" Децентрализованные финансы (DeFi) — один из самых быстрорастущих секторов криптоиндустрии: в январе 2022 года в одноранговых протоколах были заблокированы криптоактивы на сумму 92 миллиарда долларов – на 196% больше, чем в 2021 году.
Этот рост в значительной степени объясняется множеством возможностей для получения высоких прибылей на кредитных и торговых платформах DeFi. Но, конечно же, с любой новой криптотенденцией, которая привлекает значительное внимание и инвестиции, всегда найдутся мошенники, которые ищут способы заработать на этом, и вы вряд ли получите возмещение за свои ошибки.
Протоколы DeFi — это платформы на основе блокчейна, которые предлагают ряд финансовых услуг, к которым вы обычно прибегаете в традиционном пространстве, например, кредиты, страхование, процентные счета.
Ключевое отличие заключается в том, что платформы DeFi работают с использованием смарт-контрактов, а не с посредником в виде банка или страхового брокера.
Смарт-контракты — это самоисполняющиеся компьютерные программы, обеспечивающие соблюдение договорных соглашений между сторонами. В идеальном мире они обеспечивают ценные финансовые услуги, не связанные с хранением, такие как протоколы кредитования и децентрализованные биржи. Но иногда они содержат ошибки или зияющие уязвимости в системе безопасности, которые позволяют злоумышленникам или даже недобросовестным разработчикам опустошать кошельки казны.
Чтобы оставаться в безопасности, полезно иметь возможность идентифицировать распространенные красные флажки, указывающие на то, что протокол DeFi на самом деле является мошенническим или работает с ошибочным кодом.
Для этого вам не нужно уметь читать код смарт-контракта или разбираться в программировании. Бесплатные инструменты, такие как Token Sniffer для Ethereum и PooCoin для Binance Smart Chain, запускают автоматический аудит контрактов с токенами, чтобы проверить, содержат ли они какой-либо вредоносный код для вас. Полностью полагаться на них не следует, но они могут стать хорошей отправной точкой для вашего собственного процесса должной осмотрительности.
«Выдергивание коврика»
Так называемое выдергивание коврика настолько распространено в DeFi, что метафорическое название этого вида мошенничества стало общепринятой фразой в крипто-языке.
Выдергивание коврика — это тип мошенничества с выходом, в котором преступники создают новый токен, запускают для него пул ликвидности и связывают его с базовым токеном, таким как эфир (собственный токен Ethereum) или стабильная монета, такая как dai (DAI). Пул ликвидности — это большой пул токенов, которые протокол использует для совершения сделок, в отличие от системы книги заказов, в которой покупатели и продавцы перечисляют свои торговые заказы и ждут, пока они будут выполнены.
Ключевой частью этой аферы является то, что создатели сохраняют значительную часть общего предложения после запуска токена.
Если мошенники успешно продали свой токен более широкому сообществу криптовалют, инвесторы начнут добавлять ликвидность в пул, чтобы заработать часть комиссий за транзакции, взимаемых с трейдеров, которые его используют. Как только количество ликвидности в пуле достигает определенной точки, создатели сбрасывают все свои токены в пул и выводят из него весь эфир, dai или любой другой базовый токен. Это приводит к тому, что цена вновь созданного токена приближается к нулю, в результате чего инвесторы держат бесполезные монеты, а махинаторы уходят с чистой прибылью.
Огромный красный флаг тут – тот факт, что всего несколько кошельков контролируют почти половину оборотного запаса токена. Вы можете проверить распределение токенов в обозревателе блокчейнов — Etherscan для Ethereum — нажав на вкладку «Держатели» контракта на токен.
Как правило, безопаснее, если команда, стоящая за проектом, является общедоступной или если проектом управляют анонимные учетные записи, которые заработали хорошую репутацию, запустив ранее успешные и честные проекты.
Приманки
Криптовалюты нестабильны, то есть цены могут сильно колебаться в течение определенного периода времени. Но если новая монета только растет, и кажется, что никто ее не продает, это может быть признаком того, что происходит нечто, известное как мошенничество с приманкой.
Именно здесь инвесторов заманивает постоянно растущая цена токена, но единственный кошелек, который позволяет продать смарт-контракт, контролируется мошенниками.
Токен Squid Game — показательный пример. Проект DeFi привлек внимание средств массовой информации из-за предполагаемой связи с популярным сериалом. Вскоре после запуска токен быстро вырос в цене, но средства массовой информации быстро заметили, что инвесторы не могут продать ни один из своих токенов. В конце концов, основатели сбросили свои токены и сбежали с монетой Binance (BNB) на миллионы долларов.
