CryptoTrade.wiki

Когда не стоит использовать DeFi: ключевые риски и ограничения

Где децентрализация повышает свободу, а где превращает ошибки, волатильность и баги в необратимые потери

Автор:CryptoTrade Research
|
Редакция:Редакция CryptoTrade
|
Обновлено:

Подписанная транзакция в DeFi исполняется смарт-контрактом автоматически: после включения в блок перевод нельзя отменить или откатить.

DeFi даёт контроль, но убирает процедуры отмены и возврата

DeFi (decentralized finance) — ончейн-сервисы на смарт-контрактах, где своп, депозит и займ выполняются транзакцией из кошелька без оператора и без регламента отмены. Ошибка адреса, лишний approve или неверный параметр сделки фиксируются в блокчейне после подписи и не исправляются поддержкой.

Смарт-контракт — это программа в блокчейне, которая автоматически выполняет заранее заданные правила: принимает транзакцию, проверяет условия и переводит токены строго по коду, поэтому после подписи и включения в блок действие считается окончательным и «отмены» внутри сети не существует.

Цель материала: разложить риски DeFi на группы и привязать каждую группу к операциям: DEX-своп, лендинг под залог, фарм с токеновыми наградами, кроссчейн-мост, ончейн-деривативы.

Централизованный сервис иногда использует ручную остановку операции, регламент возврата, проверку подозрительного вывода и поддержку, которая может остановить ошибочное действие до финального списания. В DeFi смарт-контракт исполняет подписанную транзакцию по коду и не проверяет намерение пользователя.

Если капитал не допускает частичной потери, необратимость ончейн-транзакции добавляет риск: одна ошибка подписи может вывести весь баланс токена или передать право списания через approve.

Стеклянный куб DeFi со щитом
Иллюстрация показывает хрупкость DeFi: защита присутствует, но уязвимости смарт-контрактов остаются.

Технический убыток в DeFi возникает из-за кода и инфраструктуры: баг смарт-контракта, сбой оракула, взлом админ-ключа, атака на мост.

Технические риски DeFi: смарт-контракты, апгрейды, оракулы, мосты, фронтенд и RPC

Технический риск в DeFi — риск потери средств из-за ошибок логики смарт-контрактов, апгрейдов кода, оракулов (источников цены), мостов и инфраструктуры доступа (веб-интерфейса и RPC-провайдера), а не из-за изменения рыночной цены. Эксплойт смарт-контрактов масштабируется (эксплойт — это использование ошибки в коде), потому что атакующий повторяет одно и то же действие и выводит ликвидность серией транзакций, пока контракт принимает операции.

1) Уязвимости смарт-контрактов

Баг смарт-контракта проявляется, когда контракт записывает состояние позиции или баланс в неверном порядке относительно перевода, поэтому контракт переводит активы по неправильному состоянию.

  • Reentrancy — ошибка, при которой контракт успевают вызвать повторно до обновления баланса, поэтому выплата происходит несколько раз подряд.
  • Ошибки арифметики и округления в расчётах повторяются при серии вызовов и накапливают расхождение.
  • Отсутствие проверки прав позволяет вызвать админ-функции или вывести средства через функцию, доступную всем.
  • Токены с нестандартными правилами перевода или списания могут работать иначе, из-за чего протокол неправильно считает баланс или лимиты.

В таком порядке операций средства могут быть списаны несколько раз подряд до обновления баланса.

2) Апгрейды, админ-ключи и централизация управления

Апгрейдируемый протокол позволяет менять логику или параметры после депозита, поэтому риск зависит от админ-ключей и регламента обновлений, а не только от исходного кода.

  • Единоличный админ-ключ без multisig (мультиподписи) увеличивает риск компрометации управления (утечки или кражи этого ключа), после чего правила протокола можно менять единолично.
  • Отсутствие timelock (задержки исполнения) делает изменение параметров мгновенным для держателя позиции.
  • Смена коэффициентов залога, комиссий или источника цены оракула меняет пороги ликвидации без действий пользователя.
  • Ошибки чаще попадают в релизы и апгрейды, потому что меняется код уже работающего протокола с активной ликвидностью.

Депозит остаётся в апгрейдируемом контракте, где владелец админ-ключа может изменить логику работы протокола; аудит (проверка кода) старой версии не защищает от ошибок в обновлении.

3) Компонентность и цепочки зависимостей

DeFi-стратегия часто вызывает несколько контрактов и сервисов (последовательно выполняет действия в разных смарт-контрактах в рамках одной операции), поэтому revert (отмена транзакции из-за ошибки) или остановка (pause) одного внешнего компонента блокируют вывод и управление позицией в момент стресса.

  • Ошибка может находиться во внешнем контракте, который вызывается внутри транзакции протокола.
  • Библиотеки и интеграции увеличивают число адресов, от которых зависит один депозит или один вывод.
  • Общий компонент (библиотека, роутер, оракул) затрагивает несколько протоколов одновременно.
  • Многоступенчатая стратегия увеличивает вероятность отказа, потому что один сбой откатывает всю транзакцию.

Если одна транзакция вызывает несколько внешних контрактов, revert любого внешнего контракта отменяет всю транзакцию и блокирует вывод до восстановления внешнего контракта.

4) Оракулы и ценовые искажения

Оракул передаёт цену в смарт-контракт, поэтому искажённая цена меняет расчёты маржи, пороги ликвидации и итоговые выплаты по позиции.

  • Манипуляция ценой проще в тонких пулах, потому что небольшая сделка сильнее сдвигает спот-цену.
  • Отсутствие TWAP (time-weighted average price) приводит к тому, что краткий всплеск спот-цены используется для расчёта в окне обновления.
  • Слабая фильтрация аномальных сделок в источнике цены переносит «шум» в расчёт залога и долга.
  • В лендинге (когда берут займ под залог) и деривативах контракт автоматически продаёт залог, если цена по оракулу считается слишком низкой, поэтому ошибка цены может привести к продаже залога даже без реального падения рынка.

Если оракул передал завышенную или заниженную цену, лендинг- или деривативный контракт пересчитывает маржу и может ликвидировать залог по неверному порогу.

