crypto-folio

Понятно, практично, по делу

Вопросы и ответы·13 июля 2026 г.·8 мин

Метод вопросы и ответы в Web3: ключевые детали анализа

Лист вопросов к проекту, который обещает сделать из новичка крипто-аналитика за вечер, — самый востребованный товар в крипто-Telegram последних сезонов.

Метод вопросы и ответы в Web3: ключевые детали анализа

Аудит смарт-контрактов: почему сертификат — не бронежилет

Первая реакция любого новичка на слово «аудит» — выдох облегчения: раз отчёт есть, значит, всё безопасно. Так рассуждает человек, который никогда не читал ни одного аудита в жизни. Именно на таких людей рассчитаны зелёные плашки «Audited by CertiK» на лендинге очередного «революционного» протокола.

Аудит — это зафиксированный на бумаге взгляд конкретной команды на конкретную версию кода в конкретный момент времени. Не больше. У него есть как минимум три параметра, на которые смотрят серьёзно, и ни один из них не превращает аудит в гарантию.

Возраст отчёта. Код, проаудированный в январе, к запуску в мае мог обрасти новыми контрактами, интеграциями и форками. Если публичный отчёт датирован позапрошлым кварталом, а проект уже выкатил новые пулы, — вы смотрите на страховку от старого автомобиля.

Scope — что именно проверяли. Добросовестные аудиторы открыто пишут, какие контракты попали в скоуп, а какие остались за бортом. Многие проекты эту часть прячут, ограничиваясь строчкой «full audit completed». Уважаемая компания Hacken, например, разделяет отчёты по модулям; CertiK публикует PDF с перечислением всех файлов, попавших в проверку. Если этого перечня в публичном доступе нет — это само по себе ответ на ваш вопрос.

Что сделали с критическими находками. Самый важный раздел. У каждого серьёзного аудита есть список issues с рейтингом: critical, high, medium, low, informational. Critical — это когда взлом возможен прямо сейчас. Если в финальном отчёте такие находки остались со статусом «acknowledged» или «wontfix», а не «resolved» — проект сознательно отказался их закрывать. Это не формальность, это красный флаг размером с панамский канал.

Аудит — это справка от врача, а не прививка от смерти. Проект может похвастаться отчётом CertiK и при этом умереть от опечатки в одной строчке Solidity, которую никто не догадался проверить.

Отдельная категория — фермы, которые проходят по три-четыре аудита за полгода в разных конторах. Количество — не показатель. Показатель — динамика: фиксились ли замечания, появились ли новые контракты после последнего отчёта, и есть ли в открытом доступе финальная версия с пометками «resolved». Вопрос «сколько аудитов» — правильный, но ответ «четыре» без ссылок на PDF — это маркетинг, а не аналитика. Метод вопросы и ответы для блокчейн-проектов на этом этапе требует не пересказа лендинга, а трёх-четырёх конкретных документов на руках.

Анатомия токеномики: где прячутся vesting-ловушки

Токеномика — единственный раздел whitepaper, который инвестор читает последним и доверяет больше всего. Ирония в том, что именно там прячут основные грабли.

Базовая схема разблокировки знакома всем: команда получает долю с cliff-периодом (например, 12 месяцев без права продажи), затем — линейный vesting ещё на два-три года. Инвесторы ранних раундов получают токены со своим графиком, обычно более коротким. Сообщество — через эмиссию и эйрдропы. Эту часть опросника — «покажите распределение и график» — копируют из одного чек-листа в другой, и она действительно работает. Но дьявол, как обычно, в деталях.

Процент команды. В крипто-сообществе порог «20–30% команде» давно стал точкой отсчёта для дискуссий: выше — повод задавать вопросы, ниже — не гарантия безопасности, но хотя бы пространство для манёвра. Важно смотреть не только на долю, но и на механизм разблокировки. Если 25% токенов команды разблокируются в первый же день после TGE — это не vesting, это разовый дамп с задержкой.

