7 Fragen, die du dir stellen solltest, bevor du in ein DeFi-Projekt einzahlst
Eine wiederholbare Checkliste für die Prüfung jedes DeFi-Protokolls — von Audits über LP-Locks bis hin zu Ertragsquellen. Am Beispiel von Turbo Loop durchgespielt.
7 Fragen, die du dir stellen solltest, bevor du in ein DeFi-Projekt einzahlst
Jedes Jahr starten tausende DeFi-Protokolle. Die meisten scheitern. Eine Handvoll blüht auf. Der Unterschied zwischen beiden ist meist sichtbar — wenn du weißt, worauf du achten musst.
Dieser Beitrag ist kein Verkaufsgespräch. Er ist eine Checkliste. Das Ziel ist, dir ein wiederholbares Framework an die Hand zu geben, das du auf jedes Protokoll anwenden kannst, das du bewertest — Turbo Loop, die nächste Farm, die in deiner Timeline auftaucht, oder eine Chain, von der du noch nie gehört hast. Wir nutzen Turbo Loop am Ende als durchgespieltes Beispiel, aber die Fragen sind für sich genommen wichtig. Wenn ein Protokoll nicht alle acht sauber beantworten kann, ist die Antwort: weggehen — egal welche Marke auf der Landingpage steht.
Eine kurze Einordnung vor der Checkliste: Jede Frage unten zu bestehen, eliminiert das Risiko nicht. Smart Contracts können unentdeckte Bugs haben. Oracles können ausfallen. Märkte können sich gegen eine Strategie bewegen. Was die Checkliste tut: Sie senkt die Wahrscheinlichkeit eines katastrophalen Verlustes — der Rug, der Exploit, der schleichende Abfluss — deutlich. Du bist nach wie vor selbst dafür verantwortlich, Positionen vernünftig zu dimensionieren und deine eigene Due Diligence zu machen.
Die DeFi-Diligence-Checkliste mit 8 Fragen
1. Ist der Contract auditiert — und kannst du den Bericht einsehen?
Die erste Frage lässt sich am leichtesten fälschen. Jedes Projekt sagt „audited". Weit weniger können einen Bericht vorzeigen.
Wenn du fragst „ist es auditiert", fragst du eigentlich drei Unterfragen:
- Wer hat das Audit durchgeführt? Eine anerkannte Firma mit öffentlichen Engagements oder eine No-Name-Bude, deren Website drei Monate alt ist? Suche den Namen des Auditors auf X, GitHub und in seiner Kundenliste.
- Ist der vollständige Bericht öffentlich? Keine einseitige Zusammenfassung. Das tatsächliche PDF mit Findings, Schweregraden und den Antworten des Teams. Wenn ein Projekt den Bericht nicht teilt, behandle das als „Nein".
- Wurden die Findings behoben? Audits decken fast immer Probleme auf. Die Frage ist, ob das Team die High- und Critical-Findings vor dem Launch behoben hat und ob die Fixes erneut geprüft wurden.
Ein nützlicher Trick: Öffne den Bericht und springe zu den „High"- und „Critical"-Abschnitten. Wenn du eine lange Liste ohne „resolved"- oder „acknowledged with mitigation"-Notizen siehst, ist das ein Problem. Wenn der Bericht hauptsächlich informativ und Gas-Optimierungs-Notizen enthält, ist das ein gesünderes Signal.
Für eine tiefere Anleitung, wie du selbst einen Contract verifizierst, siehe Einen DeFi-Contract auf BscScan verifizieren.
2. Ist das Ownership renounced? Verifiziere es im Block Explorer
Ein Contract, dessen Owner noch ein vom Team kontrolliertes Wallet ist, ist ein Contract, den das Team ändern kann. Sie können Gebühren ändern. Sie können Withdrawals pausieren. Sie können — im schlimmsten Fall — Tokens minten oder die Logik upgraden.
So prüfst du es Schritt für Schritt:
- Öffne den Contract auf BscScan oder Etherscan.
- Klicke auf den Tab Contract, dann auf Read Contract.
- Finde die Funktion
owner()und klicke darauf. - Lies die zurückgegebene Adresse.
Wenn die Adresse 0x0000000000000000000000000000000000000000 (die Burn-Adresse) ist, ist der Contract unveränderlich — selbst das Team kann ihn nicht ändern. Wenn die Adresse irgendetwas anderes ist, behält das Team die Kontrolle.
Vorsicht bei zwei Mustern, die wie Renounce aussehen, es aber nicht sind:
- Multisig-Owner. Eine Multisig ist besser als ein einzelnes Wallet, aber der Contract ist immer noch veränderbar. Das Team kann immer noch die Fäden ziehen; es braucht nur mehr Signaturen.
- Timelock-Owner. Ein Timelock verzögert Änderungen um ein festes Fenster. Nützlich für Sicherheit, aber der Owner ist trotzdem funktional.