5) Кроссчейн-мосты

Мост блокирует актив в одной сети и выпускает обёрнутый актив в другой сети, поэтому риск концентрируется в валидаторах (участниках, которые подтверждают переводы между сетями), ключах управления и вспомогательных контрактах моста.

  • Сложная схема валидаторов и мультиподписей увеличивает число компонентов, компрометация которых ломает выпуск или вывод.
  • Концентрация ликвидности делает мост приоритетной целью атак, потому что один инцидент затрагивает большой объём средств.
  • У нового моста меньше реальных проверок в нестандартных ситуациях, поэтому неожиданные сбои могут появиться позже.
  • Сбой моста блокирует вывод и разрывает кроссчейн-цепочку операций между сетями.

При сбое валидаторов или утечке ключей управления обёрнутый токен остаётся без обеспечения и не может быть возвращён в исходную сеть.

6) Фронтенды и RPC-инфраструктура

Пользователь подписывает транзакции через веб-интерфейс, а отправка и чтение состояния идут через RPC-провайдера (сервис, через который кошелёк и сайт dApp подключаются к блокчейну), поэтому подмена интерфейса или сбой RPC меняют параметры подписи и управление позицией.

  • Подмена интерфейса подставляет другой адрес контракта или другие параметры вызова до подписи.
  • Сбой RPC показывает неверный статус транзакции или баланс, поэтому пользователь повторяет действие и платит gas дважды.
  • Ограничение доступа к сайту dApp лишает привычного канала управления, хотя контракты остаются в сети.
  • Сверка адреса контракта и параметров вызова в кошельке перед подписью ограничивает риск подмены.

Если интерфейс подменил адрес контракта, кошелёк подпишет вызов другого контракта; смарт-контракт исполнит вызов и спишет токены по подписанным данным.

Убыток в DeFi часто фиксируется именно при выходе из позиции: комиссии gas, проскальзывание, price impact и падение цены токена награды уменьшают итоговое количество базового актива после закрытия.

Почему сделки в DeFi становятся убыточными на выходе

Многие потери в DeFi фиксируются не во входе, а в выходе: комиссию сети (gas), price impact (ухудшение цены из-за недостаточной глубины пула), падение цены токена награды и ухудшение ликвидности нельзя отменить после подписи.

DeFi-операции выполняются смарт-контрактами без оператора, поэтому ошибка подписи или параметров не исправляется поддержкой. В централизованных сервисах часть операционных рисков закрывают лимиты, задержки, ручные проверки и процедуры возврата; в DeFi итог зависит от кода протокола, ликвидности рынка и параметров, подписанных пользователем.

Убыток возникает без взлома, когда транзакция входа подтверждена и позиция открыта, но закрытие позиции требует дорогого gas и даёт худшую цену из-за падения ликвидности.

  • Вход в пул с высоким APY (annual percentage yield, годовая доходность в процентах) без расчёта комиссий сети и проскальзывания на выходе.
  • Снижение APY после окончания стимулов и падение цены токена награды, который начислялся вместо комиссионного дохода.
  • Рост стоимости gas в момент выхода и сохранённые активные approvals после завершения стратегии.

Сценарий: депозит в фарм приносит токен награды; затем цена токена награды падает и ликвидность пула уменьшается. Своп токена награды в базовый актив даёт большой price impact, а два выхода требуют двух комиссий gas.

Убыток на выходе складывается из конкретных статей: комиссия gas на вывод, проскальзывание свопа в тонком пуле и падение цены токена награды между начислением и продажей.

Self-custody означает, что ключи находятся у пользователя, поэтому результат определяется подписанными транзакциями и подписанными сообщениями, которые нельзя отменить после включения в блок.

Потеря средств происходит, когда активный approve остаётся на адресе и вредоносный контракт или подменённый интерфейс использует право списания токена без новой транзакции approve — подробнее см. approval phishing в DeFi.

Аудит проверяет текущую версию кода; апгрейд, смена оракула и зависимость от моста могут изменить пороги ликвидации и правила вывода после депозита.

Почему протокол с аудитом всё равно может дать убыток

Аудит снижает вероятность очевидных ошибок в коде, но не исключает риск управления (апгрейды и ключи), риск внешних зависимостей и риск выхода при падении глубины пула после оттока ликвидности.

Эмиссия — выпуск новых токенов по заранее заданным правилам (график, объём, получатели); эмиссия используется для стимулов ликвидности и наград, но рост предложения давит на цену токена при неизменном спросе.

  1. Апгрейды и управление меняют параметры позиции после входа
    • Изменение коэффициента залога и комиссий меняет устойчивость позиции без действий пользователя.
    • Timelock и multisig уменьшают риск мгновенной смены параметров, но не исключают ошибку обновления и компрометацию ключей.
    • Замена источника цены оракула и изменение лимитов залога меняют пороги ликвидации и размер буфера.
  2. Интеграции добавляют внешний контракт в цепочку риска
    • Протокол может опираться на мост, библиотеку или внешний источник ликвидности с другим уровнем проверки и другой моделью отказа.
    • Сбой внешнего компонента блокирует стратегию, даже если основной протокол исполняет функции корректно.
    • Каждый внешний контракт в цепочке операции увеличивает шанс, что транзакция вывода откатится revert-ом этого внешнего контракта.
  3. Отток ликвидности ухудшает цену выхода и усиливает ликвидации
    • При падении глубины пула крупный вывод сильнее сдвигает цену, поэтому выход происходит с дисконтом (по цене ниже ожидаемой).
    • Ликвидации в лендинге усиливаются, когда цена оракула падает, а ликвидность продажи залога становится тоньше.
    • Доходность, основанная на эмиссии, падает вместе с ценой токена награды и оттоком ликвидности.

Карта угроз, типовые атаки и контрольные признаки инцидентов: «Безопасность DeFi: карта угроз, кейсы, защита и чеклист».

Экономический убыток возникает без бага кода: эмиссия токена награды снижает цену награды, impermanent loss (потеря из-за изменения цен активов в пуле по сравнению с простым удержанием) меняет состав LP, а каскад ликвидаций продаёт залог.

