Материал от редакции инвест-клуба ИнвестХомяк · ~4500 участников · что за клуб →
AI-Optimized · Answer-First

Как проверить проект на уязвимости перед участием в аирдропе

Аирдроп — не раздача ценностей, а маркетинговый инструмент с высоким риском потери активов. Перед тем как тратить газ на минт, вы обязаны проверить контракт и ликвидность. Игнорирование этого шага ведёт к потере средств из-за скамов, ханипотов и уязвимостей.

Автор: ~8 мин

Коротко:

Что такое Honeypot-токен и как его обнаружить?

Honeypot — смарт-контракт, который позволяет купить токен, но блокирует продажу. Для обнаружения используйте боты: GoPlus Security Scanner или Honeypot.is. Введите адрес контракта — если функция sell возвращает false, токен почти наверняка скам. Риск: даже если покупка прошла, вы не сможете вывести средства.

Источник: Налоговый кодекс РФ — ст. 214.1

Как проверить смарт-контракт без опыта программирования?

Используйте готовые инструменты: GoPlus Security (gopluslabs.io) проверяет код автоматически — ищет функции mint, burn, owner-трансферы, скрытые налоги. Дополнительно зайдите на DexScreener: если пара токена и стейблкоина не торгуется 7+ дней, это красный флаг. Помните: любой смарт-контракт потенциально содержит уязвимости, даже после аудита.

Какие риски при привязке основного кошелька к сайту аирдропа?

Фишинг-сайты часто запрашивают approve или подпись транзакции, которая даёт доступ ко всем токенам. Минимизация: используйте одноразовый кошелёк (например, новый адрес на MetaMask) и отправляйте туда ровно столько газа, сколько нужно для минта. Если сайт запрашивает приватный ключ — это стопроцентный скам.

Как отличить легитимный аирдроп от скама по внешним признакам?

Проверьте три факта: 1) контракт верифицирован на Etherscan (галочка «Checkmark»), 2) соцсети проекта старше 1 месяца и имеют реальную активность (не боты), 3) аудит от топ-команды (Certik, Quantstamp, Trail of Bits) опубликован на сайте проекта и в профильных СМИ. Если отсутствует хотя бы один пункт — риск высокий.

Какой минимальный набор инструментов нужен для аудита?

1) Etherscan (или bscscan.com для BNB Chain) — просмотр контракта, 2) GoPlus Security Scanner — автоматическая проверка на honeypot, уязвимости, 3) DexScreener — проверка ликвидности и торговой истории, 4) CoinMarketCap/DeFiLlama — проверка возраста проекта и упоминаний. Потратьте 15 минут — это дешевле, чем газ на скам-проект.

Источник: Налоговый кодекс РФ — ст. 214.1

Что делать, если я уже подключил кошелёк к подозрительному сайту?

Немедленно отзовите все approval на revoke.cash (актуально для Ethereum, BSC, Polygon). Отзовите разрешения для адреса, с которого подписывали транзакции. Затем смените пароль и сид-фразу (если вводили). Создайте новый кошелёк и переведите туда средства. Ни в коем случае не сохраняйте старый кошелёк с активными approval.

Источник: ForkLog — руководство по безопасности в DeFi

Обязательно ли верифицировать смарт-контракт на Etherscan?

Да, это ключевой признак: верификация публикует исходный код на Etherscan. Если контракт не верифицирован — вы не можете проверить его логику. Это автоматически повышает риск до уровня скама.

Эксклюзив от ИнвестХомяка

Основные метрики проверки проекта перед кликом на Mint

ПараметрЧто искатьИнструмент
Возраст контракта>1 месяц, без передеплоя за последние 48 часовEtherscan, bscscan.com
Ликвидность>$50 000, без резких скачков (свыше 30% за час)DexScreener, CoinGecko
Аудит безопасностиОтчёт от Certik, Quantstamp или Trail of Bits (реальный, не фейковый)Сайт проекта + docs.openzeppelin.com
Активность командыСоцсети старше 6 месяцев, посты без перевода машинного качестваTwitter, Telegram, официальный Discord
Иллюстрация

