किसी भी DeFi प्रोजेक्ट में डिपॉज़िट करने से पहले पूछें ये 7 सवाल
किसी भी DeFi प्रोटोकॉल का मूल्यांकन करने के लिए एक दोहराने योग्य चेकलिस्ट — ऑडिट से लेकर LP lock और yield source तक। Turbo Loop पर उदाहरण के साथ समझाया गया।
किसी भी DeFi प्रोजेक्ट में डिपॉज़िट करने से पहले पूछने वाले 7 सवाल
हर साल हज़ारों DeFi प्रोटोकॉल लॉन्च होते हैं। ज़्यादातर फेल हो जाते हैं। मुट्ठी भर ही फलते-फूलते हैं। दोनों के बीच का फ़र्क़ आमतौर पर दिखाई देता है — बशर्ते आपको पता हो कि क्या देखना है।
यह पोस्ट कोई sales pitch नहीं है। यह एक checklist है। मक़सद है आपको एक ऐसा दोहराने योग्य framework देना जिसे आप किसी भी प्रोटोकॉल पर लागू कर सकें जिसका आप मूल्यांकन कर रहे हैं — Turbo Loop, आपकी timeline पर अगली बार आने वाला farm, या कोई ऐसी chain जिसके बारे में आपने पहले कभी नहीं सुना। हम अंत में Turbo Loop को एक उदाहरण के तौर पर इस्तेमाल करते हैं, लेकिन सवाल अपने आप में मायने रखते हैं। अगर कोई प्रोटोकॉल आठों का साफ़ जवाब नहीं दे सकता, तो जवाब यह है कि वहाँ से चले जाओ — landing page पर brand कुछ भी हो।
Checklist से पहले एक छोटी सी बात: नीचे दिए हर सवाल को पास करने से जोखिम ख़त्म नहीं होता। Smart contracts में अनदेखे bugs हो सकते हैं। Oracles fail हो सकते हैं। Markets किसी strategy के ख़िलाफ़ चल सकते हैं। यह checklist जो करती है वह यह है कि catastrophic loss की संभावना — rug, exploit, धीमी निकासी — को तेज़ी से नीचे धकेलती है। Positions को समझदारी से size करना और अपनी ख़ुद की diligence करना अब भी आपकी ज़िम्मेदारी है।
8-सवालों वाली DeFi diligence checklist
1. क्या contract audited है — और क्या आप report पढ़ सकते हैं?
पहला सवाल fake करना सबसे आसान है। हर प्रोजेक्ट कहता है "audited।" बहुत कम ही report पेश कर सकते हैं।
जब आप पूछते हैं "क्या यह audited है," तो असल में आप तीन उप-सवाल पूछ रहे होते हैं:
- Audit किसने किया? Public engagements वाली एक मान्यता प्राप्त firm, या एक no-name दुकान जिसकी website तीन महीने पुरानी है? Auditor का नाम X, GitHub, और उनके पिछले client list पर search करें।
- क्या पूरी report public है? एक-पन्ने का summary नहीं। असली PDF, findings, severity ratings, और team के responses के साथ। अगर कोई प्रोजेक्ट report share नहीं करेगा, तो इसे "नहीं" मानें।
- क्या findings resolve हुईं? Audits लगभग हमेशा issues सामने लाते हैं। सवाल यह है कि क्या team ने launch से पहले high और critical findings को fix किया, और क्या fixes को दोबारा review किया गया।
एक काम का तरीक़ा: report खोलें और "High" और "Critical" sections पर जाएँ। अगर आपको "resolved" या "acknowledged with mitigation" notes के बिना एक लंबी list दिखती है, तो यह problem है। अगर report ज़्यादातर informational और gas-optimization notes है, तो यह एक स्वस्थ संकेत है।
ख़ुद contract verify कैसे करें, इसकी गहराई से समझ के लिए देखें BscScan पर एक DeFi contract verify करना।
2. क्या ownership renounce हुआ है? Block explorer पर verify करें
एक contract जिसका owner अभी भी एक team-controlled wallet है, वह contract है जिसे team बदल सकती है। वे fees बदल सकते हैं। वे withdrawals pause कर सकते हैं। सबसे ख़राब case में — वे tokens mint या logic upgrade कर सकते हैं।
ऐसे करें check, step by step:
- BscScan या Etherscan पर contract खोलें।
- Contract tab पर क्लिक करें, फिर Read Contract।
owner()function ढूँढें और उस पर क्लिक करें।- जो address return होती है उसे पढ़ें।
अगर address 0x0000000000000000000000000000000000000000 (burn address) है, तो contract immutable है — team भी इसे बदल नहीं सकती। अगर address कुछ और है, तो team के पास control बना हुआ है।
ऐसे दो patterns से सावधान रहें जो renouncement जैसे दिखते हैं लेकिन हैं नहीं:
- Multisig owner. एक multisig अकेले wallet से बेहतर है, लेकिन contract अभी भी mutable है। Team अभी भी डोरियाँ खींच सकती है; बस उन्हें ज़्यादा signatures चाहिए।
- Timelock owner. एक timelock changes को एक तय window से delay करता है। Safety के लिए उपयोगी, लेकिन owner अब भी functional है।
कोई भी अपने आप में बुरा नहीं है — लेकिन कोई भी असली 0x00...00 renounce के बराबर नहीं है। जानिए आप क्या देख रहे हैं।