Экономические риски DeFi: доходность, ликвидность и стресс-сценарии

Экономический убыток возникает при корректной работе смарт-контрактов, когда падает доходность, дешевеет токен награды и уменьшается ликвидность для выхода в тот же период.

Экономический риск в DeFi — риск потери капитала при корректной работе кода. Источник убытка находится в модели стимулов (эмиссия награды), глубине ликвидности и механизмах ликвидации по цене оракула.

  1. Доходность на эмиссии токена награды
    • Высокий APY часто формируется выпуском новых токенов награды, а не комиссионным доходом протокола.
    • Эмиссия увеличивает предложение токена награды; при неизменном спросе цена токена награды падает.
    • Если цена токена награды падает быстрее начисления, итог в базовом активе становится отрицательным.
    • Доход на комиссиях устойчивее, потому что зависит от объёма операций в протоколе.
  2. Impermanent loss в AMM-пуле
    • В AMM (automated market maker) часть выросшего актива продаётся, а падающего — докупается, поэтому при расхождении цен итог может быть хуже, чем если бы активы просто хранились.
    • Impermanent loss возникает, когда цена одного актива в паре уходит от второго, а позиция заканчивает с большим количеством падающего актива.
    • Волатильность пары ускоряет перераспределение долей внутри пула и увеличивает разницу с пассивным удержанием.
    • Пары с низкой ликвидностью увеличивают ценовой сдвиг при каждой сделке и усиливают потери на выходе.
  3. Выход из позиции при тонкой ликвидности
    • После окончания стимулов глубина пула уменьшается и ухудшает цену исполнения на выходе.
    • Цена в интерфейсе не равна цене исполнения, потому что исполнение зависит от глубины пула и размера сделки в момент включения в блок.
    • Крупный объём в тонком пуле даёт заметный price impact и уменьшает количество полученного базового актива.
    • При перегрузке сети комиссии gas растут и увеличивают стоимость закрытия позиции.
  4. Ликвидации и каскады в лендинге
    • Займ под залог ликвидируется автоматически при достижении порога риска по цене оракула.
    • Резкое движение цены пересекает пороги риска у множества позиций и запускает массовые ликвидации.
    • Продажи залога давят на цену и создают следующую волну ликвидаций.
    • Тонкая ликвидность и нестабильная цена оракула ускоряют каскад ликвидаций.
  5. Стейблкоины и depeg
    • Привязка стейблкоина поддерживается резервами, залогом или алгоритмическим механизмом, который выкупает дисбаланс.
    • Depeg (потеря привязки стейблкоина к целевой цене, например к $1) возникает, когда продажи стейблкоина превышают возможности механизма стабилизации и глубину рынков выкупа.
    • Высокий APY по стейблкоину часто формируется субсидией (выплатами из резервов или выпуском токенов для привлечения ликвидности), а не реальным доходом, и поэтому совпадает с риском выхода из пула.
    • Сохранность капитала зависит от модели обеспечения и глубины рынков для выхода.

    APY по стейблкоину не компенсирует depeg, если стейблкоин теряет привязку и продаётся с дисконтом в тонком пуле.

  6. Комиссии сети при небольших объёмах
    • При перегрузке сети стоимость gas растёт и увеличивает издержки входа и выхода.
    • При небольшом капитале две комиссии gas (вход и выход) могут перекрыть весь результат стратегии.
    • Частые клеймы, свопы и ребаланс увеличивают суммарные комиссии.
    • Стратегии с высокой частотой операций теряют эффективность из-за накопленных комиссий.

Регуляторный удар приходит через доступ: блокировка сайта dApp или отключение RPC-провайдера может сорвать закрытие позиции, пока смарт-контракт продолжает ликвидации.

Регуляторные риски: статус операций и ограничения доступа к интерфейсам

Регуляторный риск в DeFi возникает вне кода протокола, когда ограничения затрагивают сайты dApp, API-провайдеров или инфраструктуру доступа в момент, когда позицию нужно закрыть или довнести залог.

Смарт-контракты продолжают исполнять операции в сети, но управление позицией обычно идёт через сайт dApp и RPC-провайдера. Блокировка этих каналов ограничивает отправку транзакции и чтение состояния позиции через привычный интерфейс.

1) Неопределённый правовой статус ончейн-операций

Одна и та же ончейн-операция может квалифицироваться как обмен, кредитование, выпуск дериватива или финансовая услуга. Разная квалификация в разных юрисдикциях меняет требования к доступу и отчётности, поэтому правовая неопределённость превращается в операционный риск для позиции.

2) Ограничения интерфейсов и инфраструктуры доступа

Доступ к смарт-контрактам обычно идёт через сайты, API и RPC-провайдеров. Ограничение этих точек доступа меняет способ управления позицией, даже если контракт продолжает работать.

Сценарий: позиция в лендинге открыта заранее; затем веб-интерфейс блокируется по региону или RPC-провайдер возвращает ошибки. Смарт-контракт продолжает считать цену оракула и исполнять ликвидации, но закрытие позиции через привычный интерфейс становится недоступным.

3) Налоги, отчётность и операционная нагрузка

DeFi-стратегия создаёт поток операций: свопы, начисления, клеймы, ребаланс и ликвидации. Большое число транзакций усложняет учёт комиссий и цен исполнения и увеличивает риск ошибок в отчётности.

Пользовательский убыток создаёт подпись: неверная сеть, ошибочный адрес, unlimited approve и широкий slippage (допустимое ухудшение цены исполнения) превращают одну транзакцию в необратимое списание токенов.

Пользовательские риски: адрес, сеть, approve, подписи сообщений и параметры свопа

Большинство необратимых потерь в DeFi связаны с подписью: неверная сеть, ошибочный адрес, лишний approve или широкий slippage фиксируют операцию в блокчейне без процедуры отмены.

Кошелёк в DeFi — инструмент криптографической подписи. Подпись транзакции запускает перевод, своп, депозит или вывод; подпись сообщения может выдать право списания токена или изменить разрешения без отдельной транзакции approve.