Инсайдерские раунды. Pre-seed, strategic, private sale — за красивыми названиями скрываются кошельки фондов и ангелов, получивших токены по ценам в десятки раз ниже листинговой. Срок их vesting и объём — ключевой параметр. Когда эти кошельки начинают двигаться, объяснения «это просто перевод на CEX для ликвидности» работают до первого крупного слива.

Казначейство и эмиссия. Отдельный вопрос — кому принадлежит контракт эмиссии и есть ли у эмиссии потолок. Бесконечная инфляция под видом «стимулов сети» — классический приём, чтобы размыть долю держателя. Запрос «покажите max supply и расписание эмиссии» обязателен, а ответ «в whitepaper на странице 47» — повод открыть и прочитать именно страницу 47.

Vesting — это не моральное обязательство, а математика. Когда разблокировывается 8% обращения за месяц, никакой роадмап не спасёт цену — рынок переварит предложение быстрее, чем вы успеете прочитать алерт в Telegram.

Децентрализация управления: DAO как маркетинговая вывеска

Слово «DAO» в описании проекта давно перестало быть техническим термином и превратилось в декоративный элемент лендинга. Под ним может скрываться что угодно: от полноценного on-chain управления с тысячами голосующих до мультиподписи 3 из 7, где все ключи — у фаундеров.

Мультиподпись. Gnosis Safe и его аналоги — стандарт для казначейства проекта. Порог подписей и состав держателей ключей — публичная информация, если проект не поленился её раскрыть. Сценарий «5 из 9, ключи распределены между тремя командами и двумя фондами» выглядит прилично. Сценарий «3 из 5, все ключи у CEO, CTO и Chief Marketing Officer» — это не децентрализация, это корпоративный сейф с красивым лейблом.

Активность голосований. Настоящий показатель — не наличие DAO, а то, сколько предложений реально выносится на голосование и какая доля токенов в нём участвует. У большинства DeFi-протоколов средняя явка на управление — единицы процентов от предложения. Это означает, что решения принимает горстка крупных держателей, а вовсе не «сообщество», как утверждает питч-дек.

Контракты за пределами DAO. Критический вопрос, который в опросниках почти не встречается: есть ли у проекта контракты, которые DAO не контролирует в принципе? Список адресов, выведенных из-под управления, нужно выяснять отдельно — обычно это указано в документации или в разделе security на GitHub. Анализ криптовалют через вопросы и ответы обязан включать этот пункт: иначе вы покупаете красивую вывеску, а не управление.

TVL: большая цифра — это ещё не повод расслабляться

Total Value Locked — главный показатель ликвидности протокола и одновременно главная цифра, которую любят раздувать до космических масштабов. DefiLlama рисует графики, скриншоты улетают в твиты, нарратив «протокол с миллиардом в TVL — это серьёзно» работает безотказно. Работает — и при этом регулярно подводит.

Рекурсивное кредитование. Классическая схема: пользователь берёт актив в одном протоколе, кладёт в другой, берёт там кредит, снова кладёт в первый. Каждый шаг увеличивает TVL обоих протоколов на одну и ту же сумму. Реальных денег в системе может быть в пять раз меньше, чем показывает агрегатор.

Yield farming и стимулы. Когда протокол раздаёт токены за блокировку ликвидности, на график TVL приходят наёмные капиталы — mercenary liquidity, которая свалят в первую очередь при падении доходности. Высокий TVL при высоких APY — почти всегда временная конструкция. Высокий TVL при низких APY — ближе к реальному спросу.

Wash trading на мостах. Перекидывая активы между сетями через мосты, можно искусственно надуть показатели в обеих экосистемах одновременно. Отдельные мосты грешат двойным учётом: один и тот же актив отображается и в источнике, и в приёмнике.

СигналЧто обещаетЧто чаще всего скрывает
Рост TVL в N раз за кварталОрганический приток пользователейWash trading, рекурсивное кредитование
Стабильный TVL при APY выше рынкаУстойчивая экономика протоколаЭмиссия собственного токена, дотации из казны
TVL в L2 при низкой активности мостаЛиквидность нового поколенияДублирование учёта на нескольких мостах
TVL / число активных кошельков > $100kСостоятельные пользователиКонцентрация на двух-трёх китах, готовых снять позицию в один день

Один и тот же протокол может одновременно демонстрировать TVL в $500 млн и при этом не иметь и десяти тысяч активных кошельков. Соотношение TVL к числу пользователей, к объёму транзакций, к выручке протокола — куда более честная метрика, чем голая цифра на графике.

