Как не потерять крипту: 10 правил безопасности в DeFi

За 3 года в DeFi украли и потеряли больше $15 млрд. Большая часть — из-за элементарных ошибок, которых можно избежать. В этой статье — 10 правил, которые помогут защитить твою крипту от хакеров, скамеров и собственной невнимательности. Каждое правило проверено на практике и стоит реальных денег.

1. Используй только проверенные протоколыНовый протокол с APY 300%? Скорее всего, ловушка. Злоумышленники запускают форки популярных протоколов с backdoor в коде.

Как проверять:

• Аудит от известных компаний (ConsenSys, Trail of Bits, OpenZeppelin)- TVL больше $50 млн и возраст протокола 6+ месяцев- Репутация команды — есть LinkedIn, Twitter, участие в конференцияхБезопасные варианты: Uniswap, AAVE, Compound, Curve, Yearn. У них миллиарды под управлением и годы работы без взломов.

2. Никогда не давай unlimited approveКогда протокол просит разрешение тратить твои токены, по умолчанию стоит «unlimited». Это значит, что протокол сможет забрать ВСЕ токены этого типа с твоего кошелька.

Правильный подход:

• Выставляй точную сумму для транзакции- Проверяй активные approvals через revoke.cash или etherscan.io- Отзывай разрешения после завершения операцийДополнительная комиссия в $2-3 за отдельные approvals дешевле потери всего баланса.

3. Проверяй адреса контрактов дваждыСкамеры создают поддельные сайты с адресами, отличающимися на 1-2 символа. Один неправильный клик — и деньги ушли в никуда.

Система проверок:

• Добавляй официальные адреса в закладки сразу- Сверяй адрес с официальной документацией протокола- Используй только ссылки с официальных Twitter-аккаунтов- Проверяй URL — никаких app.uniswep.org вместо app.uniswap.orgЛайфхак: создай отдельную папку закладок «DeFi Official» и заходи только через неё.

4. Храни seed phrase правильноПотеря seed phrase = потеря всех денег навсегда. Восстановить нельзя.

Правила хранения:

• Никогда не сохраняй в телефоне, компьютере или облаке- Пиши ручкой на бумаге, желательно в 2-3 экземплярах- Храни в разных местах (дом, сейф, банковская ячейка)- Проверяй возможность восстановления раз в полгодаМеталлические пластины для seed phrase стоят $20-30 и переживут пожар или наводнение.

5. Используй hardware кошелёк для крупных суммMetaMask на компьютере безопасен для DeFi-операций, но не для хранения. Если на кошельке больше $5000 — нужен Ledger или Trezor.

Схема безопасности:

• Hardware кошелёк — основное хранилище (90% средств)- Hot wallet — для ежедневных операций (10% или $1000 максимум)- Переводы между ними по мере необходимостиДа, каждая транзакция требует подтверждения на устройстве. Зато хакеры не смогут украсть деньги удалённо.

6. Проверяй токены перед покупкойКаждый день появляются сотни новых токенов. Большинство — мусор или откровенный скам.

Обязательные проверки:

• Ликвидность больше $100k и распределена между многими держателями- Исходный код контракта опубликован и проверен- Есть whitepaper, roadmap, активное сообщество- Команда не анонимна или имеет репутацию в крипто-индустрииИспользуй dextools.io или coingecko.com для быстрой проверки основных метрик.

7. Не инвестируй всё в один протоколДаже надёжные протоколы взламывают. В 2022 году пострадали Curve, Wormhole, Ronin. Диверсификация снижает риски.

Правило 5-5-5:

• Не больше 50% в одном протоколе- Не больше 5% в экспериментальных проектах- Минимум 5 разных протоколов в портфелеЛучше получить 8% APY от надёжного портфеля, чем потерять всё ради 25% от сомнительного протокола.

8. Следи за новостями протоколовУязвимости находят постоянно. Кто узнал первым — успел вывести средства. Кто проспал — потерял деньги.

Источники мониторинга:

• Twitter-аккаунты протоколов (@Uniswap, @AaveAave)- Telegram-каналы DeFi Pulse, Rekt News- Discord-серверы протоколов- Уведомления от DeFi LlamaКритические обновления протоколы публикуют в первую очередь в Twitter. Подпишись на уведомления.

9. Начинай с малых суммНовый протокол, новая стратегия, новый токен — всегда начинай с test-транзакций.

Схема тестирования:

• $10-50 на первую транзакцию- Проверь, что всё работает как ожидалось- Попробуй вывести средства- Только потом увеличивай суммыПотратить $3 на газ для теста дешевле, чем потерять $3000 из-за ошибки или бага.

10. Изучай базовые принципы DeFiПонимание того, как работают AMM, lending, yield farming, спасёт тебя от глупых ошибок и поможет распознать скам.

Обязательный минимум:

• Как работают автоматические маркет-мейкеры (AMM)- Что такое impermanent loss и когда он возникает- Разница между APR и APY- Принципы работы oracle и их уязвимостиПотрать неделю на изучение основ — это сэкономит месяцы на исправлении ошибок.

Почему эти правила работаютКаждое правило основано на реальных кейсах потерь в DeFi:

Статистика атак 2023 года:

• 35% потерь — через поддельные сайты и фишинг- 25% — взломы новых протоколов- 20% — exploit в oracle и flash-loan атаки- 20% — ошибки пользователей (неправильные адреса, unlimited approvals)Следуя этим правилам, ты закрываешь 80% векторов атак.