3. Yield कहाँ से आता है?
यह वह सवाल है जो सबसे ज़्यादा बुरे प्रोटोकॉल्स को छानता है। हर yield का एक source होता है। ठीक चार ईमानदार जवाब हैं:
- Trading या swap fees एक असली, इस्तेमाल हो रहे trading product से।
- Lending interest असली borrowers द्वारा चुकाया गया।
- External revenue — gas refunds, MEV capture, real-world assets, treasury yield।
- Validator/staking rewards एक chain को secure करने से।
एक बेईमान जवाब भी है जो कई अलग-अलग तरीक़ों से सजाया जाता है: yield नए deposits से आता है। अगर user A का "interest" user B के principal से चुकाया जा रहा है, तो आप एक Ponzi देख रहे हैं। UI कितना भी चमकदार क्यों न हो, फ़र्क़ नहीं पड़ता।
ख़ुद test करें। Docs पढ़ें और वह वाक्य ढूँढें जो yield source समझाता है। अगर आप उस वाक्य को चार ईमानदार categories में से किसी एक तक नहीं घटा सकते, तो community में पूछें। अगर आपको सीधा जवाब नहीं मिलता, तो जवाब है "नए deposits।"
4. क्या LP locked है? कहाँ? कितने समय के लिए?
जिन प्रोटोकॉल्स में एक token या एक liquidity pool शामिल है, उनके लिए LP lock critical है। "LP" — liquidity pool — वह token जोड़ी है जो लोगों को trade in और out करने देती है। अगर team LP tokens रखती है, तो वे कभी भी liquidity खींच सकते हैं और price को zero पर dump कर सकते हैं। यह classic rug है।
तीन उप-सवाल पूछें:
- LP का कितना हिस्सा locked है? एक credible प्रोटोकॉल के लिए 100% standard है। इससे कम का मतलब है कि कुछ हिस्सा खींचा जा सकता है।
- Lock contract कहाँ है? प्रतिष्ठित lockers में UNCX, Team Finance, और Mudra शामिल हैं। Lock को locker के अपने dashboard पर verify करें, सिर्फ़ प्रोजेक्ट की website पर नहीं।
- कितने समय के लिए? एक साल से कम के locks कमज़ोर हैं। बहु-वर्षीय locks commitment का संकेत देते हैं। Permanent locks (burn address पर भेजे गए) gold standard हैं।
यह क्यों मायने रखता है, इसकी ज़्यादा गहरी treatment के लिए पढ़ें LP lock समझाया गया — liquidity security क्यों मायने रखती है।
5. क्या team की identities ज्ञात हैं — और क्या यह मायने रखता है?
Anonymous teams अपने आप बुरे नहीं हैं। DeFi के कुछ बेहतरीन प्रोटोकॉल्स anons द्वारा बनाए गए थे। लेकिन anon teams इस checklist के हर दूसरे सवाल पर bar बढ़ा देते हैं। अगर आप नहीं जानते कि प्रोटोकॉल के पीछे कौन है, तो आप पूरी तरह से code, audits, renounce status, और lock पर निर्भर हैं। उन चीज़ों को airtight होना ही चाहिए।
Doxxed teams के लिए, बुनियादी due diligence करें। Founders को LinkedIn, X, और GitHub पर देखें। पिछले प्रोजेक्ट्स — सफल और असफल — के लिए check करें। Space में लंबी, traceable history वाली team तीन महीने पहले प्रकट हुई team से काफ़ी सुरक्षित है।
एक काम की heuristic: एक प्रोजेक्ट को या तो doxxed होना चाहिए या पूरी तरह से audited और renounced। जो combinations आपको परेशान करने चाहिए वे हैं बिना audit के anon teams, या वे doxxed teams जिनके code की कभी समीक्षा नहीं हुई।
6. क्या token (या LP token) block explorer पर verifiable है?
BscScan या Etherscan पर एक verified contract का मतलब है कि team ने source code upload किया है और explorer ने पुष्टि की है कि यह deployed bytecode से मेल खाता है। यह किसी को भी — आप, एक auditor, एक जिज्ञासु researcher — असल code पढ़ने देता है, सिर्फ़ bytecode नहीं।
अगर contract verified नहीं है, तो इसे red flag मानें। एक launched प्रोटोकॉल के लिए अपने contract को unverified छोड़ने का कोई अच्छा कारण नहीं है। इसमें कुछ भी ख़र्च नहीं होता और कुछ मिनट लगते हैं।
जब आप explorer पर हों, तो ये भी check करें:
- Holder distribution. एक मुट्ठी भर wallets जो 90% रखते हैं, एक warning sign है।
- Recent transactions. क्या असली users हैं, या सिर्फ़ team और कुछ bots?
- Contract creation date. एक "नया" प्रोजेक्ट जिसका contract दो साल पहले deploy हुआ और सोता रहा, संदिग्ध है। ऐसे ही $10M TVL वाला contract जो कल deploy हुआ हो।
7. क्या math जुड़ती है?