Важно отметить, что широкая реклама криптовалюты не гарантирует ее безопасность. У основных средств массовой информации может не быть опыта или времени для проверки криптопроекта, и они часто помогают создать дополнительную рекламу мошенничества. В некоторых случаях лидерам мнений в социальных сетях платят за то, чтобы они продвигали криптовалюту, не вникая, мошеннический проект или нет. Знаменитости из списка A-list, такие как Флойд Мэйвезер, DJ Халид и Кевин Харт столкнулись с судебными исками за продвижение криптопроектов, которые позже были признаны откровенным мошенничеством.
Фишинговые атаки
Фишинг — это когда мошенник выдает себя за официальную компанию, чтобы обманом заставить жертв раскрыть конфиденциальную информацию. Этот тип мошенничества особенно распространен в криптовалютах.
В 2022 году эксперты SlashNext зафиксировали 255 млн фишинговых атак, что на 61% больше, чем 2021 году. Только в российском сегменте Интернета в 2022 году было обнаружено около 18 000 фишинговых сайтов, что на 15% больше, чем в 2021 году. Об этом сообщила компания Group-IB, один из мировых экспертов в сфере кибербезопасности.
Если вы публикуете определенные ключевые слова в социальных сетях, таких как «MetaMask» в Твиттере, вы можете ожидать, что вам ответит рой мошеннических ботов. Эти боты направят вас к форме Google, попросив ввести исходную фразу вашего кошелька или другую конфиденциальную информацию – то, чем вы никогда не должны делиться ни с кем.
Многие мошенники выдают себя за известных людей, за которыми вы можете следить в социальных сетях. Они пришлют вам сообщение с предложением помощи, прежде чем попросить вас отправить криптовалюту или поделиться конфиденциальной информацией. Иногда мошенники запускают поддельные каналы YouTube для сбора средств.
В январе 2021 года кто-то потерял 1,14 миллиона долларов из-за мошенников, выдававших себя за Майкла Сэйлора, генерального директора MicroStrategy.
Помните, что настоящие влиятельные лица вряд ли попросят вас отправить им деньги в личном сообщении, особенно если они никогда не разговаривали с вами раньше. Однако некоторые знаменитости могут сознательно или невольно продвигать схемы накачки и сброса, которые также широко распространены в криптовалюте.
Поддельные объявления Google
Первый результат Google для криптопроекта может не указать вам правильное направление — на самом деле, он может направить вас к мошенникам.
Мошенническая реклама Google (Google.com)
К сожалению, Google не проверяет подлинность веб-сайтов перед продажей рекламного места, поэтому реклама Google никогда не должна рассматриваться как признак легитимности.
Если вы не уверены, что это правильный веб-сайт, проверьте надежные источники, такие как официальная страница проекта в Твиттере, чтобы найти настоящий веб-сайт.
Страница Uniswap Labs в Твиттере (Twitter)
Эксплойты и уязвимости
DeFi работает на фрагментах кода, видимых всем, а это означает, что технически подкованные люди могут использовать уязвимости в коде и сбежать с огромными суммами денег.
18 апреля 2022 года протокол стейблкоина Beanstalk Farms подвергся эксплойту на сумму 76 миллионов долларов от злоумышленника, который использовал флэш-кредит для покупки токенов управления. Они использовались для передачи двух предложений, которые вставляли вредоносные смарт-контракты.
Другой протокол DeFi под названием Rari Capital в ходе эксплойта 30 апреля 2022 года потерял примерно 79,3 миллиона долларов. Злоумышленник воспользовался уязвимостью повторного входа в смарт-контрактах пула ликвидности протокола Rari Fuse, заставив их вызывать функцию вредоносного контракта для опустошения пулов всей криптовалюты.
Чтобы снизить риск эксплойтов, многие проекты DeFi поручают аудиторским фирмам, таким как PeckShield или Hacken, проверять их код и помогать им устранять любые обнаруженные проблемы. Проекты DeFi также могут предлагать награды белым хакерам через такие платформы, как Immunefi, за обнаружение ошибок в их коде до того, как это сделают злоумышленники.
Аудиты и программы вознаграждений обычно отображаются на сайтах проектов, поэтому вы можете проверить их, прежде чем принять решение об инвестировании. Хотя эти программы снижают риск эксплойтов, они не устраняют риски полностью. Есть много проверенных проектов DeFi, которые стали жертвами эксплойтов на миллион долларов.
Мошеннические аирдропы
Аирдропы, в ходе которых протоколы раздают бесплатные токены членам своих сообществ, весьма распространены и популярны. Но не все токены, отправленные в ваш кошелек, являются подлинными. Существует множество мошеннических аирдропов, которые могут украсть средства вашего кошелька при запросе или переводе бесплатных токенов.
В большинстве случаев эти токены будут названы в честь сомнительного веб-сайта. Если вы подключите свой кошелек через мошеннический веб-сайт и разрешите доступ к вредоносному смарт-контракту, злоумышленники смогут выкачивать средства прямо из вашего кошелька.
