Любой NFT — это запись в смарт-контракте. Пока вы не проверили исходный код и историю вызова функций, вы держите в руках «чёрный ящик». Рассказываем, как через блокчейн-эксплореры, симуляторы и дашборды ликвидности понять, кто владеет управлением токеном и можно ли его заморозить.
Верифицированный контракт показывает исходный код (Solidity) прямо в Etherscan. Вы можете проверить, есть ли функции mint, burn, pause, freeze. Неверифицированный код отдаёт только байткод — вы не увидите логики. В 2026 более 60% скам-коллекций имеют скрытый код. Риск: эмитент может включить функцию «сжечь ваш NFT» после закрытия торгов.
Ищите в Read/Write Contract на Etherscan функции с именами типа mintTo, adminMint, ownerWithdraw, transferOwnership, setApprovalForAll с флагом «onlyOwner». Также проверяйте, может ли адрес deployer вызывать функцию burn чужого токена. Симулятор Tenderly покажет результат вызова без газа, если подставить ваш кошелёк. Нюанс: если контракт Upgradable (UUPS/Transparent proxy), логика может меняться в любое время — это высокий риск.
Откройте первую транзакцию контракта (Contract Creator) на Etherscan. Смотрите: 1) Кто оплатил газ? Если создатель сам майнил 10 000 токенов одним вызовом — это склад эмитента. 2) Был ли одновременно вызван addLiquidity на Uniswap? Если ликвидность внесена через 2 минуты после минта — вероятность pump&dump высока. 3) Есть ли пауза (pause) между майнами? В 2026 типичные скамы минтят весь запас за 1 блок и сразу пускают на продажу.
Используйте DeFiLlama или DEX Screener: в карточке токена есть раздел Liquidity Locks. Если LP-токены отправлены на адрес блокировки (например, Unicrypt, Team Finance) — они не доступны эмитенту. Если LP лежит на кошельке deployer или мультисиге с порогом 1/3 — ликвидность может быть отозвана в любую минуту. В 2026 некоторые NFT продают токены через пулы сгораемых LP — это нормальная практика, но требует проверки даты разблокировки.
Honeypot.is (проверка, можно ли продать токен), Token Sniffer (RugDoc.io — оценка рисков, не обновлялся с 2023, но база скамов ещё актуальна), Quick Intel (агрегатор мошеннических сигнатур). Полезно подписаться в Telegram на бота @TokenScout или @rugpullfinder. Они показывают, если адрес эмитента совершает транзакции на микшеры (Tornado Cash, Railgun) или выводит USDT на биржи без KYC. Риск: ложные срабатывания на ликвидные токены — перепроверяйте вручную.
ФНС РФ рассматривает доход от продажи NFT как доход от реализации имущества. Если токен продан с прибылью, вы подаёте 3-НДФЛ (ставка 13% или 15% при сумме > 5 млн ₽). ЦБ РФ не регулирует DeFi вообще — он предупреждает о рисках, но не даёт защиты. В 2026 закон о «цифровых валютах» всё ещё не разграничил NFT как актив. Налоговая база — доход в рублях по курсу на дату сделки. Обязательно сохраняйте скриншоты транзакций и контрактов для налоговой проверки.
Не покупайте. Единственное исключение — известные проекты (CryptoPunks, BAYC), где код закрыт, но аудит прошёл через сторонние фирмы (OpenZeppelin, Trail of Bits). Для всех остальных — стоп-сигнал.
| Параметр риска | Метод проверки | Типичный порог опасности |
|---|---|---|
| Неверифицированный код | Etherscan — вкладка Contract — Verify | Если нет аналогов на Source Code — стоп-сигнал |
| Upgradable прокси | OpenZeppelin UUPS / Beacon | Наличие proxy admin или transferOwnership = высокий риск |
| Функция pause/freeze | Etherscan Read Contract | Присутствие толькоOwner — эмитент может заморозить ваш токен |
| Отзыв ликвидности | DEX Screener / DeFiLlama | LP-токены на кошельке deployer — 100% риск Rug Pull |
| Критерий | Ручной аудит (Etherscan + Tenderly) | Агрегаторы (Honeypot.is + RugDoc) |
|---|---|---|
| Глубина проверки кода | Полный доступ ко всем функциям | Только поверхностные сигнатуры скамов |
| Скорость оценки | 15–30 минут на контракт | 30 секунд (автоматический скор) |
| Доля ложных срабатываний | 0% (вы сами видите код) | 10–15% (алгоритм путает сложные механизмы) |
| Возможность проверить fresh-контракты | Да (любой адрес) | Нет (нужны ликвидные пулы и история) |
| Требуется ли знание Solidity | Да, хотя бы основы | Нет, GUI-отчёты |
Откройте Etherscan (основная сеть — Ethereum, Polygon, BNB) или Solscan для Solana. Вставьте адрес NFT в строку поиска. На странице контракта перейдите во вкладку Contract и нажмите Code. Если контракт не верифицирован — сразу переходите к шагу 4 (проверка через DEX Screener).
Найдите функции totalSupply, owner, isPaused, mint. Запишите адрес owner. Если owner не нулевой адрес (0x000...) — эмитент контролирует контракт. Откройте Write Contract — посмотрите, какие функции доступны только owner (требуют подписи deployer).
Нажмите на вкладку Tenderly (— «Simulate»). Укажите ваш адрес как msg.sender. Выберите функцию, например mint или transferFrom. Нажмите Simulate — сервис покажет, пройдёт ли транзакция, не тратя газ. Если транзакция от owner проходит, а от вашего адреса — revert (ошибка), значит, функция защищена.
Вставьте адрес контракта в поиск DEX Screener. Посмотрите график Liquidity Locks. Если LP-токены не заблокированы — эмитент может забрать все ликвидные средства в любой момент. Помните: даже при locked LP есть риск, если контракт позволяет сжигать токены (burn) или менять комиссию.
На Etherscan на вкладке Transaction History отсортируйте по дате. Если контракт создан 2 дня назад, а торгуется с объёмами $500 000+ — это типичная схема «pump-and-dump». Проверьте, есть ли транзакции паузы (pause) или обновления ликвидности после первого дня торгов.
Не покупайте. Единственное исключение — известные проекты (CryptoPunks, BAYC), где код закрыт, но аудит прошёл через сторонние фирмы (OpenZeppelin, Trail of Bits). Для всех остальных — стоп-сигнал.
Частично. TokenSniffer (RugDoc.io) не обновлялся с 2023, но его база скам-контрактов ещё полезна для старых адресов. Новые схемы (2024–2026) нужно проверять через Honeypot.is + Etherscan вручную.
Юридически — почти нет. Если эмитент находится вне юрисдикции РФ, а вы отправили средства с кошелька без KYC — вернуть их невозможно. Полиция РФ рассматривает такие дела как «незаконное обогащение» только при сумме > 2 млн ₽ и только при наличии доказательств (скриншоты, переписка, данные паспорта эмитента).
Доверять можно только если прокси управляется мультисигом с порогом 3/5 и адреса подписантов публично известны (например, команда OpenSea). Одиночный admin-адрес — риск взлома или цензуры.
ФНС запрашивает данные у криптобирж с российскими лицензиями (CommEX, ByBit через российский юрлицо). Если вы выводили фиат на российскую карту — банк передаёт информацию. Декларация подаётся самостоятельно при сумме дохода > 600 000 ₽ за год. Рекомендуем вести журнал транзакций с хешами и курсами USDT/RUB на дату продажи.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