यह वह सवाल है जिसे ज़्यादातर retail users छोड़ देते हैं और ज़्यादातर professionals पहले चलाते हैं। Headline yield देखें और पूछें: प्रोटोकॉल को वह पैसा कहाँ से लाना होगा?
एक मोटा बैक-ऑफ़-एनवेलप test: total value locked लें, headline APY से गुणा करें, और यह प्रोटोकॉल का सालाना yield obligation है। फिर revenue sources देखें और पूछें कि क्या वे sources विश्वसनीय रूप से इतनी income produce कर सकते हैं।
अगर एक प्रोटोकॉल के पास $50M TVL है और वह 30% APY चुका रहा है, तो उसे sustainable होने के लिए प्रति वर्ष $15M की असली revenue चाहिए। क्या trading volume इसे support करता है? क्या lending book करता है? क्या external sources हैं? अगर numbers नहीं जुड़ते, तो प्रोटोकॉल पुरानों को चुकाने के लिए नए deposits से उधार ले रहा है। यह कब का सवाल है, अगर का नहीं।
8. कई platforms पर community signals क्या कहते हैं?
आख़िरी check qualitative है लेकिन ज़रूरी है। स्वस्थ प्रोटोकॉल्स की communities ऐसी होती हैं जो:
- कई platforms पर फैली होती हैं — Telegram, X, Discord, regional channels — सिर्फ़ एक shilly group नहीं।
- कई भाषाओं और regions पर फैली होती हैं। एक global user base किसी एक English-language pump group से fake करना मुश्किल है।
- कठिन सवाल पूछती हैं और team से असली जवाब पाती हैं।
- लंबे समय के holders शामिल करती हैं जो महीनों या सालों से आसपास हैं, सिर्फ़ "I just aped in" posts नहीं।
Telegram पर दिन के एक random समय जाएँ। क्या यह timezones के पार active है, या उत्तरी अमेरिका के सोने पर सब सो जाते हैं? क्या वहाँ एक mod culture है जो ईमानदार सवालों को ban करती है, या कठिन सवालों को असली engagement मिलता है?
उदाहरण: Turbo Loop पर checklist लागू करना
चलिए आठ सवाल Turbo Loop पर चलाते हैं और देखते हैं क्या निकलता है।
- Audited? हाँ। Report public। पूरी report और plain-language summary के लिए security page और security deep dive देखें।
- Ownership renounced? हाँ। BscScan पर
owner()→0x00...00के ज़रिए verifiable। - Yield source? असली, external revenue। USDC/USDT pool से LP rewards, Turbo Swap fees, और Turbo Buy fees। मौजूदा depositors को चुकाने के लिए नए deposits का इस्तेमाल नहीं किया जाता — Loop Plans चल रहे protocol revenue से funded fixed, pre-defined returns देते हैं।
- LP locked? 100% locked। On-chain verifiable।
- Team identity? Public team history, ecosystem में दिखाई देने वाले track record के साथ।
- Token / contract verifiable? हाँ। BscScan पर verified।
- क्या math जुड़ती है? हाँ। चार Loop Plans fixed और immutable हैं: Sprint 7 दिनों में 3% देता है, Boost 14 दिनों में 10% देता है, Power 30 दिनों में 24% देता है, और Ultimate 60 दिनों में 54% देता है। BSC पर minimum deposit 1 USDT है। ये bounded, period-based returns हैं जो असली fee revenue से funded हैं, "1% प्रति दिन हमेशा के लिए" जैसे खुले-अंत वाले दावे नहीं। प्रोटोकॉल ने एक $100K Challenge भी publish किया है जो किसी को भी vulnerability ढूँढने का निमंत्रण देता है।
- Community signals? कई regions और languages पर engaged community, timezones के पार active।
आठ में से आठ। एक checklist-passing प्रोटोकॉल ऐसा दिखता है।
Residual risk पर एक समापन टिप्पणी
इस checklist को पास करना ज़रूरी है, काफ़ी नहीं। Smart contracts में ऐसे bugs हो सकते हैं जिन्हें auditors miss कर दें। Markets बदल सकते हैं। Stablecoins de-peg हो सकते हैं। ईमानदार framing यह है कि यह checklist स्पष्ट bad actors और unsustainable models को filter करती है — यह risk eliminate नहीं करती। अपनी positions को उसी हिसाब से size करें, ऐसा पैसा कभी deposit न करें जिसे आप चुने हुए plan की पूरी अवधि के लिए lock नहीं कर सकते, और किसी एक source पर भरोसा करने के बजाय हर चीज़ ख़ुद on-chain verify करें — इस post सहित।
Checklist का मक़सद "perfect" प्रोटोकॉल ढूँढना नहीं है। यह उन प्रोटोकॉल्स में deposit करने से मना करना है जो इन आठ सवालों का साफ़ जवाब नहीं दे सकते। वह एक अनुशासन किसी भी yield-chasing strategy के कमाए हुए पैसे से ज़्यादा पैसा बचाएगा।