Чек-лист по пяти точкам: аудит, код, мультисиг, ликвидность и история инцидентов. Без этой проверки любая доходность — это лотерея с чужим смарт-контрактом. Ни один аудит не даёт 100% гарантии, а открытый код — лишь приглашение к анализу.
На сайтах протоколов в секции «Security» или «Docs». Ищи отчёты от Trail of Bits, OpenZeppelin, ConsenSys Diligence, Certik, Hacken. Дата аудита должна быть не старше 12 месяцев. Нюанс: свежий аудит не гарантирует отсутствие новых уязвимостей — код мог измениться после отчёта.
Факт публикации на GitHub (репозиторий с лицензией вроде MIT или GPL). Смотри активность коммитов, количество форков, звёзд, наличие security-политики (SECURITY.md). Важно: пустой репозиторий или одностраничный сайт с обещаниями — красный флаг. Если код не открыт — не инвестируй.
Mультисиг (multisig) требует подписей нескольких ключей для вывода средств из казны протокола. Ищи настройку в документации: минимум 3 из 5 или 4 из 7 подписантов. Риск: если ключи у одной команды — это просто сингл с задержкой. Смотри, кто конкретно в мультисиге: публичные лица или анонимы.
Проверь общий TVL (total value locked) на DeFiLlama или Dune. Чем выше TVL, тем сложнее манипулировать ценой. Глубина ликвидности: ищи торговые пары с объёмом не менее $1-5 млн. Нюанс: стейблкоины с низкой ликвидностью могут терять привязку при панике (риск депега). Не путай TVL с рыночной капитализацией токена.
Агрегаторы: Rekt News, DeFi Safety, Immunefi. Ищи вкладку «Incidents» на сайте протокола. Смотри дату взлома, сумму потерь ($1 млн+ — серьёзный сигнал), была ли компенсация пострадавшим. Важно: даже после взлома протокол может работать безопасно, если ошибка исправлена и код переаудирован.
Доход от крипты — НДФЛ 13-15% (ставка зависит от суммы). Декларация 3-НДФЛ подаётся до 30 апреля следующего года. Убытки от взломов не засчитываются для уменьшения налога (ФНС их не признаёт). Риски: волатильность (до -80% за месяц), потеря приватного ключа (восстановить нельзя), отзыв лицензии у зарубежных бирж.
Не вкладывай. Закрытый код — гарантированный риск: ты не можешь проверить, что обещание «аудита» соответствует реальному контракту.
| Метод проверки | Что искать | Риски при игнорировании |
|---|---|---|
| Аудит кода | Отчёт от Trail of Bits, OpenZeppelin, Certik (не старше 12 мес.) | Уязвимости в смарт-контрактах (потеря всех средств) |
| Open-source репозиторий | GitHub с лицензией MIT/GPL, 50+ звёзд, 3+ контрибьютора | Невозможность проверить честность кода (скам) |
| Мультисиг-управление | Порог подписей 3/5, публичные ключи на сайте | Вывод активов без согласия сообщества (rug pull) |
| История инцидентов | Нет взломов за 2+ года, публичный постмортем | Повторный взлом с той же уязвимостью (потери $5-50 млн) |
| Критерий | Только аудит | Полный чек-лист (5 пунктов) |
|---|---|---|
| Глубина проверки | Проверка кода одной версии | Оценка управления, ликвидности, истории |
| Время на проверку | 1-2 дня | 3-5 часов + чтение отчётов |
| Надёжность вывода | Средняя (пропускают логические ошибки) | Высокая (охватывает операционные риски) |
| Стоимость проверки | Бесплатно (если протокол опубликовал аудит) | Бесплатно (публичные данные) |
| Типичная ошибка | Доверие к свежему аудиту с игнорированием мультисига | Пропуск взлома 3-летней давности |
Зайди на сайт протокола → раздел «Docs» или «GitHub». Сверь домен с CoinGecko/DeFiLlama (много фишинга). Если нет доков — стоп.
Перейди в раздел «Security». Проверь дату, фирму и версию контракта. Если аудит старше года или на 2 версии назад — сигнал.
Найди адрес казны (treasury). Пробей через Etherscan — смотри количество подписей и их владельцев. Идеал: 3/5 с разными адресами.
Сравни TVL протокола с TVL конкурентов. Для пула на $10 млн резкий отток $5 млн за день — повод задуматься.
Введи название протокола. Если найдёшь запись о взломе на $1 млн+ без постамортема — не инвестируй.
Не вкладывай. Закрытый код — гарантированный риск: ты не можешь проверить, что обещание «аудита» соответствует реальному контракту.
Нет, если в казне >$100 тыс. Без мультисига один ключ (или одна команда) может вывести все активы в любой момент.
Каждые 3 месяца или при любом апгрейде смарт-контракта. Новая версия кода — новая уязвимость.
Да, но косвенно. 1000+ звёзд при пустом форке — маркетинг, а не показатель безопасности. Сравнивай с активностью коммитов.
Да. Ищи LinkedIn публичных участников, их опыт в DeFi (5+ лет). Анонимы с нейросгенерированными фото — риск, но не приговор (например, Yearn Finance частично анонимна).
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
