Аудиты безопасности

При выборе протокола для заработка можно обращать внимание на TVL (по которой обычно судят о доверии сообщества к проекту), на возраст (ведь неплохо, если инструмент прошёл проверку временем), на наличие прокси-контрактов в пулах (их использование повышает риск взлома через компрометацию разработчиков).

Но если проект новый, а поэкспериментировать хочется, то можно посмотреть, а есть ли у него аудиты безопасности. Если полистать историю успешных хакерских атак за последние пару лет, то окажется, что большинство взломанных проектов не имели аудитов (частенько взломанные протоколы были форками крупных проектов, но и это их не спасало).

Важно понимать, что аудиты не гарантируют, что протокол не будет взломан, но наличие аудита лучше его отсутствия (а ещё аудиты можно читать, но это мало кто не делает). Так же стоит помнить о разных векторах атак: так, например, недавно был взломан интерфейс протокола Compound, из-за чего можно было потерять деньги, подписав фишинговую транзакцию, но сами смарт-контракты и активы на них затронуты не были.

Информацию о проверках можно искать в документации проектов или на специальных сервисах:

Самый простой вариант это обращать внимание на наличие аудита на странице протокола в DeFiLlama, а также на график TVL, на котором нередко отображаются события, связанные со взломами.

Если протокол подвергся атаке, это не обязательно ставит на нём крест, ведь даже такие крупные игроки рынка как Curve были когда-то взломаны.

Также на DeFiLlama есть отдельная страница hacks, на которой оперативно публикуются данные о хакерских атаках (список которых может вогнать в уныние).

Certik Skynet - платформа для тестирования смарт-контрактов в автоматическом режиме без необходимости участия человека, что позволяет ей охватывать большое количество проектов. На данный момент в списке несколько тысяч протоколов и по каждому из них есть подробных разбор характеристик безопасности.

Помимо этого на платформе есть анализ токенов, бирж, кошельков и сетей. Но, учитывая, что тестирование автоматическое, то и качество аудитов может вызывать сомнения.

DeFi Safety - независимый проект, который занимается проверкой качества DeFi протоколов. На сайте можно найти около 300 отчётов, но чтобы их прочитать, необходимо зарегистрироваться. Каждый протокол оценён по 100-бальной системе и если интересующий ваш проект в красной зоне, то есть смысл отложить его до лучших времён.

De.Fi Audit Database - одна из самых больших баз, в которой собрано около 9 тысяч аудитов безопасности, но почти все они есть на DeFiLlama. На De.Fi также можно просканировать смарт-контракты, токены или адрес своего кошелька на предмет уязвимостей.

Quantstamp - провайдер блокчейн-безопасности, в котором для выявления уязвимостей в смарт-контрактах используются как автоматизированные методы аудита, так и привлекаются эксперты по безопасности, которые за свою работу получают вознаграждения. Чтобы предотвратить злоупотребления, участники выбираются через механизм голосования.