Полная инструкция по проверке DeFi-платформы на безопасность.

Философия подхода:
DeFi - это Дикий Запад, где каждый сам себе шериф. Не верь красивой
картинке, обещаниям «луны» и роликам в TikTok. Твоя задача -
стать детективом. Ищи следы существования проекта на независимых
ресурсах и в блокчейне.

Важное разделение: Мы проверяем две сущности:

1. Сам протокол (инфраструктура): Это код, интерфейс, команда, безопасность. Он может существовать и без токена.
2. Токен (если есть): Это спекулятивный актив. Его проверка - отдельный уровень, который нужен только если ты планируешь его покупать.

ЧАСТЬ 1. БАЗОВАЯ ПРОВЕРКА (Для ЛЮБОГО проекта: и с токеном, и без)

Эти шаги нужно сделать в первую очередь, чтобы понять, не мошенники ли вообще перед тобой.

1️⃣ Официальный сайт и цифровой след.

Заходим на сайт проекта. Первое, что нужно проверить - его историю и стабильность.

• WHOIS-проверка: Используй сайты типа whois.com, чтобы узнать дату регистрации домена.
  🟢 Хорошо: Домену больше года, регистрация продлена на длительный срок.
  🔴 Тревога: Домену несколько дней или недель. Это главный красный флаг для проектов с агрессивной рекламой.
• История изменений (Wayback Machine): Вставь URL проекта в Archive.org.
  Посмотри, как выглядел сайт раньше. Если 3 месяца назад там был сайт
  казино, а сейчас «инновационный DeFi-протокол» - это скам. Если дизайн
  был примитивным и вдруг стал «дорогим» за неделю - возможно, готовится
  хайп и скам.
• SSL-сертификат: Проверь, есть ли значок замка в адресной строке (HTTPS). Его отсутствие - моветон для финансового сервиса.
• Язык и качество: Опечатки, кривой перевод, размытый логотип - признаки поспешной сборки скам-сайта.

2️⃣ Социальные сети и репутация.

Переходим по ссылкам на соцсети с сайта (и только с сайта, чтобы не попасть на фишинговые клоны).

• Аккаунты: Ищи аккаунты в Twitter/X, Telegram, Discord, Medium. Для протокола без токена Discord/Telegram нужны для техподдержки и обсуждения обновлений.
• Дата создания: Твиттер-аккаунт создан вчера, а проект уже раздает гранты? Нелогично.
• Взаимодействие: Есть ли живые комментарии под постами? Или только лайки ботов (пустые аккаунты)?
• Модерация в Telegram:
  Зайди в чат. Включена ли капча? Отвечают ли админы на вопросы по делу,
  или там только спам «когда листинг»? Отсутствие модерации = чат для
  "разогрева" жертв.

3️⃣ Проверка через агрегаторы и рейтинги (Критический шаг!).

Если проекта нет на этих площадках, скорее всего, его не существует для серьезной публики. Это как ресторан без адреса на карте.

• DeFi Llama (Обязательно): Главный агрегатор DeFi.
  Найди проект в поиске. Посмотри на TVL (Total Value Locked) - сколько денег заблокировано в протоколе.
  🟢 $100 млн+ и стабильная динамика = институциональное доверие.
  🔴 TVL = $5 000 или отсутствие в базе = "подозрительно". Важно:
  TVL может быть нулевым у нового, но честного проекта. Отсутствие в базе
  DeFi Llama означает, что проект даже не пытался заявить о себе.

4️⃣ GitHub и Команда

• Код: Есть ли у проекта открытый репозиторий на GitHub? Активен ли он? Когда был последний коммит (обновление кода)? Если код обновлялся 2 года назад, а проект новый - странно.
• Команда:
  Полная анонимность - это не всегда скам (вспомним Сатоши), но для
  DeFi-проекта с миллионами долларов это минус. Ищи профили команды в LinkedIn (если указаны имена). Совпадает ли опыт с заявленным?

ЧАСТЬ 2. УГЛУБЛЕННАЯ ПРОВЕРКА ПРОТОКОЛА (Техническая часть)

Этот раздел для тех, кто собирается пользоваться протоколом (давать взаймы, обменивать, стейкать), даже если у него нет токена.

5️⃣ Аудит безопасности (Не просто "есть", а "кто сделал")

Настоящие проекты публикуют отчеты по аудиту. Это паспорт и техосмотр проекта.

• Кто проводил? Ищи названия: CertiK, Trail of Bits, OpenZeppelin, Hacken, Quantstamp. Это топ-уровень. Если аудитор неизвестный или логотип нарисован в Paint - это фейк.
• Фейковый аудит: Мошенники воруют логотипы и верстку известных компаний. Обязательно перепроверь: Найди сайт аудиторской компании (через Google, а не по ссылке с сайта проекта) и посмотри, есть ли этот отчет в их библиотеке.
• Бесплатный аудит: Сейчас много сайтов, предлагающих «мгновенный аудит». Если проект ссылается на такой - это 100% обман.
• Баг-баунти (Bug Bounty): Наличие активной программы баг-баунти на платформе вроде Immunefi - жирный плюс. Это значит, что проект платит хакерам за найденные дыры, а не надеется на авось.
• Отсутствие аудита:
  🟡 Если это совсем новый, маленький, но честный проект - отсутствие
  аудита не приговор, но огромный риск. Ты становишься тестером.

6️⃣ Глубокий анализ смарт-контракта (Etherscan/BscScan) - ЕСЛИ он есть.

Даже если у проекта нет токена, у него есть контракты (логика работы). Найди
адреса этих контрактов на официальном сайте (обычно в разделе "Docs"
или "Audit").

