Ключевые выводы
Открытый и не требующий разрешений характер децентрализованных финансов (DeFi) делает их привлекательными для скамеров. Понимание того, какие предупреждающие признаки искать, поможет вам принимать более обоснованные решения.
Проверка цели проекта, активности разработки и истории аудитов смарт-контрактов — одни из первых шагов при оценке любого DeFi-протокола.
Анонимные команды, концентрированное владение токенами и отсутствие аудитов — частые «красные флаги». Ни один из этих факторов сам по себе не гарантирует скам, но они повышают риск.
«Раг-пулы», фейковые запросы на одобрение токенов и фишинговые атаки — одни из самых распространенных способов, которыми скамеры крадут средства в DeFi.
Всегда проводите собственное исследование (DYOR) перед тем, как вносить средства в любой DeFi-протокол. Нет центрального органа, который мог бы вернуть утерянные средства.
Введение
DeFi предложил действительно новые способы занимать, давать в долг, торговать и зарабатывать без необходимости полагаться на традиционных посредников. Но та же открытость, которая делает его инновационным, также делает его мишенью для злоумышленников. Любой может запустить проект, и нет «контролеров», которые остановят мошенническую активность до того, как она достигнет пользователей.
Это руководство охватывает основные сигналы, которые вы можете проверить при оценке DeFi-проекта. Ни одна из этих проверок не является надежной сама по себе. Но если использовать их вместе, это поможет вам избежать наиболее очевидных ловушек.
Какова цель проекта?
Базовый, но важный вопрос: что именно делает этот проект? Многие новые DeFi-проекты — это копии существующих протоколов без сколько-нибудь значимых улучшений. Они запускаются в периоды повышенной активности рынка, чтобы привлечь внимание, собрать средства и затем исчезнуть.
Поинтересуйтесь, решает ли проект реальную проблему. Объясняет ли он четко, как именно он работает? Есть ли whitepaper, документация или публичная дорожная карта? Проекты, которые не могут ясно сформулировать свою ценность, стоит рассматривать с осторожностью.
Также подумайте, создает ли проект что-то новое или просто добавляет токен к уже существующей идее. Настоящая инновация не гарантирует легитимность, но ее отсутствие может быть желтым флагом.
Активность разработки и прозрачность
Легитимные DeFi-проекты обычно используют открытый исходный код. Это означает, что вы можете прочитать код или, по крайней мере, убедиться, что он существует и обновляется. Активность разработчиков на платформах вроде GitHub видна публично и может дать вам общее представление о том, работает ли команда или нет.
Активные коммиты, понятная документация и история исправлений ошибок указывают на вовлеченную команду. Репозиторий, который был создан один раз и больше никогда не обновлялся, может указывать на краткосрочную деятельность. Хотя этот показатель можно «подправить», все равно стоит проверять его в рамках более широкой due diligence.
Аудиты смарт-контрактов
DeFi-протоколы работают на смарт-контрактах — это самовыполняющиеся программы в блокчейне. Если в коде есть уязвимости, атакующие могут воспользоваться ими, чтобы вывести средства. Аудит смарт-контракта — это проверка кода независимой компанией по информационной безопасности, чтобы выявить такие слабые места.
Не у всех проектов есть аудиты. Аудиты могут быть дорогими, и некоторые мошеннические проекты пропускают их полностью. Если проект проходил аудит, проверьте, какая компания его проводила, когда это было и были ли учтены результаты. Аудит, сделанный неизвестной структурой за несколько месяцев до запуска, имеет меньше веса, чем недавний аудит авторитетной компании.
Важно и то, что даже «чистый» аудит не означает, что протокол полностью безрисковый. Новые уязвимости могут появиться после завершения аудита, а некоторые эксплойты нацелены не на ошибки в коде, а на логику.
Анонимность команды и подотчетность
У криптовалют есть длинная история псевдонимных разработчиков. Сатоши Накамото, создатель Bitcoin, никогда не был идентифицирован. Анонимные команды не обязательно выглядят подозрительно, и есть легитимные проекты с основателями-псевдонимами.
