7 คำถามที่ควรถามก่อนฝากเงินเข้าโครงการ DeFi ใดๆ
ผู้ใช้งานส่วนใหญ่มักละเลยคำถามเหล่านี้จนสูญเสียเงิน — 7 ข้อเช็ครายการที่จะช่วยแยกโปรโตคอลที่ยั่งยืนออกจากการหลอกลวงแบบ rug pull
7 คำถามที่ต้องถามก่อนฝากเข้าโปรเจกต์ใดๆ ใน DeFi
โพรโทคอล DeFi เปิดตัวกันเป็นพัน ๆ รายการทุกปี ส่วนใหญ่ล้มเหลว มีเพียงไม่กี่รายที่เติบโต แตกต่างระหว่างสองกลุ่มนี้มักมองเห็นได้ — ถ้าคุณรู้ว่าจะมองหาอะไร
โพสต์นี้ไม่ใช่การชักชวนขาย เป็นเช็คลิสต์ เป้าหมายคือให้กรอบการทำงานที่ทำซ้ำได้ซึ่งคุณสามารถนำไปใช้กับโพรโทคอลใด ๆ ที่คุณกำลังประเมิน — TurboLoop, ฟาร์มถัดไปที่ขึ้นไทม์ไลน์ของคุณ หรือเชนที่คุณไม่เคยได้ยินมาก่อน เราใช้ TurboLoop เป็นตัวอย่างที่ทำงานได้ในตอนท้าย แต่คำถามเหล่านี้มีความหมายในตัวเอง หากโพรโทคอลไม่สามารถตอบทั้งแปดข้อได้อย่างชัดเจน คำตอบคือถอยออกมา ไม่ว่าจะมีแบรนด์อะไรบนหน้าแลนดิ้งเพจ
บันทึกการตั้งกรอบด่วนนิดหนึ่งก่อนเช็คลิสต์: การผ่านทุกคำถามด้านล่างไม่ได้กำจัดความเสี่ยงออกไป สมาร์ตคอนแทรกต์อาจมีบั๊กที่ยังไม่ถูกค้นพบ ออราเคิลอาจล้มเหลว ตลาดอาจเคลื่อนสวนกลยุทธ์ สิ่งที่เช็คลิสต์นี้ทำคือผลักความน่าจะเป็นของการสูญเสียหายนิรันดร์ — rug, exploit, การไหลช้า — ให้ลดลงอย่างมาก คุณยังต้องรับผิดชอบต่อการจัดขนาดตำแหน่งอย่างมีเหตุผลและทำการตรวจสอบด้วยตัวเอง
เช็คลิสต์ความรอบคอบ DeFi 8 คำถาม
1. สัญญาถูก audited — และคุณอ่านรายงานได้หรือไม่?
คำถามแรกเป็นคำถามที่ปลอมได้ง่ายที่สุด ทุกโปรเจกต์พูดว่า "audited" แต่มีไม่กี่โปรเจกต์ที่ยื่นรายงานจริง
เมื่อคุณถามว่า "audited หรือไม่" แท้จริงคุณกำลังถามสามคำถามย่อย:
- ใครเป็นผู้ทำการ audit? บริษัทที่เป็นที่รู้จักมีผลงานสาธารณะ หรือร้านไม่มีชื่อที่เว็บเพจเพิ่งสร้างเมื่อสามเดือนก่อน? ค้นหาชื่อ auditor บน X, GitHub และรายชื่อลูกค้าก่อนหน้านั้น
- รายงานฉบับเต็มเปิดเผยสู่สาธารณะหรือไม่? ไม่ใช่สรุปหน้าเดียว แต่เป็นไฟล์ PDF จริงที่มีข้อค้นพบ ระดับความร้ายแรง และคำตอบจากทีม หากโปรเจกต์ไม่ยอมแชร์รายงาน ให้ถือว่าเป็น "ไม่"
- ข้อค้นพบถูกแก้ไขแล้วหรือไม่? การ audit มักจะเจอประเด็น คำถามคือทีมได้แก้ไขข้อค้นพบระดับสูงและวิกฤตก่อนเปิดตัวหรือไม่ และการแก้ไขเหล่านั้นถูกรีวิวอีกครั้งหรือไม่
เทคนิคที่มีประโยชน์: เปิดรายงานแล้วเลื่อนไปยังส่วน "High" และ "Critical" หากคุณเห็นรายการยาว ๆ โดยไม่มีบันทึกว่า "resolved" หรือ "acknowledged with mitigation" นั่นคือปัญหา หากรายงานส่วนใหญ่เป็นเชิงข้อมูลและข้อเสนอแนะเรื่องการปรับแก๊ส นั่นเป็นสัญญาณที่ดีกว่า
สำหรับการเดินผ่านเชิงลึกเกี่ยวกับวิธีการยืนยันสัญญาด้วยตัวเอง ดูที่ verifying a DeFi contract on BscScan.
