Давай разберём все способы, которыми DeFi может опустошить твой кошелёк. Структурирую по категориям угроз.
-----
## 🍯 HONEYPOTS И ТЕХНИЧЕСКИЕ ЛОВУШКИ (1-10)
1. Классический Honeypot — можешь купить токен, но продать невозможно. Контракт просто блокирует функцию sell для всех, кроме создателя.
2. Hidden Mint Function — в контракте зашита скрытая функция, позволяющая владельцу выпускать неограниченное количество токенов и сливать их тебе на голову.
3. Blacklist/Whitelist ловушки — контракт содержит функцию добавления адресов в чёрный список. Купил — тебя заблокировали — продать не можешь.
4. Max Transaction Trap — ограничение на максимальную сумму продажи настолько низкое, что вывести деньги технически невозможно (продаёшь по $0.01 за транзакцию).
5. Fee Manipulation — комиссия на продажу динамически меняется. При покупке 1%, при продаже внезапно 99%.
6. Proxy Contract Upgrades — контракт “обновляемый”, и в любой момент владелец может изменить логику. Сегодня честный токен, завтра — honeypot.
7. External Call Dependency — контракт зависит от внешнего вызова, который владелец может отключить, парализовав все операции.
8. Balance Manipulation — контракт показывает тебе баланс, но реальные токены давно у создателя.
9. Approval Drain — при взаимодействии с контрактом ты даёшь approve на неограниченную сумму, и потом у тебя выкачивают всё.
10. Fake Liquidity Lock — ликвидность “заблокирована” в контракте, который на самом деле принадлежит создателю и разблокируется в любой момент.
-----
## 🏃 RUG PULLS И СХЕМЫ ВЫВОДА (11-20)
11. Liquidity Removal (классический rug) — создатель просто забирает всю ликвидность из пула, токен становится непродаваемым.
12. Slow Rug — постепенная продажа токенов командой через несколько кошельков, цена медленно падает в ноль.
13. Soft Rug — проект просто “забрасывается”, команда исчезает, разработка прекращается.
14. Exit Scam — команда собирает деньги на “развитие”, а потом исчезает.
15. Fake Partnership Announcements — накачка цены через фейковые анонсы партнёрств, после чего инсайдеры продают.
16. Coordinated Pump & Dump — организованные группы накачивают цену, новички покупают на хаях, группа сливает.
17. Presale Scam — собирают деньги на presale, токен либо не выпускается, либо сразу дампится.
18. Fake Token Launch — создаётся токен с таким же именем как у популярного проекта, люди покупают не глядя.
19. Migration Scam — объявляется “миграция” на новый контракт, старые токены обесцениваются, новые получают только избранные.
20. Influencer Exit — инфлюенсеры продвигают проект, получают токены бесплатно или с огромной скидкой, сливают на хайпе.
-----
## 💻 УЯЗВИМОСТИ СМАРТ-КОНТРАКТОВ (21-30)
21. Reentrancy Attack — классическая уязвимость, когда контракт можно “обмануть” многократным вызовом функции до обновления баланса (DAO hack 2016).
22. Flash Loan Attacks — манипуляция ценами и протоколами через мгновенные займы без залога.
23. Oracle Manipulation — искажение данных ценовых оракулов для манипуляции залогами, ликвидациями, обменами.
24. Front-Running (MEV) — боты видят твою транзакцию в mempool и исполняют свою раньше, извлекая прибыль за твой счёт.
25. Sandwich Attacks — твоя транзакция “зажимается” между двумя транзакциями бота: он покупает до тебя, продаёт после — ты получаешь худшую цену.
26. Integer Overflow/Underflow — арифметические ошибки в контрактах, позволяющие обнулять балансы или создавать токены из воздуха.
