«Аудитована» доходна ферма, якої не було
Листопад 2024. Холдер з Запоріжжя знаходить «OmegaYield» — DeFi-протокол на новій L2. Сайт зі значками аудиту Certik і PeckShield. TVL-лічильник показує 48М USD. APY на USDC — 38 %. Він депонує 22 000 USD. Через три тижні адмін публікує Twitter-тред, звинувачуючи «експлойт смарт-контракту» і призупиняючи виведення. TVL за ніч падає до нуля. Значки аудиту виявилися скриншотами — не реальними аудитами.
Механіка soft-rug pull
Протокол запускається, привертає депозити високим APY (платиться з казни, не з реальної доходності), створює видимість легітимності фейковими значками аудиту і купленим TVL (оператор депонує власні кошти, щоб накачати число). Після 4–8 тижнів привернення реальних депозитів оператор зливає казну, звинувачує «хак» і зникає.
П'ять перевірок перед будь-яким DeFi-депозитом
- Аудитор має протокол у списку на своєму сайті. Відкрийте сайт Certik напряму і знайдіть ім'я протоколу. Якщо його там немає — значок на сайті протоколу це скриншот.
- Протокол працює мінімум шість місяців. Нові протоколи несуть максимальний soft-rug-ризик. Шість місяців публічної роботи зі стабільним (не параболічним) зростанням TVL — мінімальний фільтр.
- Команда задокcена або має довгий псевдонімний track record. Анонімні команди без історії нічого не втрачають. Доxxені команди (реальні імена, LinkedIn) ризикують кар'єрою.
- APY платиться в депонованому активі, не у власному токені. «38 % APY у USDC» має бути 38 % USDC. Якщо половина платиться в OMEGA-токені по 0,40 USD — реальна доходність це те, що вторинний ринок витримає після розблокування.
- TVL є на DefiLlama. Реальні протоколи відстежуються DefiLlama і Token Terminal. Якщо TVL видно лише на сайті самого протоколу — число неверифіковане і скоріше за все фейк.
Правило бюджету ризику
Я обмежую будь-який новий DeFi-депозит до 2 % від загального стеку. Якщо протокол проходить всі п'ять фільтрів — може тримати 2 %. Якщо це третій-четвертий депозит у той самий протокол після шести місяців чистої роботи — можу підняти до 5 %. Не більше.