• Верификация кода:
  🟢 Есть зеленая галочка "Contract" и открытый код - его можно проверить.
  🔴 Нет верификации - программисты намеренно скрывают логику. Стоп-сигнал. Не пользуйся.
• Права доступа (Ownership): Во вкладке Contract -> Read Contract найди функцию owner(). Кому принадлежит контракт?
  🔴 Если есть функция типа withdraw() с правом вызова только у owner - разработчик может в любой момент вывести все деньги из протокола (Rug Pull).
• Прокси-контракты (Upgradeable): Если в коде есть слова proxy, implementation, delegatecall - контракт можно обновлять.
  Найди, кто управляет логикой обновления (админский адрес). Если это один
  человек - он может подменить код на мошеннический в любой момент.
  Безопасно, когда обновление контролирует мультисиг-кошелек (требуется несколько подписей) или DAO.

ЧАСТЬ 3. ПРОВЕРКА ТОКЕНА (Если он есть и ты хочешь его купить).

Этот раздел включается в работу только если у проекта есть токен, и ты рассматриваешь его как инвестицию. Если ты просто пользуешься протоколом (например, даешь в долг под проценты в USDC), токен тебя может не интересовать.

7️⃣ Ликвидность и Токеномика

Зайди на DeFi-биржу (например, Uniswap или PancakeSwap), где торгуется токен, или используй аналитические инструменты.

• Аналитические инструменты (Обязательно): DEXTools и DexScreener - твои лучшие друзья. Вставь адрес контракта туда.
  Пулы ликвидности: Посмотри на пул токен/стейблкоин (USDT/USDC). Если ликвидность мизерная ($10 000), даже небольшая продажа обрушит цену.
  Объемы: Не накручены ли объемы ботами (мелкие одинаковые транзакции туда-сюда)?
  Блокировка ликвидности (LP Lock): Заблокирована ли ликвидность команды? Это можно проверить на сайтах вроде UNCX Network, Team.Finance, RugDoc. На какой срок заблокирована? Заблокирована на месяц? Это почти как не заблокирована. Идеально - блокировка на год и более или вечная.
  🔴 Если ликвидность не заблокирована - команда может забрать все деньги в любой момент (Rug Pull).
  История пула:
  Как пополнялся пул ликвидности? Если одним траншем с кошелька команды-
  норма. Если постоянно доливается мелкими суммами - возможно, пытаются
  создать видимость активности.

8️⃣ Анализ контракта токена (Дополнительные проверки)

• Анализ топ-холдеров (Token -> Holders на сканере или DEXTools):
  Посмотри на распределение токенов. Если на одном кошельке (кроме пула ликвидности) сосредоточено 40-50% и более - это гигантский красный флаг. Это команда или один кит, который может обрушить рынок в любой момент.
• Honeypot (ловушка): Это функция, которая позволяет только покупать токен, но не продавать его. Проверь на специализированных сайтах: honeypot.is или в DEXTools (есть функция "Honey Pot Check").
• Блокировка (Blacklist): В коде (или в Read Contract) поищи функции вроде addBlacklist(), excludeFromRewards(), isBlacklisted(). Если разработчик может занести твой кошелек в черный список - он может заблокировать продажу твоих токенов.
• Мятные функции (Mint): Проверь, есть ли у кого-то возможность выпускать новые токены бесконечно (mint() функция). Это убивает ценность монеты.
• Налоги: Есть ли комиссия при покупке/продаже? Это нормально для многих токенов, но должно быть честно объявлено.

ЧАСТЬ 4. ЖИВОЕ СООБЩЕСТВО И МАРКЕТИНГ.

Это применимо и к протоколам, и к токенам.

9️⃣ Репутация и оффер

• Reddit и Twitter: Используй поиск. Напиши в Твиттере запрос: "Название проекта" + scam или "Название проекта" + rug. Если люди уже горели, ты увидишь.
• Агрессия в рекламе: Флагманский признак скама — спам в личные сообщения и обещания "гарантированного дохода 2% в день", "пассивный доход без риска". Если это главный посыл, а не технология - беги. Реальные протоколы имеют волатильную доходность.
• Маркетинг: Реклама в TikTok/Instagram с молодой девушкой/парнем, который «случайно разбогател»? 99% скам.

📝 Итоговый чек-лист детектива:

Если проверяешь ПРОТОКОЛ (хочешь пользоваться):

1. Проверил домен - не вчерашний ли?
2. Нашел проект на DeFi Llama - там есть TVL (или хотя бы запись).
3. Прочитал аудит от топ-компании и перепроверил его.
4. Залил адрес контракта в сканер - код открыт, нет опасных функций у админа (типа withdrawAll).
5. Понял, кто в команде (или есть внятная причина анонимности).
6. Поискал жалобы в Twitter/Reddit.

Если проверяешь ТОКЕН (хочешь купить):

1. Выполнил все пункты проверки ПРОТОКОЛА (если токен является его частью).
2. Проверил ликвидность на DEXTools/DexScreener - она заблокирована (на год+), пул достаточный.
3. Проверил топ-холдеров - у команды не больше 10%, нет одного кошелька с 50%.
4. Проверил контракт на Honeypot, Blacklist и Mint функции.
5. Проект не обещает «золотые горы» и не спамит в личку.

Золотое правило DeFi: Если ты не понимаешь, как проект зарабатывает деньги для тебя - скорее всего, он зарабатывает деньги на тебе. Сохраняй капитал, а не гонись за призрачным поездом.

✅ В телеграм канале ты найдёшь промпт для чата GPT чтобы он делал такие разборы за тебя.

Вот такой результат можно получить за пару минут:

Пример проверки протокола AAVE