При работе в сфере децентрализованных финансов важнейшим аспектом управления капиталом является умение определять и использовать надежные инструменты и протоколы в своих стратегиях.
Первый приоритет любого инвестора — сохранить капитал.
Сначала важно убедиться, что капитал находится в надежной среде, и только потом думать о доходности и стратегиях его роста.
Но в этом и заключается проблема. Огромное число DeFi-инвесторов будто забывают даже о самых базовых правилах инвестиций, как только их деньги попадают в цифровой мир.
Именно поэтому сегодня мы с вами разберем, как обезопасить свой капитал, работая в DeFi, на какие критерии обращать внимание при выборе протоколов для ваших стратегий и самое главное — как научиться делать это быстро и системно.
Основы безопасности в криптовалюте
Перед тем, как перейти к более продвинутому алгоритму отбора DeFi-протоколов и разбору каждого критерия, важно понять простую истину и закрыть базовые правила безопасности при работе с криптовалютой.
Дело в том, что в реальности большинство людей теряет свои средства не из-за взлома смарт-контракта или соскамившегося протокола, а банально из-за собственной глупости, неумения пользоваться кошельком и недостатка цифровой гигиены.
Что я имею в виду?
Вы удивитесь, сколько людей до сих пор отправляют активы на «волшебные» кошельки от Илона Маска в ожидании получить обратно в два раза больше монет.
Люди до сих пор разбрасываются сид-фразой в сети, используют крипто-кошельки на зараженных вирусами компьютерах и подписывают скам-транзакции на сайтах с поддельным доменом, типа unisvap.org.
Многие пользователи теряют свои средства еще до этапа внесения их в какой-либо протокол.
И пока вы не начнете ответственно распоряжаться собственными деньгами, говорить о безопасности протоколов в DeFi не будет иметь никакого смысла.
Это как объяснять трехлетнему ребенку, который ест мыло или песок на детской площадке, что нельзя пить много сладких газированных напитков из-за высокого содержания сахара, негативного влияния на уровень инсулина в крови и повышенный риск диабета.
Пока рановато.
Поэтому разберем базовые принципы безопасной работы с криптовалютой.
Сид-фраза, цифровая гигиена и невнимательность
Сид-фраза — это единственный способ получить доступ к вашим приватным ключам и вашим активам.
Никогда и никому не сообщайте ее, не храните ее фотографии в облаке или на своем телефоне, не вводите ее на непонятных сайтах и в подозрительных ноунейм-кошельках.
Также я не рекомендую использовать кастодиальные кошельки и централизованные биржи (CEX) как основной способ хранить активы.
Так как средства, хранящиеся на бирже в вашим аккаунте, на самом деле не находятся под вашим контролем. Если биржа решит, что вы недобросовестный пользователь по той или иной причине, то она может заморозить ваши активы или заблокировать ваш аккаунт.
Если вы хотите полную свободу и полный контроль над своими деньгами — всегда используйте некастодиальные кошельки, которые лишь предоставляют вам удобный интерфейс для взаимодействия с приватными ключами, вашими адресами и активами.
Популярные и проверенные крипто-кошельки:
— Metamask
— Phantom
Также всегда проверяйте домены инструментов, на которых собираетесь привязывать свой кошелек и подписывать транзакции. Часто можно потерять деньги банально по невнимательности подписав фишинговую транзакцию, на сайте, вроде aawe.com или unisvap.org и т.д.
Ну и не имеет смысла подробно останавливаться на таких скам-темах, как «волшебные кошельки» и почему если скинуть 1 BTC на такой-то адрес, то обратно вам не вернется 2.
Кроме того, обязательно имейте в виду, в какой среде вы работаете со своими активами.
Вы можете быть очень аккуратны с сид-фразой, использовать надежный, некастодиальный кошелек и всегда проверять домен сайта, на котором находитесь, но при этом потерять контроль над своими средствами из-за того, что ваша операционная система заражена вредоносным ПО.
Убедитесь, что для работы с криптовалютой и DeFi вы используете чистый компьютер, на котором не заходите на сайты 18+ и не скачиваете оперативную память без смс и регистрации по первой ссылке в гугле.
Я понимаю, что для многих это кажется излишним, ведь «и так очевидно».
Но поверьте мне — осторожность и базовые правила безопасности и гигиены в сети еще не навредили ни одному инвестору, но при этом вероятно спасли тысячи состояний, которые могли бы быть потеряны из-за глупейших и простейших на первый взгляд ошибок.
Надежность протоколов в DeFi
Теперь перейдем непосредственно к основным критериям выбора надежного протокола в DeFi.