2. การสละสิทธิ์ความเป็นเจ้าของ (ownership) ถูกทำหรือยัง? ยืนยันบนบล็อกเอ็กซ์พลอเรอร์
สัญญาที่ยังมีเจ้าของเป็นวอลเล็ตที่ทีมควบคุมคือสัญญาที่ทีมสามารถเปลี่ยนแปลงได้ พวกเขาสามารถเปลี่ยนค่าธรรมเนียม หยุดการถอน หรือ — ในกรณีแย่สุด — สร้างโทเค็นหรืออัปเกรดตรรกะได้
วิธีตรวจสอบทีละขั้นตอน:
- เปิดสัญญาบน BscScan หรือ Etherscan
- คลิกแท็บ Contract แล้วเลือก Read Contract
- หาเมธอด
owner()แล้วคลิก - อ่านที่อยู่ที่มันคืนค่า
ถ้าที่อยู่คือ 0x0000000000000000000000000000000000000000 (ที่อยู่ burn) สัญญาจะเป็น immutable — แม้แต่ทีมก็ไม่สามารถเปลี่ยนมันได้ หากเป็นที่อยู่ใด ๆ อย่างอื่น แสดงว่าทีมยังคงควบคุมได้
ระวังสองรูปแบบที่ดูเหมือนการสละสิทธิ์แต่ไม่ใช่:
- เจ้าของเป็น multisig. Multisig ดีกว่าวอลเล็ตเดี่ยว แต่สัญญายังคงเปลี่ยนได้ ทีมยังสามารถควบคุมได้; เพียงแต่ต้องใช้หลายลายเซ็น
- เจ้าของเป็น timelock. Timelock ชะลอการเปลี่ยนแปลงเป็นช่วงเวลาหนึ่ง มีประโยชน์ด้านความปลอดภัย แต่เจ้าของยังทำงานได้
ทั้งสองแบบไม่จำเป็นต้องแย่ — แต่ก็ไม่เหมือนกับการสละสิทธิ์แบบแท้จริงเป็น 0x00...00 รู้ให้ได้ว่าคุณกำลังดูแบบไหน
3. ผลตอบแทนมาจากที่ไหน?
นี่คือคำถามที่กรองโพรโทคอลแย่ ๆ ได้มากที่สุด ทุกผลตอบแทนต้องมีแหล่งที่มา อย่างซื่อสัตย์มีคำตอบอยู่สี่แบบเท่านั้น:
- ค่าธรรมเนียมการเทรดหรือ swap จากผลิตภัณฑ์การเทรดที่มีการใช้งานจริง
- ดอกเบี้ยเงินกู้ ที่จ่ายโดยผู้ยืมจริง
- รายได้ภายนอก — คืนแก๊ส, การจับ MEV, สินทรัพย์ในโลกจริง, ผลตอบแทนจากคลัง
- รางวัลผู้ยืนยัน/สเตกกิ้ง จากการรักษาความปลอดภัยของเชน
ยังมีคำตอบที่ไม่ซื่อสัตย์ซึ่งมักถูกแต่งเติมด้วยหลายรูปแบบ: ผลตอบแทนมาจากการฝากใหม่ หาก "ดอกเบี้ย" ของผู้ใช้ A ถูกจ่ายจากเงินต้นของผู้ใช้ B คุณกำลังมองเห็น Ponzi ไม่สำคัญว่า UI จะลื่นแค่ไหน
ทดสอบด้วยตัวเอง อ่านเอกสารและหาประโยคที่อธิบายแหล่งที่มาของผลตอบแทน หากคุณไม่สามารถย่อประโยคนั้นให้อยู่ในหนึ่งในสี่ประเภทซื่อสัตย์ได้ ให้ถามในชุมชน หากไม่ได้คำตอบตรง ๆ คำตอบคือ "การฝากใหม่"
[!WARN]
ธงแดงที่ใหญ่ที่สุดในทั้ง DeFi คือผลตอบแทนที่ชัดเจนว่าไม่ยั่งยืน หากโพรโทคอลเสนอ 1% ต่อวันโดยไม่มีแหล่งรายได้ภายนอกที่ชัดเจน คณิตศาสตร์ไม่ทำงาน วิธีเดียวที่จะจ่ายให้ผู้ฝากรายแรกในอัตรานั้นคือนำเงินจากผู้ฝากรายหลัง นั่นคือคำนิยามของแผนโพนซีในรูปแบบสมาร์ตคอนแทรกต์ ผลตอบแทนที่ยั่งยืนใน DeFi ปัจจุบันโดยทั่วไปมักอยู่ในตัวเลขหลักเดียวถึงหลักสิบต้น ๆ ผลตอบแทนสามหลักหรือสี่หลักไม่ใช่ฟีเจอร์ — เป็นสัญญาณเตือน
[/!WARN]
