在任何DeFi项目中存款前要问的7个问题
每年都有成千上万的DeFi协议推出。大多数失败,少数成功。两者之间的区别通常是显而易见的——如果你知道该寻找什么。
这篇文章不是销售宣传,而是一个检查清单。目标是给你一个可重复的框架,可以应用于任何你正在评估的协议——Turbo Loop、下一个出现在你时间线上的农场,或者你从未听说过的链。我们在最后使用Turbo Loop作为示例,但这些问题本身就很重要。如果一个协议无法清晰地回答所有八个问题,答案就是离开,无论着陆页上的品牌是什么。
在检查清单之前,快速说明一下:通过下面的每个问题并不消除风险。智能合约可能有未发现的漏洞,预言机可能失败,市场可能对策略不利。检查清单的作用是大幅降低灾难性损失的概率——骗局、漏洞、缓慢耗尽。你仍然需要合理地调整头寸,并进行自己的尽职调查。
8个问题的DeFi尽职调查检查清单
1. 合约是否经过审计——你能阅读报告吗?
第一个问题是最容易伪造的。每个项目都说“经过审计”。能提供报告的却少之又少。
当你问“是否经过审计”时,实际上是在问三个子问题:
- 谁进行了审计? 是一家有公共业务的知名公司,还是一家网站仅三个月的无名小店?在X、GitHub和他们的客户名单上搜索审计员的名字。
- 完整报告是否公开? 不是一页的摘要,而是实际的PDF,包含发现、严重性评级和团队的回应。如果一个项目不分享报告,就把它当作“否”。
- 发现的问题是否解决? 审计几乎总会发现问题。问题在于团队是否在上线前解决了高风险和关键问题,以及修复是否经过重新审查。
一个有用的技巧:打开报告,跳到“高”和“关键”部分。如果你看到一长串没有“已解决”或“已承认并减轻”的注释,那就是一个问题。如果报告大部分是信息性和气体优化的注释,那就是一个更健康的信号。
有关如何自行验证合约的更深入讲解,请参见在BscScan上验证DeFi合约。
2. 所有权是否放弃?在区块浏览器上验证
一个仍然由团队控制的钱包的合约是一个团队可以更改的合约。他们可以更改费用,可以暂停提款。在最坏的情况下,他们可以铸造代币或升级逻辑。
以下是逐步检查的方法:
- 在BscScan或Etherscan上打开合约。
- 点击合约选项卡,然后点击读取合约。
- 找到
owner()函数并点击它。 - 阅读返回的地址。
如果地址是0x0000000000000000000000000000000000000000(燃烧地址),那么合约是不可变的——即使团队也无法更改它。如果地址是其他任何东西,团队仍然保留控制权。
要小心看起来像放弃但实际上不是的两种模式:
- 多签所有者。 多签比单一钱包更好,但合约仍然是可变的。团队仍然可以操控,只需更多的签名。
- 时间锁所有者。 时间锁会在固定时间内延迟更改。对安全有用,但所有者仍然是功能性的。
这两者都不一定是坏事——但都不是与真正的0x00...00放弃相同。知道你在看什么。
3. 收益来自哪里?
这是过滤出最多坏协议的问题。每个收益都有来源。只有四个诚实的答案:
- 来自真实、使用中的交易产品的交易或交换费用。
- 真实借款人支付的借贷利息。
- 外部收入——气体退款、MEV捕获、真实世界资产、国库收益。
- 来自保护链的验证者/质押奖励。
还有一个伪装成多种形式的不诚实答案:收益来自新存款。 如果用户A的“利息”是由用户B的本金支付的,你正在看一个庞氏骗局。UI再华丽也无济于事。
自己测试一下。阅读文档,找到解释收益来源的句子。如果你无法将该句子归纳为四个诚实类别之一,请在社区中询问。如果你无法得到明确的答案,答案就是“新存款”。
4. LP是否被锁定?在哪里?锁定多久?
对于涉及代币或流动性池的协议,LP锁定至关重要。“LP”——流动性池——是让人们进出交易的一对代币。如果团队持有LP代币,他们可以随时提取流动性并将价格压至零。这就是经典的骗局。
问三个子问题:
- 有多少LP被锁定? 100%是可信协议的标准。少于这个意味着某部分可以被提取。
- 锁定合约在哪里? 信誉良好的锁定方包括UNCX、Team Finance和Mudra。在锁定方自己的仪表板上验证锁定,而不仅仅是在项目网站上。
- 锁定多久? 一年以下的锁定是弱的。多年的锁定表示承诺。永久锁定(发送到燃烧地址)是黄金标准。
有关为什么这很重要的更深入讨论,请阅读LP锁定解释——为什么流动性安全很重要。
5. 团队的身份是否已知——这重要吗?