Фактически можно выделить пять основных:
1. Наличие аудитов
2. Активные кампании Bug-bounty
3. Высокий TVL на долгой дистанции
4. Время существования протокола
5. История взломов
Разберем каждый по порядку.
Аудиты протоколов в DeFi
Аудит в DeFi — это независимая проверка смарт-контрактов протокола на наличие уязвимостей и ошибок в коде.
Независимая она потому, что проводится сторонними специалистами, которые не имеют никакого отношения к команде разработчиков проекта.
Результатом аудита обычно является публичный отчет, в котором описываются проверяемые смарт-контракты, найденные уязвимости, их уровень критичности и рекомендации по их устранению.
Такие отчеты почти всегда публикуются в открытом доступе.
Чаще всего их можно найти на официальном сайте протокола, в документации проекта, в GitHub-репозитории или на сайте аудиторской компании, проводившей проверку.
Если протокол заявляет о наличии аудита, но при этом не предоставляет прямую ссылку на отчет — это повод насторожиться.
При этом аудиты не проводятся один раз и навсегда.
Как правило, протоколы проходят аудит перед запуском, а затем повторяют его после крупных обновлений, изменений логики или добавления новых контрактов.
В наиболее надежных протоколах можно увидеть несколько аудитов, проведенных в разное время и разными компаниями.
Это нормальная практика и хороший сигнал для инвестора.
Тем не менее важно понимать, что даже наличие множества регулярных аудитов от разных компаний не означает гарантию безопасности протокола.
Это снижает вероятность критических уязвимостей, но не исключает их полностью.
Ни один аудит не способен предусмотреть все возможные сценарии атак, тем более если речь идет о сложных протоколах с большим количеством взаимодействий.
Кроме того, аудит всегда отражает состояние кода за определенный промежуток времени: если после него были внесены какие-то изменения, то риски возрастают.
Тем не менее, если у проекта проводятся регулярные аудиты, разными компаниями и публикуются отчеты в открытом доступе — то это зеленый флаг.
На практике проверить наличие аудитов у протокола довольно просто.
В большинстве случаев ссылки на аудиты размещаются напрямую на официальном сайте протокола или в его документации.
Например, у Uniswap и Aave отдельные страницы Security или Audits, где собраны все проведенные проверки с датами, названиями аудиторских компаний и ссылками на отчеты.
Также аудиты почти всегда дублируются в GitHub-репозиториях проекта. Там можно найти PDF-отчеты, pull request’ы с исправлениями и увидеть, какие именно уязвимости были закрыты после аудита.
Активные программы Bug-bounty
Следующий важный критерий — это bug-bounty.
Bug-bounty — это программа, в рамках которой DeFi-протокол платит обычным пользователям, энтузиастам и независимым исследователям за найденные уязвимости в своем коде и инфраструктуре.
И если аудит — это разовая проверка кода перед запуском или после обновления, то bug-bounty — это постоянный процесс, в котором любой внешний участник может искать ошибки в уже работающем протоколе.
По сути, bug-bounty дополняет аудиты: аудит снижает риск на старте или после крупных обновлений, а bug-bounty позволяет выявлять проблемы по мере развития протокола и поддерживать его безопасность.
Наличие активной bug-bounty говорит о том, что команда готова тратить деньги на поддержание безопасности своего протокола, а также воспринимает безопасность как процесс, а не как формальную галочку.
Хороший пример того, как выглядит серьезный подход к bug-bounty — Uniswap.
Активная программа bug-bounty от Uniswap на Cantina
У Uniswap уже долгое время действует открытая bug-bounty программа с максимальным вознаграждением $15.5 млн за найденные уязвимости.
Это одна из крупнейших bug-bounty программ во всей экосистеме DeFi.
Хоть эта программа и ориентирована только на пулы Uniswap V4 — она все равно показывает, что протокол осознанно подходит к безопасности и закладывает огромные бюджеты на поиск уязвимостей в коде своего протокола.
В большинстве случаев bug-bounty программы не размещаются где-то «внутри» самого протокола. Для этого существуют специализированные платформы, которые выступают посредником между командой проекта и внешними исследователями.
Проще всего проверить, есть ли у протокола активная bug-bounty программа, — посмотреть, размещен ли он на таких площадках, как:
— Immunefi
— Cantina
Именно там публикуется вся базовая информация: есть ли программа вообще, активна ли она сейчас, что именно входит в scope и на какие вознаграждения может рассчитывать пользователь.
Если протокол нигде не представлен и информации о bug-bounty нет даже в официальной документации — это не означает, что он сразу небезопасный.
Это означает, что проект заслуживает чуть более осторожного отношения и тщательного исследования перед внесением средств.