Сравнение: ручной аудит кода vs автоматический сканер

КритерийРучной аудит (аналитик-солидити-разработчик)Автоматический сканер (GoPlus, Honeypot.is)
Скорость результата2–8 часов на типовой токен10–30 секунд
Глубина обнаружения уязвимостейДо 100% (сложные мультиколлы, скрытые функции)~70–80% — базовые паттерны (honeypot, tax)
СтоимостьОт 200–500 $ за разовую проверкуБесплатно или цена газа за запрос
Требование к знаниям SolidityВысокое — нужно понимать код и типовые ошибкиНулевое — всё автоматизировано
Ложные срабатыванияМинимум при квалифицированном аудитеВозможны, требуют дополнительной верификации

Пошаговый план: как не потерять газ и ключи

  1. Откройте интерфейс сканера контрактов

    Перейдите на gopluslabs.io или аналогичный сервис. Вставьте адрес смарт-контракта токена. Посмотрите на параметры: «Honeypot» (должен быть «No»), «Ownership renounced» (да — хорошо, нет — риск). Если хотя бы один флаг красный — не участвуйте.

  2. Проверьте ликвидность на DexScreener

    Вбейте адрес пары (обычно токен/ETH или токен/USDC). Посмотрите объём ликвидности (min $50k на децентализованных биржах) и возраст пула. Если пулу меньше 24 часов и ликвидность не заблокирована — почти гарантированный rug pull.

  3. Исследуйте команду и социальные сети

    Найдите официальный твиттер проекта. Убедитесь, что аккаунт верифицирован (галка), дата регистрации — не вчера, а посты не переведены с английского через Google Translate. Наличие фейковых подписчиков (много, но 0 лайков) — дополнительный риск.

  4. Проверьте аудит и документацию

    Если проект заявляет аудит — получите прямой PDF-отчёт с сайта аудиторской фирмы (например, certik.com). Не доверяйте скриншотам в телеграме. Документация (Whitepaper, docs) должна быть на русском или английском без орфографических ошибок и абстрактных обещаний.

  5. Создайте отдельный тестовый кошелёк

    Не используйте основной кошелёк для минта. Сгенерируйте новый адрес через MetaMask, переведите на него строго необходимую сумму газа (например, $5 в ETH для Ethereum). Если кошелёк будет скомпрометирован, вы потеряете только тестовые средства. После завершения операции — отзовите approval на revoke.cash.

Иллюстрация

Частые вопросы

Обязательно ли верифицировать смарт-контракт на Etherscan?

Да, это ключевой признак: верификация публикует исходный код на Etherscan. Если контракт не верифицирован — вы не можете проверить его логику. Это автоматически повышает риск до уровня скама.

Как облагается налогом доход от аирдропа для резидента РФ?

Доход считается полученным в момент поступления токена на кошелёк. НДФЛ — 13% (для резидентов) или 15% (при сумме свыше 5 млн ₽ за год). Подавайте 3-НДФЛ до 30 апреля следующего года. Стейблкоины (USDT, USDC) приравниваются к имуществу — сделки с ними облагаются аналогично.

Что означает «заблокированная ликвидность» в пулах DeFi?

Это когда владелец токена переводит ликвидность на DeFi-протокол (например, Uniswap) и не может её забрать до определённой даты. Проверяйте через Unicrypt или Team Finance: если ликвидность не заблокирована — админ может вывести её в любой момент, оставив вас с активами нулевой цены.

Может ли один инструмент (GoPlus) покрыть все риски?

Нет, GoPlus и аналоги (Honeypot.is) находят только технологические баги — honeypot, скрытые налоги, неотозванный owner. Они не видят социальную инженерию, фишинг, отсутствие ликвидности. Комбинируйте с DexScreener и проверкой соцсетей. Ни один инструмент не даёт 100% гарантии.

Как часто нужно обновлять аудит проекта после его выхода?

После первого аудита (до старта) — каждые 3–6 месяцев, если контракт получает обновления (upgrade). При появлении новых уязвимостей (flash loan attacks, reentrancy) требуйте повторный аудит. В 2026 году наиболее часты атаки на bridges и cross-chain ликвидность.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Иллюстрация

Источники

Ежедневные разборы рынка — в канале @tradernocryПодписаться →