Однако когда команда анонимна, сложнее привлечь ее к ответственности, если что-то пойдет не так. Основатель с реальной репутацией рискует больше, если он будет запускать скам. Если команда анонимна, ищите другие признаки легитимности: послужной список предыдущих проектов, вовлеченность сообщества и аудиты от третьих сторон.
Распределение токенов и токеномика
Оценка токеномики проекта означает понимание того, как токены создаются, распределяются и раздаются. Один из распространенных механизмов скама заключается в том, что инсайдеры проекта держат большую долю от общего предложения и продают ее, как только цена токена растет, обрушивая рынок для остальных.
Ищите публичную информацию о разбивке распределения токенов. Сколько у команды? Есть ли графики вестинга или периоды локинга, которые не позволяют продавать сразу? Токен был распределен через справедливый публичный процесс или через эксклюзивную pre-sale-сделку?
Высококонцентрированное предложение не гарантирует мошенничество, но создает условия, при которых небольшая группа может существенно влиять на цену. Если информацию о распределении найти трудно или она намеренно неясна, относитесь к этому как к предупреждающему признаку.
Сигналы о скаме с «выходом» (Exit Scam)
«Раг-пул» происходит, когда разработчики проекта внезапно выводят средства или убирают ликвидность, оставляя держателей токенов без возможности продать. Это один из самых распространенных типов мошенничества в DeFi.
Многие новые токены запускаются на автоматизированных маркет-мейкерах (AMM) с использованием пулов ликвидности. Если команда предоставляет большую часть ликвидности для своего же токена, она может убрать ее в любой момент, фактически уничтожив рынок. Платформы, которые проверяют «локи» ликвидности, то есть ситуации, когда ликвидность нельзя вывести в течение заданного периода, дают один дополнительный уровень защиты.
В настройках yield farming мошенники иногда просят пользователей внести средства в контракты, прежде чем «слить» их оттуда. Необычно высокие заявленные доходности, давление действовать быстро и контракты без аудитов — частые признаки такого рода схем.
Фишинг и скамы с одобрениями (Approval Scams)
Помимо прямого мошенничества со стороны команд проектов, отдельных пользователей часто атакуют фишингом. Обычно это поддельные сайты или аккаунты в соцсетях, которые выдают себя за легитимные проекты DeFi и предназначены для кражи данных кошелька или для того, чтобы заставить пользователей подписать вредоносные транзакции.
Более адресная версия этого — фейковый «скам с одобрением» (fake approval scam). Когда вы взаимодействуете с DeFi-протоколом, ваш кошелек может попросить одобрить контракт на расход ваших токенов. Злоумышленнические контракты могут запросить неограниченное одобрение, предоставляя им доступ ко всем токенам данного типа в вашем кошельке. Всегда внимательно проверяйте запросы на одобрение и рассмотрите использование инструментов, позволяющих отзывать одобрения у контрактов, которыми вы больше не пользуетесь.
Отравление адресов (address poisoning) — еще одна тактика, получившая значительное внимание начиная с конца 2022 года. Атакующие отправляют небольшие транзакции с адреса кошелька, который очень похож на тот, с которым вы ранее уже взаимодействовали. Если вы скопируете недавний адрес из истории транзакций, не проверив внимательно, вы можете случайно отправить средства атакующему. Всегда проверяйте адрес посимвольно перед отправкой.
Флэш-кредиты и манипуляции с оракулами
Некоторые атаки нацелены не на отдельных пользователей, а на базовые механизмы DeFi-протоколов. Атаки через флэш-кредит предполагают заимствование больших объемов активов в рамках одной транзакции, использование их для манипуляции рыночными ценами или состоянием протокола и возврат кредита до закрытия блока. Атакующий может получить прибыль, пока протокол или его пользователи несут убытки.
Манипуляции с оракулами связаны с этим. DeFi-протоколы часто полагаются на ценовые оракулы для определения стоимости активов. Если атакующему удастся подправить канал с ценовыми данными, он может попытаться использовать уязвимости в кредитных или деривативных протоколах. Проекты, которые используют несколько независимых оракулов или усредненные по времени ценовые данные, обычно более устойчивы к этому типу атаки.