Keines ist automatisch schlecht — aber keines ist dasselbe wie ein echter 0x00...00-Renounce. Wisse, was du dir ansiehst.
3. Woher kommt der Ertrag?
Diese Frage filtert die größte Anzahl schlechter Protokolle heraus. Jeder Ertrag hat eine Quelle. Es gibt genau vier ehrliche Antworten:
- Trading- oder Swap-Gebühren aus einem echten, genutzten Trading-Produkt.
- Lending-Zinsen, die von echten Kreditnehmern gezahlt werden.
- Externe Erlöse — Gas-Refunds, MEV-Capture, Real-World-Assets, Treasury-Yield.
- Validator-/Staking-Rewards aus der Sicherung einer Chain.
Es gibt auch eine unehrliche Antwort, die auf viele verschiedene Arten verpackt wird: Der Ertrag kommt aus neuen Einzahlungen. Wenn die „Zinsen" von Nutzer A aus dem Kapital von Nutzer B gezahlt werden, schaust du auf einen Ponzi. Es spielt keine Rolle, wie schick die UI ist.
Teste es selbst. Lies die Docs und finde den Satz, der die Ertragsquelle erklärt. Wenn du diesen Satz nicht auf eine der vier ehrlichen Kategorien reduzieren kannst, frag in der Community. Wenn du keine klare Antwort bekommst, ist die Antwort „neue Einzahlungen".
4. Ist die LP gelockt? Wo? Für wie lange?
Bei Protokollen, die einen Token oder einen Liquidity Pool beinhalten, ist der LP-Lock entscheidend. „LP" — Liquidity Pool — ist das Token-Paar, das Menschen das Ein- und Aussteigen ermöglicht. Wenn das Team die LP-Tokens hält, kann es jederzeit Liquidität abziehen und den Preis auf Null dumpen. Das ist der klassische Rug.
Stell dir drei Unterfragen:
- Wie viel der LP ist gelockt? 100% ist der Standard für ein glaubwürdiges Protokoll. Alles darunter bedeutet, dass ein Teil abgezogen werden kann.
- Wo ist der Lock-Contract? Seriöse Locker sind UNCX, Team Finance und Mudra. Verifiziere den Lock auf dem eigenen Dashboard des Lockers, nicht nur auf der Website des Projekts.
- Für wie lange? Locks unter einem Jahr sind schwach. Mehrjährige Locks signalisieren Commitment. Permanente Locks (an eine Burn-Adresse gesendet) sind der Goldstandard.
Für eine viel tiefere Behandlung, warum das wichtig ist, lies LP-Lock erklärt — warum Liquiditätssicherheit zählt.
5. Sind die Identitäten des Teams bekannt — und spielt das eine Rolle?
Anonyme Teams sind nicht automatisch schlecht. Einige der besten Protokolle in DeFi wurden von Anons gebaut. Aber Anon-Teams heben die Latte bei jeder anderen Frage dieser Checkliste an. Wenn du nicht weißt, wer hinter dem Protokoll steht, verlässt du dich komplett auf den Code, die Audits, den Renounce-Status und den Lock. Diese Dinge müssen wasserdicht sein.
Bei doxxed Teams mach grundlegende Due Diligence. Schau die Founder auf LinkedIn, X und GitHub nach. Prüfe auf frühere Projekte — erfolgreiche und gescheiterte. Ein Team mit langer, nachvollziehbarer Historie im Space ist materiell sicherer als ein Team, das vor drei Monaten aufgetaucht ist.
Eine nützliche Heuristik: Ein Projekt sollte entweder doxxed oder vollständig auditiert und renounced sein. Die Kombinationen, die dich nervös machen sollten, sind anonyme Teams ohne Audit oder doxxed Teams, deren Code nie geprüft wurde.
6. Ist der Token (oder LP-Token) auf einem Block Explorer verifizierbar?
Ein verifizierter Contract auf BscScan oder Etherscan bedeutet, dass das Team den Source Code hochgeladen hat und der Explorer bestätigt hat, dass er mit dem deployten Bytecode übereinstimmt. Das lässt jeden — dich, einen Auditor, einen neugierigen Forscher — den tatsächlichen Code lesen, nicht nur den Bytecode.
Wenn der Contract nicht verifiziert ist, behandle das als Red Flag. Es gibt keinen guten Grund für ein gelaunchtes Protokoll, seinen Contract unverifiziert zu lassen. Es kostet nichts und dauert nur Minuten.
Während du im Explorer bist, prüfe auch:
- Holder-Verteilung. Eine Handvoll Wallets, die 90% halten, ist ein Warnsignal.
- Recent Transactions. Gibt es echte Nutzer oder nur das Team und ein paar Bots?
- Contract-Erstelldatum. Ein „neues" Projekt, dessen Contract vor zwei Jahren deployt wurde und schlummerte, ist verdächtig. Ebenso ein Contract, der gestern deployt wurde mit $10M TVL.