匿名团队并不自动是坏事。DeFi中一些最好的协议是由匿名者构建的。但匿名团队提高了本检查清单中每个其他问题的门槛。如果你不知道谁在协议背后,你就完全依赖代码、审计、放弃状态和锁定。这些东西必须是无懈可击的。
对于已知身份的团队,进行基本的尽职调查。在LinkedIn、X和GitHub上查找创始人。检查以前的项目——成功和失败。一个在该领域有长久可追溯历史的团队比一个三个月前出现的团队安全得多。
一个有用的启发式:一个项目应该要么是已知身份要么是经过全面审计和放弃的。让你感到紧张的组合是没有审计的匿名团队,或从未经过审查的已知身份团队的代码。
6. 代币(或LP代币)是否可以在区块浏览器上验证?
在BscScan或Etherscan上经过验证的合约意味着团队已上传源代码,并且浏览器已确认其与部署的字节码匹配。这使得任何人——你、审计员、好奇的研究人员——都可以阅读实际代码,而不仅仅是字节码。
如果合约未经过验证,请将其视为红旗。没有好的理由让一个已启动的协议将其合约保持未验证。它不花钱,只需几分钟。
在浏览器上时,还要检查:
- 持有者分布。 少数钱包持有90%是一个警告信号。
- 最近的交易。 是否有真实用户,还是只有团队和几个机器人?
- 合约创建日期。 一个“新”项目的合约在两年前部署并处于休眠状态是可疑的。昨天部署的合约有1000万美元的TVL也是如此。
7. 数学是否成立?
这是大多数零售用户跳过的问题,而大多数专业人士首先关注的问题。查看标题收益并问:协议需要在哪里找到这些钱?
一个粗略的估算测试:取总锁定价值,乘以标题ROI,这就是协议在计划期间的收益义务。然后查看收入来源,问这些来源是否可以合理地产生那么多收入。
如果一个协议有5000万美元的TVL,并在特定期间支付30%,那么它需要1500万美元的真实收入才能可持续。交易量是否支持这一点?借贷账本呢?是否有外部来源?如果数字不成立,协议就是在借用新存款来支付旧存款。这是一个“何时”的问题,而不是“是否”的问题。
8. 社区信号在多个平台上的反馈如何?
最后的检查是定性的,但很重要。健康的协议有社区:
- 跨多个平台——Telegram、X、Discord、地区频道——而不仅仅是一个宣传小组。
- 跨多个语言和地区。 全球用户基础比单一英语语言的拉升小组更难伪造。
- 提出困难的问题并从团队获得真实的答案。
- 包括长期持有者,他们已经存在几个月或几年,而不仅仅是“我刚刚进场”的帖子。
在随机时间访问Telegram。它是否在时区间活跃,还是当北美人睡觉时每个人都在睡觉?是否有一个禁止诚实问题的管理文化,或者困难问题是否得到真正的参与?
实际示例:将检查清单应用于Turbo Loop
让我们对Turbo Loop进行八个问题的检查,看看结果如何。
- 经过审计? 是的。报告公开。请参见安全页面以获取完整报告和安全深入分析的通俗总结。
- 所有权放弃? 是的。在BscScan上通过
owner()验证→0x00...00。 - 收益来源? 真实的外部收入。来自USDC/USDT池的LP奖励、Turbo Swap费用和Turbo Buy费用。新存款不用于支付现有存款者——Loop计划支付固定的、预定义的收益,由持续的协议收入提供资金。
- LP被锁定? 100%锁定。在链上可验证。
- 团队身份? 公开团队历史,在生态系统中有可见的业绩记录。
- 代币/合约可验证? 是的。在BscScan上经过验证。
- 数学是否成立? 是的。两个Loop计划是固定和不可变的:Power Loop在10天内支付3%的每日ROI,Ultimate Loop在10天内支付10%的每日ROI。在BSC上的最低存款为100 USDT。这些是由真实费用收入资助的有界、基于时间的收益,而不是开放式的“每天1%永远”的声明。该协议还发布了$100K挑战,邀请任何人寻找漏洞。
- 社区信号? 跨多个地区和语言的活跃社区,在时区间活跃。
八个问题都通过了。这就是一个通过检查清单的协议的样子。
关于剩余风险的结束说明
通过此检查清单是必要的,但不足以消除风险。智能合约可能有审计员遗漏的漏洞,市场可能波动,稳定币可能脱钩。诚实的框架是,这个检查清单过滤掉明显的坏演员和不可持续的模型——它并不能消除风险。相应地调整你的头寸,永远不要存入你无法承受在所选计划的完整期限内锁定的钱,并自己在链上验证所有内容,而不是信任任何单一来源——包括这篇文章。
检查清单的目的是不是找到“完美”的协议。目的是拒绝存入那些无法清晰回答这八个问题的协议。这一单一的纪律将比任何追逐收益的策略节省更多的钱。