Чего в готовых опросниках обычно нет

Универсального опросника для всех типов Web3-проектов не существует — и это первый честный ответ, который должен звучать в любом Q&A. DeFi-протокол, NFT-маркетплейс, L1-блокчейн и GameFi-игра требуют разных наборов вопросов. То, что критично для lending-протокола (оракул, ликвидации, резервы), для моста бесполезно — там главное история про валидаторов и обновления контрактов.

В готовых чек-листах почти всегда упускают пять категорий:

1. Команда и её история. Публичные фаундеры с опытом в крипте — плюс. Анонимная команда без псевдонимов, которые можно отследить по предыдущим проектам, — не повод автоматически отказываться, но повод смотреть на код, трек-рекорд и активность в GitHub внимательнее.

2. Активность разработки. Регулярность коммитов, скорость ответа на баг-репорты, наличие публичного баг-баунти — косвенные, но рабочие индикаторы живого проекта. Команда, которая за месяцы до TGE перестала коммитить, расскажет про roadmap, но не покажет диффы.

3. Регуляторные риски. Где юридическое лицо, какая юрисдикция, был ли контакт с регуляторами, есть ли Terms of Service — всё это вопросы, которые не задают в крипто-чатах, но задают SEC и европейские надзорные органы. Для протоколов с реальной доходностью это не академический вопрос.

4. Риск оракулов. Для DeFi-проектов, зависящих от ценовых фидов, тип оракула и количество источников — критический параметр. Манипуляция ценой на одном источнике уже уносила протоколы в ноль.

5. Риск мостов. Более половины крупных взломов последних лет приходится на кросс-чейн мосты. Если проект живёт в нескольких сетях через мосты, это не фича, а дополнительная поверхность атаки.

Что делать с этим знанием

Метод вопросов и ответов в крипте — это не магический фильтр, отсекающий скамеров от честных проектов. Это привычка задавать вопросы и не успокаиваться на первом «всё хорошо, не переживайте» от маркетолога. Проект, который не выдерживает пяти неудобных вопросов подряд — про токеномику, vesting, multisig, oracle и реальных пользователей за цифрой TVL, — скорее всего, не выдержит и рынка.

Главное правило звучит просто: если все ответы вас устраивают и ни один не царапает — вы либо смотрите на проект, который ещё не запустился, либо вам что-то недоговаривают. В обоих случаях это повод не увеличивать позицию, а подождать. Депозит, в отличие от убеждений, поспешности не любит — а нервы, в отличие от рекламных баннеров, бесценны.

Частые вопросы

Почему наличие аудита не гарантирует безопасность проекта?
Аудит проверяет конкретную версию кода в определенный момент времени. Если отчет устарел, не охватывает все контракты или критические уязвимости остались неисправленными, проект остается уязвимым.
На что обращать внимание в графике разблокировки токенов?
Важно следить за долей команды и инвесторов, а также за механизмом разблокировки. Если значительный процент токенов разблокируется сразу после TGE, это создает риск резкого падения цены.
Как понять, что DAO в проекте — это не просто маркетинговая вывеска?
Проверьте состав держателей ключей мультиподписи и реальную активность голосований. Если все ключи контролируются фаундерами, а явка на голосования минимальна, проект не является децентрализованным.
Почему высокий TVL может быть обманчивым показателем?
TVL может быть искусственно завышен через рекурсивное кредитование, использование наемной ликвидности за счет высоких APY или двойной учет активов при работе через мосты.
Какие дополнительные риски стоит учитывать помимо токеномики и аудита?
Следует анализировать активность разработки в GitHub, регуляторные риски, надежность используемых оракулов и уязвимости кросс-чейн мостов.
Текст: Инна Прохорова, Крипто-скептик и краш-тестер сервисов