1) Ошибки сети, адреса и контракта

Проверки перед отправкой транзакции

  • 🌐 Проверка сети: подпись в другой сети отправляет токены в другой реестр; адрес получателя в другой сети может не принадлежать отправителю.
  • 🏷️ Проверка адреса: ошибка в адресе получателя переводит активы на чужой адрес; смарт-контракт не содержит процедуры возврата ошибочного перевода.
  • 🧾 Проверка контракта: подмена адреса контракта меняет получателя approve или меняет логику свопа до подписи.
  • 🧪 Тестовая операция: минимальная транзакция подтверждает сеть, адрес контракта и маршрут свопа до отправки крупного объёма.

2) Approve и разрешения на списание

Контроль прав доступа к токенам

  • 🎚️ Ограниченный лимит: unlimited approve даёт право списывать весь баланс токена; компрометация контракта или интерфейса превращает право списания в фактическое списание.
  • 👤 Проверка spender: адрес получателя разрешения (spender) должен совпадать с контрактом протокола, иначе разрешение уходит на другой адрес.
  • 🧰 Разделение кошельков: отдельный адрес хранения уменьшает сумму токенов на рабочем адресе, с которого выдаются approvals.
  • 🧹 Revoke: отзыв старых approvals закрывает право списания после завершения операции.

3) Подписи сообщений и скрытые права

Фильтр перед подтверждением подписи

  • ✍️ Осознанная подпись: подпись сообщения может создать авторизацию списания позже без отдельного approve, если протокол использует сообщение как разрешение.
  • 🎁 Осторожность с «клеймами»: фишинговая страница часто подсовывает подпись сообщения, которое даёт право списания токенов.
  • 📩 Игнорирование личных обращений: аккаунт «поддержки» в личных сообщениях часто ведёт на поддельный домен dApp для подписи.
  • 🔗 Фиксированные источники: переход на dApp по сохранённому адресу уменьшает риск подмены домена и адреса контракта.

4) MEV, сэндвич-атаки и исполнение свопов

Контроль параметров сделки

  • 📏 Жёсткий slippage: большой slippage расширяет диапазон цены исполнения и облегчает сэндвич-атаку.
  • 🧱 Разбиение объёма: большой своп в тонком пуле увеличивает price impact; дробление уменьшает price impact каждого свопа.
  • ⏳ Учёт мемпула: MEV (maximal extractable value — извлечение прибыли за счёт изменения порядка транзакций в блоке) возникает, когда бот меняет порядок транзакций и забирает разницу цены исполнения.
  • 🧾 Minimum received: параметр фиксирует минимальный результат свопа и ограничивает ухудшение исполнения.

Сэндвич-атака использует широкий slippage: бот покупает до свопа, повышает цену, затем продаёт после свопа и забирает разницу в базовом активе.

5) Вредоносные токены и интерфейсные ловушки

Фильтр перед покупкой актива

  • 🧬 Сверка контракта: одинаковое название токена не гарантирует один контракт; своп может купить токен с другим адресом контракта.
  • 📉 Оценка ликвидности: низкая глубина пула ухудшает цену продажи и увеличивает price impact при выходе.
  • 🧾 Проверка условий продажи: налог на продажу или запрет на продажу меняют фактическую цену выхода и могут заблокировать продажу.
  • 🚪 Проверка выхода: тестовая продажа подтверждает, что токен продаётся и что контракт не содержит блокировки или налога, который делает выход убыточным.

Повторяющиеся ошибки приводят к потерям без взлома: unlimited approve, один адрес для хранения и операций, вход по APY на эмиссии, своп в тонком пуле.

Типовые ошибки в DeFi, которые повторяются чаще всего

Повторяемые причины потерь в DeFi связаны с тремя действиями: доверие веб-интерфейсу без проверки адреса, выдача unlimited approve и вход в стратегию без расчёта выхода после комиссий и price impact.

  1. Unlimited approve ради удобства
    • Разрешение на неограниченное списание остаётся активным после завершения операции.
    • Компрометация контракта или интерфейса использует активный approve и списывает токены без новой подписи.
    • Лимит под операцию и последующий revoke закрывают право списания после завершения стратегии.
  2. Вход по высокому APY без проверки источника дохода
    • APY может формироваться эмиссией токена награды, а не комиссиями протокола.
    • Цена токена награды может падать быстрее, чем начисляется награда.
    • Расчёт результата в базовом активе после gas и price impact показывает итог стратегии без витринного APY.
  3. Один кошелёк для хранения и активных операций
    • Фишинг или вредоносная подпись открывают доступ к полному балансу рабочего адреса.
    • Отсутствие разделения кошельков увеличивает сумму, доступную для списания через approvals.
    • Раздельный адрес хранения уменьшает сумму на адресе, который подписывает операции и выдаёт approvals.
  4. Своп в тонком пуле при широком slippage
    • Широкий slippage позволяет выполнить своп по цене, ухудшенной на заданный процент, и упрощает сэндвич-атаку.
    • Перегрузка сети и снижение ликвидности увеличивают задержку включения транзакции и ухудшают цену исполнения.
    • Дробление объёма и ограничение slippage уменьшают потери на price impact и на MEV.

Поведенческий убыток фиксируется серией подписей: FOMO ускоряет вход, повторные свопы увеличивают суммарный gas, а усреднение усиливает экспозицию при падении ликвидности.

Поведенческие риски: FOMO, серия транзакций и рост комиссий

FOMO и вход на перегретой доходности

FOMO заставляет входить в стратегию после роста цены и всплеска APY, когда условия для выхода уже ухудшаются.

  • FOMO (fear of missing out) запускает вход после роста цены и витринной доходности.
  • APY держится высоким, пока идёт эмиссия токена награды и приток ликвидности.
  • После снижения стимулов ликвидность уходит, а price impact на выходе растёт.
  • Выход фиксирует убыток, если gas и ухудшение цены съедают награду.

Вход по FOMO часто происходит в момент, когда риск выхода уже выше потенциальной доходности.

Иллюзия контроля при подписи

Подпись создаёт ощущение контроля, но смарт-контракт исполняет параметры буквально, без проверки намерений пользователя.

