TVL показывает объём заблокированных средств, но не защиту от взлома. Nomad ($190 млн) и Wormhole ($320 млн) входили в топ-20 по TVL, но были взломаны из-за ошибок в логике моста. Без анализа архитектуры и управления ключами рейтинг TVL — опасный ориентир.
Nomad — это кроссчейн-мост. Уязвимость в смарт-контракте: из-за ошибки в валидации сообщений любой адрес мог подменить данные. Аудиторы (Quantstamp) пропустили баг. TVL не отражает качество кода. Атака заняла пару часов. Риски для РФ: налог не платится с украденных средств, но убыток не уменьшает базу НДФЛ.
Wormhole — мост между Solana и Ethereum. Атакующий использовал уязвимость в контракте Solana — фальшивую подпись «важного» аккаунта. TVL на момент атаки превышал $1 млрд. Урок: даже если протокол занимает верхние строчки рейтинга, это не значит, что код проверен на все сценарии. Аудит (Neodyme) не нашёл баг.
Во‑первых, аудит: кто проводил, какие типы уязвимостей искали (символическое исполнение, формальная верификация?). Во‑вторых, управление ключами: мультиподпись с несколькими подписантами или один ключ? В‑третьих, оракулы и механизмы остановки (pause/emergency shutdown). В‑четвёртых, историю инцидентов — «идеальная» картина без взломов редка.
Ищите протоколы, которые проводят множественные аудиты (минимум 2–3 разных фирмы), публикуют результаты в открытом доступе. Обращайте внимание на time-locks при обновлении контрактов (минимум 48 часов). Проверьте, есть ли программа bug bounty с вознаграждением от $100k. Избегайте протоколов с неаудированными обновлениями и единоличным управлением.
Согласно позиции ФНС (письма от 2023–2024, актуально на 2026), убытки от взломов и потери ключей не учитываются для уменьшения налогооблагаемой базы. НДФЛ (13–15%) платится с разницы между доходом при продаже токена и ценой приобретения. Если средства украдены — подаёте заявление в полицию, но налоговая не признаёт убыток. Декларация 3‑НДФЛ обязательна.
DeFiLlama показывает TVL, количество пользователей, доходность — но не уровень безопасности. Это маркетинговый инструмент, а не аудит. Инвесторы РФ часто выбирают топ-10 по TVL, считая это гарантией. Реальность: Nomad был на пике #17. Используйте рейтинг как первичный фильтр, затем глубокий анализ (аудиты, управление, история).
Мост позволяет перемещать активы между блокчейнами. Опасность в том, что код моста содержит точки отказа — если взломан валидатор или контракт, теряются все средства. Примеры: Nomad, Wormhole, Ronin.
| Протокол | $ ущерба (млн USD) | Основная причина взлома |
|---|---|---|
| Nomad Bridge | $190 | Ошибка валидации сообщений в смарт-контракте |
| Wormhole Bridge | $320 | Фальшивая подпись аккаунта в контракте Solana |
| Ronin Bridge | $620 | Взлом приватных ключей валидаторов (5 из 9) |
| Euler Finance | $197 | Уязвимость в логике займов (flash loan атака) |
| Критерий | Nomad | Wormhole |
|---|---|---|
| Тип уязвимости | Ошибка в валидации сообщений | Фальшивая подпись из-за непроверенного параметра |
| Триггер атаки | Манипуляция депозитом (spoofed data) | Подделка подписи guardian |
| Аудиторы | Quantstamp (не выявил баг) | Neodyme (не выявил баг) + Kudelski Security (частичный) |
| Реакция команды | Пауза не предусмотрена, позже вознаграждение за возврат средств | Остановка моста, привлечение Jump Capital для возврата $120 млн |
| Урок для инвестора | TVL не защищает от технической ошибки | Одноточечная уязвимость даже при высоком TVL |
Откройте код на Etherscan или в GitHub-репозитории протокола. Проверьте, используется ли мультиподпись для критических операций (смена owner/upgrade). Сделайте скриншот структуры контрактов для личного чек-листа.
Найдите все отчёты аудитов на сайте протокола или в доках. Минимум 2 разных фирмы (например, Trail of Bits, Certik). Убедитесь, что есть активная программа bug bounty с вознаграждением от $50k. Если аудиты не публикуются — стоп-сигнал.
Изучите документацию: кто подписывает мультисиг, как часто обновляются контракты, есть ли time-lock (не менее 48 ч). Для протоколов с одним ключом риск взлома в 100 раз выше (данные по инцидентам 2023–2025).
Проверьте, застрахован ли протокол (например, через Nexus Mutual, InsurAce). TVL не равняется ликвидности на вывод — узнайте глубину пула на DEX (Uniswap, Curve). Для стейблкоинов проверьте резервы (Attestations на Tether, Circle.
Убедитесь, что протокол не заблокирован в РФ, но помните: налог платится с дохода в фиате, независимо от географии. Для DeFi-дохода (стейкинг, фарминг) подавайте 3‑НДФЛ, даже если не выводите. С 2026 года ФНС может запрашивать данные о криптокошельках через закон о КИК и миграции.
Мост позволяет перемещать активы между блокчейнами. Опасность в том, что код моста содержит точки отказа — если взломан валидатор или контракт, теряются все средства. Примеры: Nomad, Wormhole, Ronin.
Доход в криптовалюте облагается НДФЛ 13–15% при продаже за рубли (или обмене на другие активы). Стейкинг-доход считается моментом зачисления токенов на кошелёк. Подаёте 3‑НДФЛ до 30 апреля следующего года. Штраф — 20% от суммы налога.
Используйте аппаратные кошельки (Ledger, Trezor). Никогда не храните seed-фразу в облаке или на скриншотах. Включите 2FA на бирже и Never share mnemonics. Для ежедневных операций заведите отдельный «горячий» кошелёк с малой суммой.
Депег — отрыв цены стейблкоина от $1 (например, UST падал до $0,07). Если стейблкоин обеспечен недокапитализированными резервами, депег приводит к потере всей суммы. Проверяйте резервы через Attestations Tether (USDT) или Circle (USDC). Риск: ФНС не учитывает такой убыток.
Нет. Согласно разъяснениям ФНС (2023–2024), кража, потеря ключей или взлом протокола не уменьшают налогооблагаемую базу. Исключение — только если вы официально признаны потерпевшим по решению суда, но на практике это единичные случаи.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