27. Access Control Bugs — функции, которые должны быть доступны только владельцу, открыты для всех.
28. Logic Errors — банальные ошибки в коде, которые хакеры находят раньше аудиторов.
29. Signature Replay — возможность повторного использования подписанных транзакций.
30. Cross-Chain Bridge Exploits — мосты между блокчейнами — самые жирные цели для хакеров (Ronin $625M, Wormhole $320M).
-----
## 🎭 СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ (31-37)
31. Fake Customer Support — “поддержка” в Discord/Telegram просит seed-фразу или приватный ключ.
32. Phishing Sites — сайты-клоны популярных протоколов с изменённой одной буквой в URL.
33. Malicious Airdrops — получаешь “бесплатные” токены, при попытке продать — теряешь всё.
34. Fake Wallet Apps — поддельные приложения кошельков в App Store/Google Play.
35. Discord/Telegram Hacks — взлом официальных каналов проекта и публикация фишинговых ссылок.
36. Dusting Attacks — отправка мизерных сумм токенов для отслеживания твоих транзакций и целенаправленного фишинга.
37. Social Engineering через OTC — “выгодные” сделки вне биржи, где тебя кидают.
-----
## 📉 ЭКОНОМИЧЕСКИЕ И СИСТЕМНЫЕ РИСКИ (38-45)
38. Impermanent Loss — предоставляешь ликвидность, а получаешь меньше, чем если бы просто держал токены.
39. Liquidation Cascades — резкое падение цены вызывает каскад ликвидаций, усугубляя обвал.
40. Ponzi Tokenomics — модель работает только при постоянном притоке новых денег (привет, OHM и его форки).
41. Inflationary Rewards — высокий APY оплачивается инфляцией токена, реальная доходность отрицательная.
42. Protocol Insolvency — протокол становится неплатёжеспособным (Celsius, BlockFi, FTX в CeFi; многие DeFi не лучше).
43. Smart Contract Dependency Risk — твой протокол зависит от другого, уязвимость там = потери здесь.
44. Gas Price Spikes — во время паники газ взлетает настолько, что выход из позиции стоит больше самой позиции.
45. Chain Congestion — сеть перегружена, твоя транзакция не проходит, пока цена падает.
-----
## ⚖️ РЕГУЛЯТОРНЫЕ И ОПЕРАЦИОННЫЕ РИСКИ (46-50)
46. Regulatory Crackdown — регулятор признаёт токен security, протокол закрывается, ликвидность исчезает.
47. Sanctions — попадание протокола или связанных адресов под санкции (Tornado Cash прецедент).
48. Tax Nightmare — каждый своп — налогооблагаемое событие, отследить и отчитаться практически невозможно.
49. No Legal Recourse — украли деньги? Нет суда, нет полиции, нет возврата. Код — это закон, и он не на твоей стороне.
50. Key Management Failure — потерял seed-фразу, забыл пароль, сломался хардварный кошелёк — деньги потеряны навсегда. Никакой службы восстановления не существует.
-----
## СТАТИСТИКА ДЛЯ ОТРЕЗВЛЕНИЯ
- 2023 год: украдено ~$1.7 млрд из DeFi протоколов
- Средний срок жизни скам-токена: 1-3 дня
- Процент токенов, оказавшихся honeypots: по разным оценкам, 10-25% всех новых токенов
- Вероятность, что случайный новый токен на DEX — скам: более 90%
-----
## ВОЗМОЖНЫЕ УТОЧНЕНИЯ:
Q: Как проверить контракт на honeypot?
→ Используй сервисы типа [honeypot.is](http://honeypot.is), TokenSniffer, DEXTools. Но даже они не дают 100% гарантии — новые техники появляются постоянно.
Q: А если контракт прошёл аудит?
→ Аудит снижает риски, но не устраняет. Audited проекты тоже взламывают (Euler Finance — $200M после аудита).
Q: Какой процент людей реально зарабатывает в DeFi?
→ Исследования показывают, что 80-90%+ участников DeFi в минусе. Зарабатывают в основном те, кто создаёт инфраструктуру, а не использует её.
Q: Можно ли как-то безопасно участвовать?
→ Только через проверенные временем протоколы (Uniswap, Aave, MakerDAO), с диверсификацией, небольшими суммами и пониманием каждого действия. Но даже это не гарантия.
Q: Почему люди всё равно идут в DeFi?
→ FOMO, жадность, истории успеха выживших. Классическое когнитивное искажение survivorship bias — слышим о тех, кто 100x, не слышим о тысячах, кто потерял всё.