  • Интерфейс может подменить адрес контракта или параметры операции до подписи.
  • Approve и slippage подтверждаются без сверки spender и minimum received.
  • Смарт-контракт исполняет подписанные параметры без возможности отмены.
  • Ошибка подписи превращается в списание токена или обмен по худшей цене.

Подпись фиксирует решение окончательно: неверный параметр сразу становится финансовым результатом.

Усреднение убыточной стратегии

Усреднение увеличивает капитал в стратегии, где базовые условия уже ухудшаются.

  • Усреднение повышает экспозицию (долю капитала, зависящую от одного сценария) в стратегии с доходом на эмиссии токена награды.
  • Падение цены токена награды снижает итоговую стоимость начислений.
  • Рост числа операций увеличивает суммарный gas.
  • Каждая новая транзакция фиксирует убыток в условиях тонкой ликвидности.

Серия операций усиливает убыток, если базовая экономика стратегии уже не сходится.

DeFi не подходит при нулевой терпимости к ошибке подписи: неверная сеть или approve без лимита могут вывести весь баланс токена без возврата.

Критерии выбора между DeFi и инфраструктурой с отменой и поддержкой

Одна ошибка сети, адреса контракта, approve или slippage в DeFi фиксируется подписью и не отменяется протоколом, поэтому цена ошибки часто превышает упущенный APY.

Стоп-факторы

  • 🧨 Частичная потеря капитала недопустима для задачи.
  • 🧾 Нужны регламент отмены и процедура возврата средств.
  • ⏱️ Нет времени регулярно проверять approvals, адреса контрактов и параметры подписи.
  • 🎯 Нужна точная цена исполнения, а price impact и MEV меняют итог сделки.
  • 🔐 Нет разделения кошельков, высокий риск фишинга и вредоносной подписи.
  • ⛽ Объём мал относительно gas, комиссии съедают результат.

Условия, при которых DeFi обычно допустим

  • 📏 Задан лимит позиции и максимальный допустимый убыток.
  • 🧰 Адрес хранения отделён от рабочего адреса с ограниченным балансом.
  • 🎚️ Approve выдаётся под лимит и отзывается после завершения.
  • 🚪 Есть условие выхода при падении ликвидности и падении доходности.

Инфраструктура с поддержкой уменьшает ущерб операционной ошибки через лимиты, задержки вывода и регламент возврата; DeFi переносит операционную ошибку в необратимую ончейн-транзакцию.

DeFi ломает сценарии с обязательной отменой и восстановлением: потеря seed-фразы, подмена интерфейса или ошибка сети не компенсируются регламентом поддержки.

Сценарии, где DeFi повышает операционный риск

DeFi повышает операционный риск, когда требуется отмена операций, восстановление доступа и предсказуемое исполнение без ручной проверки каждого параметра подписи.

Крупный капитал при низкой терпимости к риску

При большом капитале отсутствие отмены и возврата делает одну ошибку подписи критичной для всего результата.

  • Концентрация средств в одном протоколе или сети увеличивает размер потенциального ущерба.
  • Компрометация ключа, устройства или интерфейса затрагивает весь баланс рабочего адреса.
  • Одна неверная транзакция переводит активы на чужой адрес без механизма возврата.

При крупной сумме один неправильный адрес получателя или unlimited approve может привести к потере суммы, сопоставимой со всем капиталом на рабочем адресе.

Критична скорость и точность исполнения

В DeFi итог зависит от мемпула, глубины пула и активности MEV, поэтому цена исполнения может отличаться от цены интерфейса.

  • Проскальзывание и перегрузка сети ухудшают цену исполнения.
  • Крупный объём в тонком пуле усиливает price impact.
  • Задержка включения транзакции меняет состояние пула между подписью и исполнением.

Если сделка требует фиксированной цены и минимальной задержки, мемпул, price impact и MEV могут изменить цену исполнения относительно цены на экране.

Нужен простой учёт и прозрачная отчётность

Активная стратегия в DeFi создаёт десятки транзакций и отдельные комиссии сети по каждой операции, поэтому учёт требует разбора каждой транзакции.

  • Клеймы, ребаланс и частичные исполнения усложняют расчёт себестоимости и результата.
  • Несколько сетей и мосты добавляют отдельные комиссии и отдельные события учёта.
  • Ошибка в учёте комиссий gas и цен исполнения искажает результат по налогам и отчётности.

Если стратегия генерирует десятки транзакций, отчётность превращается в учёт каждой комиссии gas и каждой цены исполнения по хэшу транзакции.

Недостаточный уровень операционной безопасности

В DeFi безопасность упирается в ключи и подписи пользователя, поэтому слабая защита устройства и браузера превращается в прямую потерю средств.

  • Публичные устройства и расширения увеличивают риск подмены интерфейса и кражи сессии кошелька.
  • Хранение seed-фразы онлайн упрощает компрометацию ключей.
  • Отсутствие разделения кошельков увеличивает сумму, доступную через approvals.

Если устройство или браузер скомпрометированы, злоумышленник может заставить кошелёк подписать approve или перевод и списать токены с рабочего адреса.

Требуется поддержка и восстановление доступа

В self-custody потеря seed-фразы означает потерю контроля над адресом, потому что протокол не может восстановить ключи и отменить владение.

  • Ошибка хранения ключей не компенсируется сервисом.
  • Без резервных схем возможна полная потеря доступа.
  • Передача доступа и наследование требуют отдельной юридической и технической схемы.

Если seed-фраза потеряна, доступ к адресу теряется навсегда, потому что блокчейн не содержит процедуры восстановления ключей.

Объём несоразмерен комиссиям сети

При высоком gas небольшой капитал теряет смысл, потому что комиссии входа, управления и выхода занимают заметную долю от суммы.

  • Комиссии перекрывают результат при частых действиях.
  • Одна ошибка подписи обнуляет эффект стратегии.
  • Рост числа операций увеличивает относительные издержки.

Если депозит мал, две комиссии gas (вход и выход) могут съесть весь доход, даже если APY в интерфейсе выглядит высоким.