Эти типы атак особенно актуальны при оценке того, стоит ли использовать конкретный протокол, а не при решении, является ли проект откровенным скамом. Протокол, который в документации не рассматривает известные векторы атак, может быть менее безопасным.
Часто задаваемые вопросы (FAQ)
Какие DeFi-скамы встречаются чаще всего?
«Раг-пулы», скамы с «выходом», фишинговые атаки, фейковые запросы на одобрение токенов и отравление адресов — одни из самых распространенных типов. Некоторые атакующие также используют уязвимости смарт-контрактов или манипулируют ценовыми оракулами, чтобы вывести средства из протокола.
Как проверить, был ли аудит у DeFi-проекта?
Большинство легитимных проектов размещают отчеты об аудите на своем официальном сайте или в документации. Также можно проверить напрямую на сайтах крупных аудиторских компаний. Если отчет об аудите недоступен или его невозможно верифицировать, считайте это фактором риска.
Безопасно ли использовать DeFi-протокол с анонимной командой?
Анонимные команды автоматически не означают скам. Однако это снижает подотчетность. Ищите другие сигналы доверия — например, историю аудитов, открытый исходный код, периоды локинга токенов команды, а также активный послужной список в сообществе. Оценивайте все эти факторы вместе, а не полагайтесь на какой-то один.
Что мне стоит проверить перед тем, как одобрять расход токена в моем кошельке?
Сверьте адрес контракта с официальной документацией проекта перед одобрением. Будьте осторожны с запросами на неограниченное одобрение — они дают контракту право тратить все токены данного типа. Отзывайте одобрения у контрактов, которыми вы больше не пользуетесь: «спящие» одобрения могут быть использованы, если позже контракт будет скомпрометирован.
Могу ли я вернуть средства, потерянные из-за DeFi-скама?
В большинстве случаев — нет. Транзакции в блокчейне необратимы. Средства, отправленные на скам-контракт или на неверный адрес, обычно нельзя вернуть. Некоторые проекты добровольно вернули похищенные средства, а правоохранительные органы в некоторых громких случаях успешно отслеживали и конфисковывали активы, но это скорее исключения, чем норма.
Итоговые мысли
DeFi-скамы используют ту же открытость, которая делает децентрализованные финансы ценными. Отсутствие посредников означает, что если что-то пошло не так, нет инстанции, куда можно обратиться. Развитие устойчивой привычки проверять сигналы, описанные в этой статье — от аудитов и прозрачности команды до распределения токенов и запросов на одобрение, — может снизить вашу подверженность самым распространенным видам мошенничества.
Ни одна проверка не является достаточной сама по себе, и даже тщательное исследование не может полностью устранить все риски. Рынок DeFi продолжает развиваться, и тактики скамеров тоже развиваются вместе с ним. Оставаться в курсе и подходить к новым проектам критично — один из самых практичных способов защиты.
Дополнительное чтение
5 распространенных криптовалютных скамов и как их избежать
Что такое скамы с эирдропами и как их избежать?
Как анализировать DeFi-проекты
Что такое скамы с мультиподписями (multisig) и как их избежать?
Распространенные скамы с Bitcoin и как их избежать
Отказ от ответственности: Этот материал предоставляется вам «как есть» только в целях общей информации и обучения. Он не является каким-либо заявлением или гарантией любого рода. Его нельзя рассматривать как финансовую, юридическую или иную профессиональную консультацию, и он не предназначен для рекомендации покупки какого-либо конкретного продукта или услуги. Вам следует обратиться за собственными советами к соответствующим профессиональным консультантам. Если материал подготовлен сторонним автором, обратите внимание, что высказанные там взгляды принадлежат стороннему автору и не обязательно отражают позицию Binance Academy. Цены на цифровые активы могут быть волатильными. Стоимость ваших инвестиций может снижаться или расти, и вы можете не получить обратно сумму, которую вложили. Вы полностью отвечаете за свои инвестиционные решения, а Binance Academy не несет ответственности за любые убытки, которые вы можете понести. Для получения дополнительной информации ознакомьтесь с нашими Условиями использования, Предупреждением о рисках и Условиями Binance Academy.
