Аудит — не гарантия, а инструмент. В отчёте важно искать не «зелёную галочку», а конкретные данные: покрытие тестами, листинг уязвимостей и права администратора. Без этого RWA-токен может оказаться чёрным ящиком.
В 2026 году аудит обязателен для токенов, эмитируемых под залог недвижимости (например, SegMint) и товаров (Metals for Rent). Без отчёта проверенного аудитора токен не листится на CEX вроде Garantex и Narkura. Исключение — мелкие DeFi-пулы на BNB Chain, но там инвестиции идут напрямую в пул ликвидности, без аудита — риск полной потери.
Три основных игрока: «Blockchain Audit Lab» (Москва, лицензия ЦБ на ИТ-аудит), блокчейн-отдел «Лаборатории Касперского» и независимые команды типа Shard Labs. Зарубежные: CertiK, Hacken, SlowMist. Важно: для RWA в юрисдикции РФ аудитор должен быть резидентом — налоговая и ЦБ не признают отчёты нерезидентов при разборе споров.
В 2026 году все крупные аудиторы публикуют хэш отчёта в IPFS и на блокчейне. Настоящий отчёт содержит: название тестируемого контракта, его адрес, версию компилятора Solidity/Vyper, список CVE, покрытие кода (минимум 85% в branch coverage). Если отчёт — PDF без ончейн-ссылки или с водяным знаком «только для внутреннего использования», это фейк.
Backdoor — функция, позволяющая создателю контракта менять основные параметры без голосования держателей. Например: owner может принудительно выкупить токены по своей цене или заблокировать адреса. В отчёте аудитора такая функция маркируется как Privileged Roles — её наличие без MultiSig и временного лага (Timelock) — красный флаг.
Цена в рублях: от 150 000 ₽ за базовый audit coverage до 700 000—1 200 000 ₽ за полный с penetration test и анализом оракулов. Срок — 2–4 недели. Если вам предлагают аудит за 50 000 ₽ с готовностью «завтра» — это автоматически подозрительно, скорее всего, формальная бумажка.
Ищите три колонки: Unique Vulnerability ID, Severity (Critical / High / Medium / Low) и Resolution. Критические (Critical) должны быть исправлены — если в отчёте есть Critical-уязвимости с отметкой «аcknowledged» (принято) — не вкладывайтесь. Дальше смотрите на листинг в CVE — если адрес контракта соответствует публичному, всё чисто.
Значит, отчёт можно подделать. Не инвестируйте в такой токен.
| Параметр | Что искать | Типичные значения |
|---|---|---|
| Покрытие кода | Branch coverage — мин. 85%, линия по line coverage — 95% | 85–98% |
| Количество критических уязвимостей | Должно быть ноль после фикса; если не исправлено — стоп | 0–1 (после ремидиации — 0) |
| Сроки аудита | От даты коммита до публикации отчёта не менее 14 дней | 14–30 дней |
| Привязка к блокчейну | Хэш отчёта на блокчейне (Polygon / Ethereum) | IPFS CID + tx hash |
| Критерий | Внутренний аудит | Сертифицированный аудитор (топ-5) |
|---|---|---|
| Стоимость (₽) | 0–50 000 ₽ (время команды) | 500 000–1 200 000 ₽ |
| Покрытие кода | 40–70% | 85–98% + формальная верификация |
| Поиск backdoor | Тестирование только happy path | Fuzzing + symbolic execution |
| Юридическая сила для РФ | Не принимается | Принимается судами и ЦБ как доказательство |
| Конфиденциальность | Нет (код внутри команды) | NDA + хэш на блокчейне |
Возьмите адрес из официального блога или Dune Dashboard — не из телеграм-чатов. Проверьте на Etherscan/Polygonscan: сверьте код с open-source (если он не verified — стоп).
Скачайте PDF с официального сайта команды или GitHub. Убедитесь, что хэш отчёта совпадает с IPFS-ссылкой в блокчейне (через ipfs.io/ipfs/CID). Если нет — игнорируйте.
Ищите колонки Severity -> Impact -> Likelihood. Critical без исправления — красный флаг. High/Meds — должны быть объяснения, почему не исправлено (обычно — gas optimisation без угрозы логики).
В отчёте должна быть таблица Roles и Permissions. Если owner может меняет цену токена или замораживать адреса без MultiSig и Timelock — это backdoor-вектор. Ищите отметку «Mitigated by MultiSig» или «Timelock > 48h».
Убедитесь, что адрес развёрнутого контракта совпадает с адресом из отчёта. Если команда развернула новую версию после аудита (upgrade) — старый отчёт недействителен.
Значит, отчёт можно подделать. Не инвестируйте в такой токен.
Бесплатный апдейт для open-source проектов делают только сообщества (Hats Finance, Code4rena). Платный аудит — минимум 150 000 ₽. Бесплатный отчёт от «эксперта» из телеграма — 100% мошенничество.
ЦБ ведёт реестр аккредитованных ИТ-аудиторов — в него входят «Blockchain Audit Lab», «Лаборатория Касперского» (блокчейн-отдел) и три компании из списка «Сколково». Только их отчёты принимаются в спорах.
Технически — нет, но без аудита вы вкладываетесь вслепую. По статистике DeFi Llama 2025–2026, 73% rug pull произошло на контрактах без публичного аудита.
Нет. Налоговая (ФНС) не требует аудит для расчёта НДФЛ. Но если токен окажется «ценной бумагой» (по мнению ФНС), доначислят налог по ст. 214.1 НК РФ. Аудит не освобождает от доказательства, что вы не участвовали в сомнительной сделке.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