Убыток в DeFi привязан к операциям: AMM-своп страдает от MEV и price impact, лендинг — от оракула и ликвидаций, мост — от валидаторов.

Где DeFi чаще всего превращается в источник убытка: операции и стоп-факторы

Риск DeFi проявляется в конкретных операциях: AMM-своп ухудшает цену исполнения при тонкой ликвидности, лендинг запускает ликвидации по цене оракула, фарм зависит от эмиссии награды и ликвидности выхода, а мост блокирует вывод при сбое валидаторов.

DEX-обмены в AMM-пулах

AMM формирует цену из соотношения активов в пуле, поэтому рост размера свопа относительно глубины пула увеличивает price impact и ухудшает цену исполнения.

✅ Плюсы

  • Self-custody без кастодиального хранения.
  • Обмен без аккаунта и без KYC.
  • Доступ к токенам без листинга на бирже.

❌ Минусы

  • MEV и сэндвич-атаки на средних и крупных объёмах.
  • Ухудшение цены исполнения в неглубоких пулах.
  • Риск поддельного контракта токена и поддельного адреса пула.

Лендинг и займы под залог

Лендинг создаёт риск ликвидации, потому что падение цены залога по оракулу запускает принудительную продажу залога по рыночной ликвидности в момент стресса.

✅ Плюсы

  • Процентный доход на ликвидных активах.
  • Займ под залог без продажи базового актива.
  • Ставка зависит от спроса на заимствование.

❌ Минусы

  • Автоматические ликвидации при резком движении цены.
  • Зависимость от корректности цены оракула.
  • Риск изменения параметров управления (комиссии, пороги, лимиты).

Избыточный залог уменьшает вероятность ликвидации, потому что увеличивает дистанцию до порога риска по цене оракула.

Yield farming и стратегии с высоким APY

Yield farming объединяет комиссионный доход и токеновые стимулы, поэтому итог зависит от цены токена награды, скорости эмиссии и глубины ликвидности выхода.

✅ Плюсы

  • Доход из комиссий и токеновых стимулов.
  • Вход и выход без хранения на бирже.
  • Доступ к новым моделям дохода на старте протокола.

❌ Минусы

  • Падение APY после прекращения стимулов.
  • Impermanent loss на волатильных парах.
  • Rug pull в молодом проекте при выводе ликвидности организаторами.

Что ломает фарм в модели дохода

  • Отток LP (поставщиков ликвидности) и падение глубины пула.
  • Падение цены токена награды быстрее начислений.
  • Gas и ребаланс, которые уменьшают итог в базовом активе.
  • Баг или остановка внешнего контракта в цепочке стратегии.

Мосты и кроссчейн-операции

Кроссчейн-мост концентрирует риск в валидаторах и ключах управления, поэтому компрометация или сбой моста блокируют вывод активов и разрывают цепочку операций между сетями.

✅ Плюсы

  • Доступ к ликвидности разных сетей.
  • Выбор сети по комиссиям и скорости.
  • Распределение капитала между экосистемами.

❌ Минусы

  • Концентрация ликвидности в одной точке.
  • Сложная модель безопасности и зависимость от валидаторов.
  • Рост риска операционной ошибки при переводе между сетями.

Ончейн-деривативы и торговля с плечом

В ончейн-деривативах позиция рассчитывается по цене оракула, а использование плеча оставляет небольшой запас прочности, поэтому любая ошибка цены, ликвидности или исполнения быстрее приводит к принудительному закрытию позиции.

✅ Плюсы

  • Хеджирование без кастодиального хранения.
  • Доступ к деривативам через смарт-контракт.
  • Совместимость с ончейн-стратегиями.

❌ Минусы

  • Каскады ликвидаций при резкой волатильности.
  • Зависимость результата от цены оракула.
  • Суммирование рыночного риска и протокольного риска.

Сигналы выхода в DeFi измеряются параметрами: падение глубины пула, рост gas, снижение APY, падение токена награды, апгрейд контракта, сбой интерфейса.

Сигналы, что из DeFi-позиции пора выходить

  1. APY растёт без роста комиссий и объёма
    • APY увеличивается без роста комиссий протокола и без роста объёма операций.
    • Источник APY смещается в эмиссию или временные стимулы.
    • Цена токена награды падает быстрее начисляемой награды.
    • APY зависит от эмиссии, если объём свопов и комиссионный доход не растут.
  2. Цена выхода ухудшается из-за падения ликвидности
    • Глубина пула ниже, чем в момент входа.
    • Вывод требует дисконта из-за price impact относительно ожидаемой цены.
    • В период стресса gas растёт и увеличивает стоимость выхода.
    • Price impact увеличился, если тот же объём вывода из пула даёт меньше базового актива, чем при входе.
  3. Апгрейд меняет параметры протокола
    • Появляется апгрейд без достаточного времени на проверку новых условий.
    • Меняются комиссии, коэффициенты залога или параметры ликвидации.
    • Добавляются новые интеграции, мосты или внешние зависимости.
    • Риск апгрейда повышается, если реализация контракта меняется через админ-ключ без timelock.
  4. Доступ к управлению позицией становится нестабильным
    • Интерфейс работает с ошибками, а RPC показывает неверный статус транзакций.
    • Ограничение доступа по региону или перегрузка сети мешают закрытию позиции.
    • Операционная ошибка при подписи становится вероятнее из-за дефицита времени.
    • Риск ошибки подписи растёт, если закрытие позиции выполняется через новый домен или через нестабильный RPC.

Если одновременно падают ликвидность пула, уменьшается доходность и ухудшается доступ к интерфейсу, закрытие позиции становится дороже по gas и хуже по цене исполнения.

DeFi выполняет операции смарт-контрактом и подписью кошелька; CEX выполняет операции на счетах биржи и может применять лимиты, задержки вывода и регламент возврата.

DeFi vs CEX: где риск ниже, а где он перераспределён

В DeFi результат сделки полностью определяется подписанными параметрами и не может быть отменён, тогда как на CEX площадка иногда способна вмешаться и остановить ошибочный вывод.

