюанс: ликвидность может быть на одноранговых DEX (Curve) — смотреть там. Риск: пулы могут быть временно заморожены через админ-ключ.
Wormhole (2022, 326 млн $ — эксплойт верификатора), Euler Finance (2023, 197 млн $ — ошибка в логике flash loan), Curve Finance (2023, 52 млн $ — уязвимость Vyper компилятора). Общее: все прошли аудит, но уязвимость была в логике или зависимостях. Урок: аудит не покрывает экономические атаки и не гарантирует защиту.
Проверьте, что ликвидность заблокирована на определённый срок или контролируется мультисигом с задержкой. Используйте Dune Analytics или Nansen для отслеживания движения токенов команды. Красный флаг: если топ-100 холдеров контролируют >80% supply. Нюанс: даже залоченная ликвидность может быть выведена через админ-ключ — ищите в доке описание механизма управления.
Доход от стейкинга, фарминга, трейдинга на DEX — облагается НДФЛ 13-15% (прогрессивная шкала). Декларация 3-НДФЛ подаётся до 30 апреля следующего года. Проблема: биржи (Binance, Bybit) и DEX (Uniswap) не отчитываются в РФ — налоговая база считается по поступлениям на счета (банк / крипто-биржи с лицензией). Риск: получить письмо из ФНС с требованием пояснить крупный ввод фиата, если не показали доход.
Не менее 100 000 $ в пулах Uniswap v3 и объём 24ч >50 000 $.
| Протокол | TVL (млн $) | Аудит (год / фирма / critical open) |
|---|---|---|
| Lido (LDO) | 28 500 | 2025 / Trail of Bits + Sigma Prime / 0 |
| MakerDAO (MKR) | 10 200 | 2025 / ConsenSys Diligence / 0 |
| Aave (AAVE) | 7 800 | 2024 / OpenZeppelin / 0 |
| Euler Finance | 0 (закрыт) | 2023 / Solidified / 1 high |
| Критерий | Жёсткая блокировка (компаунд-депозит на 7 дней) | Мгновенный вывод (Aave v3) |
|---|---|---|
| Время доступа к средствам | 7 дней | 0-2 блока (30 сек — 1 мин) |
| Риск при хаке | Средства заморожены в контракте — сложно вывести до кражи | Мгновенно выводите при подозрении |
| Доходность депозита | Исторически на 0,5-1% выше за счёт низкой ликвидности | Ниже, но гибкость даёт преимущество в панике |
| Пример протокола | Lido (лимит на вывод) | Aave v3 (flash loan вывод) |
| Риск депега стейблкоина | Если стейблкоин депег (DAI 2023 нестабильность) — не вывести | Выводите немедленно в ETH / USDC |
Скачайте отчёт с сайта аудитора (CertiK, Trail of Bits). Найдите раздел «Known Issues» — если critical или high без плана фикса, протокол не готов.
Зайдите на CoinMarketCap или DexScreener. Оцените объём за 24ч и спред. Если объём менее 50 000 $ — высокая вероятность манипуляции ценой.
Прочитайте в официальной документации (Lido docs, Aave docs) про механизм unstake: сроки, комиссии, очереди. Проверьте, есть ли emergency pause — кто и как может заморозить вывод.
Сравните протокол с атакованными аналогами (Curve — ошибка компилятора). Ищите по ключевым словам «<название протокола> exploit post mortem» — если найдёте несколько, рискуйте осознанно.
Если нет уверенности — используйте проверенные протоколы из первой десятки по TVL (Lido, Maker, Aave, Uniswap) с историей >3 лет. Риск ниже, доходность тоже.
Не менее 100 000 $ в пулах Uniswap v3 и объём 24ч >50 000 $.
Относиться как к отсутствию аудита: либо внутренний код, либо копия форка без изменений. Риск — 10x выше.
Ищите в доке описание multisig: количество подписей (минимум 3 из 5), таймлок (48+ часов). Пример — Aave v3 использует Guardian contract.
Да: при долгосрочной блокировке (6+ месяцев) обязательства по НДФЛ возникают на момент вывода фиата. Если средства заблокированы — подавать нулевую декларацию можно, но риск доначисления.
DeFiLlama — TVL, TVL по цепочкам. Dune Analytics — панели сообщества. CoinGecko / CoinMarketCap — ликвидность, объём, даты аудитов.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