TVL на большой дистанции
Один из основных способов оценить безопасность и надежность протокола — является в то же время и одним из самых простых.
Иногда просто посмотреть на TVL (Total Value Locked — общая заблокированная стоимость) протокола на дистанции его существования — это один из самых эффективных способов «на глаз» быстро прикинуть, стоит ли этот проект вашего внимания.
TVL протокола AAVE за все время
Высокий TVL означает, что огромное количество людей и крупных инвесторов проанализировали риски и решили, что протоколу можно доверять.
Конечно же это не означает полную безопасность протокола. Многие сразу вспомнят знаменитую фразу, которой часто поучают детей: «А если твои друзья с крыши прыгнут, ты тоже это сделаешь?»
И доля правды в этом есть. Если люди сломя голову побежали вливать свои средства в какой-то протокол — это далеко не всегда причина хорошо взвешенных рисков и надежности.
Очень часто заманивают просто высокой доходностью, incentive-наградами и т.д.
Люди просто видят где-нибудь в твиттере, что какой-то «кит» туда зашел и летят сломя голову за сладкими цифрами доходности.
Именно поэтому на показатель TVL стоит смотреть только как один из критериев, а также обязательно на дистанции.
Если проект существует уже давно и на протяжении нескольких лет его TVL продолжает медленно расти — то это хороший здоровый показатель.
Кроме того, TVL напрямую влияет на то, как работают некоторые протоколы. В пулах ликвидности с низким TVL на децентрализованных биржах риски возрастают, так как одна крупная сделка может существенно повлиять на их состояние.
Высокий TVL, напротив, делает пулы более устойчивыми и обеспечивает стабильность обменов и выплат.
Время существования протокола и история взломов
Эти два критерия как вишенка на торте идеально дополняют наш «алгоритм» проверки протокола на надежность.
Именно на этом этапе становится очевидно, что надежность протокола лучше всего оценивать не по одному признаку, а по совокупности всех критериев.
Означает ли, что протокол безопасен, если у него есть регулярные аудиты? Нет.
Означает ли, что он безопасен, если есть активная программа bug-bounty с высокими выплатами? Тоже нет.
Может, если у проекта высокий TVL — то ему сразу можно доверить все свои средства? Пожалуй и тут нет.
Но вот если:
1. Проект существует долгое время
2. Прежде никогда не взламывался и не имел эксплоитов
3. Также все эти годы поддерживал высокий и даже растущий TVL
4. При этом проводит регулярные аудиты после каждого крупного обновления
5. Имеет одну или несколько активных Bug-Bounty
Это уже признак пуленепробиваемого кода и крайне высокой надежности протокола.
Вот список протоколов, которые идеально подходят под это описание:
Означает ли все это вместе, что протокол 100% невозможно взломать и что ваши средства в нем гарантировано в безопасности?
Конечно нет. Но на практике вероятность подобных событий становится крайне низкой.
И тут важно понимать, что любой смарт-контракт может быть взломан. Даже если он простой, даже если его проверяли множество раз, даже если он бесперебойно работал долгие годы.
Вероятность стремится к нулю, то никогда не равна ему.
Реальная опасность в крипте
Ну и возвращаясь в реальный мир стоит всегда помнить простую правду.
Если вы и потеряете деньги в криптовалюте или DeFi — то с наибольшей вероятностью это случится не из-за взлома протокола, а из-за невнимательности или опрометчивых действий.
Или что еще чаще происходит — медленная потеря средств из-за отсутствия навыков и знаний работы в сфере цифровых финансов и отсутствия глобального плана и прописанной системы.
Большинство людей теряют деньги не сразу. Да, некоторые светят сид-фразой где не нужно, кто-то заходит на сайты с поддельным доменом и теряет все сразу — мы это уже проходили.
Но чаще всего люди на криптовалютном рынке теряют деньги именно медленно. Иногда даже через год, два или три стабильной прибыли.
Теряют тогда, когда кончается бычий рынок и начинается проверка на стойкость, наличие четкого плана действий и прописанной системы управления капиталом.
И если этого нет — вы окажетесь среди тех, кто либо ошибается в расчетах и его ликвидирует, либо среди тех, кто в панике по собственной воле выходит и фиксирует убыток.
Эти циклы повторяются постоянно и из раза в раз показывают одно и то же. Люди, которые пришли сюда за легкими деньгами, не имея терпения и не желающие учиться из-за своего эго — теряют деньги.
Люди с прописанной системой, планом действий и четкими стратегиями — спокойно пересиживают затяжные коррекции, продолжая стабильно увеличивать количество твердых активов у себя в портфеле.