DeFi исполняет сделку строго по параметрам подписи в кошельке, а CEX — через внутренний ордербук и учёт балансов. В DeFi ошибочная транзакция необратима после включения в блок, тогда как CEX иногда может остановить вывод или вернуть средства до окончательного списания.

КритерийCEXDeFi
Хранение активовКлючи контролирует площадка (custodial)Ключи находятся у пользователя (self-custody)
Исправление ошибокИногда возможны регламентированные процедуры возвратаТранзакции необратимы после включения в блок
Риск взломаРедкие, но масштабные централизованные инцидентыИнциденты на уровне отдельных протоколов и интерфейсов
Исполнение сделокЦена зависит от книги заявок и правил биржиЦена зависит от глубины пула, price impact и MEV
Доступ и комплаенсKYC/AML и регуляторные процедурыБез аккаунта, но с риском блокировки интерфейсов и RPC
ПрозрачностьПравила площадки и отчётность оператораПубличные транзакции и проверяемый код при верификации адресов

✅ Где DeFi даёт преимущество

  • Контроль над активами без кастодиального хранения.
  • Доступ к ончейн-инструментам без листинга на биржах.
  • Автоматизация стратегии смарт-контрактами при проверке адресов и параметров подписи.

❌ Где CEX обычно устойчивее

  • Крупные операции, где нужна минимальная задержка и точная цена.
  • Сценарии, где критичны поддержка, восстановление доступа и регламент.
  • Сценарии, где нужна отмена ошибочного вывода до финального списания.

Сравнение моделей доступа и рисков исполнения: DEX vs CEX: различия по хранению, исполнению и доступу.

Проверка перед подписью снижает риск перевода токенов на неверный адрес и выдачи approve на неверный spender: сверка сети и адреса контракта, проверка spender в approve, ограничение slippage и minimum received.

Контрольные пункты перед входом в DeFi: параметры подписи и ограничения исполнения

Проверка до подписи снижает вероятность: неверной сети, подмены адреса контракта, лишнего approve и слишком широкого slippage, который фиксирует плохую цену исполнения.

Базовая проверка параметров подписи

  1. Сверка адреса контракта и соответствия сети операции.
  2. Оценка глубины ликвидности: крупный объём в тонком пуле увеличивает price impact.
  3. Ограничение slippage и сверка minimum received.
  4. Проверка активных approvals и лимита списания.
  5. Тестовая операция минимальным объёмом при новом маршруте.

Расширенная проверка для депозитов и фарма

  1. Определение источника доходности: комиссии, процент по займам или эмиссия награды.
  2. Проверка апгрейдов, админ-ключей, multisig и timelock.
  3. Оценка распределения токена награды и риска концентрации у крупных держателей.
  4. Оценка риска моста и стейблкоина при кроссчейн-стратегии, потому что сбой моста или потеря привязки стейблкоина могут заблокировать выход.
  5. Сопоставление gas и price impact с ожидаемой прибылью в базовом активе.

Признаки повышенного риска

  • Новый протокол без истории эксплуатации с обещаниями «гарантий».
  • Двузначная доходность в стейблкоинах без объяснения источника (комиссии или процент по займам).
  • Токен награды с высокой эмиссией и без устойчивого спроса.
  • Описание безопасности лозунгами без указания timelock, multisig, оракулов и модели доступа.
  • Подпись, которая запрашивает доступ, не соответствующий операции (например, списание токена вместо клейма награды).

Снижение потерь в DeFi достигается ограничениями: меньше средств на рабочем адресе, approve только под сумму операции, меньше мостов и меньше внешних контрактов в маршруте.

Методы снижения риска при использовании DeFi

1) Разделение кошельков по ролям

  • Адрес хранения. На адресе хранения нет активных approvals и нет регулярных взаимодействий с dApp.
  • Рабочий адрес. На рабочем адресе находится сумма, допустимая к риску, и выполняются подписи операций.
  • Тестовый адрес. На тестовом адресе проверяются новые протоколы и маршруты минимальными суммами.

2) Управление разрешениями на списание

  • Approve выдаётся под конкретный объём операции, чтобы контракт не имел права списывать полный баланс.
  • Неиспользуемые approvals отзываются после завершения стратегии, чтобы закрыть право списания.
  • Approve для непроверенного контракта увеличивает масштаб потерь, если контракт или интерфейс скомпрометирован.

Сценарии approval phishing и способы использования активных approvals: «Approval phishing в DeFi: скрытые разрешения, которые позволяют красть токены».

3) Исполнение сделок с учётом MEV и ликвидности

  • Slippage ограничивает диапазон цены исполнения и уменьшает эффект сэндвич-атак.
  • Дробление объёма уменьшает price impact в тонком пуле.
  • Маршрут свопа через несколько пулов увеличивает число смарт-контрактов; revert одного контракта отменяет транзакцию и расходует gas.

4) Ограничение концентрации и сложности

  • Концентрация капитала в одном протоколе увеличивает сумму, которая зависит от одной уязвимости или одного апгрейда.
  • Один мост или один стейблкоин не должны быть единственной точкой стратегии, если потеря привязки или сбой моста блокирует выход.
  • Сокращение числа звеньев уменьшает число внешних контрактов, от которых зависит вывод.

DeFi подходит при контроле подписи и разрешений: проверка сети и адреса контракта, approve с лимитом, отдельный адрес хранения и условие выхода при падении ликвидности.

Кому DeFi подходит при осознанном контроле подписи

DeFi подходит тем, кто принимает необратимость транзакций и контролирует адреса контрактов, approvals, параметры свопов и условия выхода; без этого self-custody превращает ошибку подписи в прямую потерю средств.

Пользователям с выстроенной операционной безопасностью

Разделение адресов, контроль approvals и проверка параметров подписи ограничивают сумму, доступную для потерь в одном инциденте.

  • Адрес хранения отделён от рабочего адреса, где выполняются подписи.
  • Approvals выдаются под лимит и отзываются после операции.
  • Позиция сокращается при падении глубины ликвидности и ухудшении цены выхода.

Разделение адресов и лимитированный approve уменьшают сумму токенов, доступную для списания через ошибочную подпись или через компрометацию контракта.