7. Geht die Mathematik auf?
Das ist die Frage, die die meisten Retail-Nutzer überspringen und die meisten Profis als Erstes laufen lassen. Schau dir den Headline-Yield an und frag: Wo müsste das Protokoll dieses Geld herbekommen?
Ein grober Bierdeckel-Test: Nimm den Total Value Locked, multipliziere mit dem Headline-APY, und das ist die jährliche Ertragsverpflichtung des Protokolls. Dann schau dir die Erlösquellen an und frag, ob diese Quellen plausibel so viel Einkommen produzieren können.
Wenn ein Protokoll $50M TVL hat und 30% APY zahlt, braucht es $15M echten Erlös pro Jahr, um nachhaltig zu sein. Unterstützt das Trading-Volumen das? Unterstützt das Lending-Book es? Gibt es externe Quellen? Wenn die Zahlen nicht aufgehen, leiht das Protokoll von neuen Einzahlungen, um alte zu bezahlen. Es ist eine Frage des Wann, nicht des Ob.
8. Was sagen die Community-Signale über mehrere Plattformen hinweg?
Der letzte Check ist qualitativ, aber wichtig. Gesunde Protokolle haben Communities, die:
- Mehrere Plattformen umspannen — Telegram, X, Discord, regionale Kanäle — nicht nur eine Shill-Gruppe.
- Mehrere Sprachen und Regionen umspannen. Eine globale Nutzerbasis ist schwerer zu fälschen als eine einzelne englischsprachige Pump-Gruppe.
- Harte Fragen stellen und echte Antworten vom Team bekommen.
- Langfristige Holder einschließen, die seit Monaten oder Jahren dabei sind, nicht nur „I just aped in"-Posts.
Besuche das Telegram zu einer zufälligen Tageszeit. Ist es über Zeitzonen hinweg aktiv, oder schläft jeder, wenn Nordamerika schläft? Gibt es eine Mod-Kultur, die ehrliche Fragen bannt, oder bekommen harte Fragen echtes Engagement?
Das durchgespielte Beispiel: Die Checkliste auf Turbo Loop angewendet
Lass uns die acht Fragen an Turbo Loop durchgehen und sehen, was herauskommt.
- Auditiert? Ja. Bericht öffentlich. Siehe die Security-Seite für den vollständigen Bericht und eine klar verständliche Zusammenfassung im Security Deep Dive.
- Ownership renounced? Ja. Verifizierbar auf BscScan via
owner()→0x00...00. - Ertragsquelle? Echter, externer Erlös. LP-Rewards aus dem USDC/USDT-Pool, Turbo-Swap-Gebühren und Turbo-Buy-Gebühren. Neue Einzahlungen werden nicht verwendet, um bestehende Einzahler zu bezahlen — die Loop Plans zahlen feste, vordefinierte Returns aus, finanziert durch laufende Protokoll-Einnahmen.
- LP gelockt? 100% gelockt. On-Chain verifizierbar.
- Team-Identität? Öffentliche Team-Historie mit einem im Ökosystem sichtbaren Track Record.
- Token / Contract verifizierbar? Ja. Auf BscScan verifiziert.
- Geht die Mathematik auf? Ja. Die vier Loop Plans sind fest und unveränderlich: Sprint zahlt 3% über 7 Tage, Boost zahlt 10% über 14 Tage, Power zahlt 24% über 30 Tage, und Ultimate zahlt 54% über 60 Tage. Die Mindesteinzahlung beträgt 1 USDT auf BSC. Das sind begrenzte, zeitraumbasierte Returns, finanziert durch echte Gebühreneinnahmen, keine offenen „1% pro Tag für immer"-Behauptungen. Das Protokoll hat außerdem eine $100K Challenge veröffentlicht, die jeden einlädt, eine Schwachstelle zu finden.
- Community-Signale? Engagierte Community über mehrere Regionen und Sprachen, aktiv über Zeitzonen hinweg.
Acht von acht. So sieht ein Checklisten-konformes Protokoll aus.
Eine abschließende Anmerkung zum Restrisiko
Diese Checkliste zu bestehen, ist notwendig, nicht hinreichend. Smart Contracts können Bugs haben, die Auditoren übersehen. Märkte können sich bewegen. Stablecoins können entkoppeln. Die ehrliche Einordnung ist, dass diese Checkliste die offensichtlichen Bad Actors und nicht-nachhaltigen Modelle herausfiltert — sie eliminiert das Risiko nicht. Dimensioniere deine Positionen entsprechend, zahle niemals Geld ein, das du dir nicht für die volle Laufzeit des gewählten Plans leisten kannst zu locken, und verifiziere alles selbst on-chain, statt einer einzelnen Quelle zu vertrauen — einschließlich dieses Beitrags.
Der Sinn der Checkliste ist nicht, das „perfekte" Protokoll zu finden. Es ist, sich zu weigern, in Protokolle einzuzahlen, die diese acht Fragen nicht sauber beantworten können. Diese eine Disziplin spart mehr Geld, als jede Yield-Chasing-Strategie je verdient hat.