Трейдерам, которым нужен self-custody и прямой доступ к ончейн-рынку

On-chain торговля даёт прямой доступ к пулам, но итог определяется глубиной пула и параметрами исполнения транзакции.

  • Умеренный объём уменьшает price impact в AMM-пуле.
  • Условие выхода фиксирует момент закрытия при падении APY и ликвидности.
  • Slippage и minimum received ограничивают диапазон цены исполнения.

Цена исполнения свопа зависит от глубины пула и slippage; при тонкой ликвидности один и тот же объём свопа даёт меньше базового актива после исполнения в блоке.

Пользователям, которые проверяют карту зависимостей протокола

Проверка источника дохода и точек риска (оракул, мост, апгрейд, интерфейс) снижает вероятность входа в стратегию, где вывод блокируется внешним контрактом или инфраструктурой доступа.

  • Разделение дохода на комиссии и эмиссию отделяет комиссионный доход от субсидии в токене награды.
  • Проверка оракула и коэффициента залога показывает риск ликвидации по цене оракула.
  • Проверка мостов и интеграций показывает, какой внешний контракт может заблокировать вывод.

Проверка оракула, моста и апгрейдов фиксирует, от каких внешних адресов и ключей зависит вывод и расчёт порога ликвидации.

FAQ закрывает восемь вопросов: DeFi vs CEX, approve, slippage, impermanent loss, мосты, малые суммы, лендинг и типовые ошибки новичков.

FAQ по рискам и ограничениям DeFi

DeFi безопаснее централизованных бирж?

Чаще всего — нет. Для большинства пользователей DeFi несёт более высокий операционный риск, потому что любая ошибка подписи или параметров транзакции необратима.

В DeFi убыток возникает из-за бага смарт-контракта, подмены интерфейса или ошибки пользователя при подписи. В CEX убыток связан со взломом биржи, заморозкой вывода по правилам площадки или ошибкой оператора, но иногда может быть снижен за счёт лимитов, задержек и процедур остановки вывода.

Почему разрешения approve считаются критическим риском?
Approve даёт смарт-контракту право списывать токены с адреса пользователя без повторной подписи. Unlimited approve даёт право списать весь баланс токена, если контракт или интерфейс скомпрометирован.
Какое проскальзывание slippage можно считать допустимым?
Slippage задаёт максимальное ухудшение цены исполнения относительно ожидаемой цены; при широком slippage своп может исполниться по цене, ухудшенной на заданный процент. В тонком пуле широкий slippage облегчает сэндвич-атаку и увеличивает фактическую потерю на цене.
Возможны ли потери в пуле ликвидности при росте рынка?
Да. Impermanent loss возникает, когда цены активов в паре расходятся, а AMM перераспределяет доли активов внутри LP-позиции, поэтому итоговая стоимость LP может быть ниже пассивного удержания тех же активов.
Почему мосты считают самым уязвимым элементом кроссчейна?

Потому что в мосте одновременно сходятся несколько точек отказа: валидаторы, ключи управления, логика контрактов и механизм выпуска обёрнутых активов.

Если ломается хотя бы один элемент — валидаторы останавливаются, ключи управления утекли или контракт работает некорректно — обёрнутый токен теряет возможность обмена на исходный актив, а вывод средств может быть заблокирован.

Есть ли смысл использовать DeFi на небольшие суммы?
На небольших суммах комиссия gas занимает большую долю от капитала, поэтому две операции (вход и выход) могут съесть весь доход. Экономический смысл зависит от того, перекрывает ли ожидаемый доход две комиссии gas и потери на price impact.
Почему лендинг выглядит устойчиво, но часто приводит к убыткам?
Лендинг содержит автоматическую ликвидацию: при падении цены залога по оракулу позиция продаётся принудительно. В период резкого падения ликвидность продажи залога становится тоньше, поэтому ликвидация фиксирует большой дисконт к справедливой цене.
С чего начинаются потери у новичков в DeFi?
Потери начинаются с двух ошибок: неверная подпись (сеть, адрес, slippage) и избыточный approve. Подписанная транзакция необратима, а активный approve позволяет списание токена без новой подписи, если контракт или интерфейс скомпрометирован.

DeFi не содержит отмены и возврата: подпись фиксирует перевод, а риски кода, оракулов, мостов и ликвидности могут совпасть и увеличить убыток.

Когда DeFi действительно не подходит

DeFi становится плохим выбором, когда нужна отмена операций, точная цена исполнения и минимальный ущерб от одной ошибки подписи.

DeFi оставляет контроль ключей у пользователя, но убирает регламент отмены, ручную проверку операций и процедуру возврата. Ключи, подписи, approvals и верификация адресов становятся единственным барьером между активом и необратимой ошибкой.

Убыток возникает без взлома, когда апгрейд протокола, искажённая цена оракула, падение ликвидности пула и высокий gas совпадают в одном периоде и ухудшают цену выхода и возможность управления позицией.

Отказ от DeFi снижает риск необратимой потери, когда позиция крупная, сеть и адреса не проверяются перед подписью, или стратегия требует точной цены исполнения при перегрузке сети и тонкой ликвидности.

  • Снижение числа зависимостей. Меньшее число протоколов и мостов уменьшает количество внешних контрактов, от которых зависит вывод.
  • Разделение адресов по ролям. Адрес хранения уменьшает сумму, доступную для списания через approvals рабочего адреса.
  • Оценка результата в базовом активе. Gas и price impact уменьшают итог в базовом активе, даже если APY в интерфейсе выглядит высоким.
  • Буфер по залогу. Буфер залога увеличивает дистанцию до порога ликвидации по цене оракула.

В DeFi смарт-контракт исполняет подпись без отмены; инфраструктура с регламентом возврата и ручной проверкой операций уменьшает ущерб операционной ошибки при выводе и переводе.

🛡️ Материал: безопасность DeFi
Карта угроз, кейсы атак и контрольные признаки инцидентов
Безопасность DeFi: карта угроз и чеклист

Нашли эту статью полезной?

Подпишитесь на наши обновления, чтобы не пропустить новые обзоры и рейтинги

Смотреть все биржи →