4. LP ถูกล็อกหรือยัง? ที่ไหน? นานเท่าไหร่?
สำหรับโพรโทคอลที่มีโทเค็นหรือพูลสภาพคล่อง การล็อก LP สำคัญมาก "LP" — liquidity pool — คือคู่โทเค็นที่ให้ผู้คนเทรดเข้าออกได้ ถ้าทีมถือโทเค็น LP พวกเขาสามารถดึงสภาพคล่องออกได้ตลอดเวลาแล้วเทราคาลงเป็นศูนย์ นั่นคือ rug คลาสสิก
ถามคำถามย่อยสามข้อ:
- ล็อก LP มากแค่ไหน? 100% เป็นมาตรฐานของโปรโตคอลที่เชื่อถือได้ อะไรที่น้อยกว่านั้นหมายความว่ายังมีส่วนที่สามารถดึงออกได้
- สัญญาล็อกอยู่ที่ไหน? ตัวล็อกที่มีชื่อเสียงได้แก่ UNCX, Team Finance, และ Mudra ยืนยันการล็อกบนแดชบอร์ดของผู้ล็อกเอง ไม่ใช่แค่บนเว็บไซต์โปรเจกต์
- นานเท่าไหร่? การล็อกต่ำกว่า 1 ปีถือว่าอ่อน การล็อกหลายปีบ่งชี้ความมุ่งมั่น การล็อกถาวร (ส่งไปที่ที่อยู่ burn) คือมาตรฐานทองคำ
สำหรับการอธิบายเชิงลึกว่าเหตุใดเรื่องนี้จึงสำคัญ อ่าน LP lock explained — why liquidity security matters.
5. รู้ตัวตนทีมไหม — แล้วเรื่องนี้สำคัญหรือไม่?
ทีมที่ไม่เปิดเผยตัวตนไม่ใช่เรื่องแย่โดยอัตโนมัติ โปรโตคอลที่ดีที่สุดบางอย่างใน DeFi ถูกสร้างโดยอนอน แต่ทีมแอนอนจะยกมาตรฐานของทุกคำถามในเช็คลิสต์นี้ขึ้น ถ้าคุณไม่รู้ว่าใครอยู่เบื้องหลังโพรโทคอล คุณกำลังพึ่งพาโค้ด, รายงาน audit, สถานะการสละสิทธิ์, และการล็อกเท่านั้น สิ่งเหล่านั้นต้องแน่นหนา
สำหรับทีมที่เปิดตัวตน ให้ทำการตรวจสอบพื้นฐาน ค้นหาผู้ก่อตั้งบน LinkedIn, X, และ GitHub ตรวจสอบโปรเจกต์ก่อนหน้า — ทั้งที่ประสบความสำเร็จและล้มเหลว ทีมที่มีประวัติยาวและติดตามได้ในวงการมีความปลอดภัยมากกว่าทีมที่เพิ่งโผล่มาเมื่อสามเดือนก่อนอย่างมีนัยสำคัญ
กฎง่าย ๆ ที่ใช้ได้: โปรเจกต์ควรจะเป็น อย่างใดอย่างหนึ่ง คือเปิดเผยตัวตน หรือ ถูก audit และสละสิทธิ์ความเป็นเจ้าของอย่างสมบูรณ์ การรวมกันที่ควรทำให้คุณกังวลคือทีมแอนอนที่ไม่มี audit หรือทีมที่เปิดเผยตัวตนแต่โค้ดไม่เคยถูกตรวจสอบ
6. โทเค็น (หรือโทเค็น LP) สามารถยืนยันได้บนบล็อกเอ็กซ์พลอเรอร์หรือไม่?
สัญญาที่ได้รับการยืนยันบน BscScan หรือ Etherscan หมายความว่าทีมได้อัปโหลดซอร์สโค้ดและเอ็กซ์พลอเรอร์ได้ยืนยันว่าตรงกับ bytecode ที่ถูก deploy สิ่งนี้ช่วยให้ทุกคน — คุณ, auditor, นักวิจัยที่อยากรู้ — สามารถอ่านโค้ดจริงได้ ไม่ใช่แค่ bytecode
หากสัญญาไม่ได้รับการยืนยัน ให้ถือว่าเป็นธงแดง ไม่มีเหตุผลที่ดีที่โพรโทคอลที่เปิดตัวแล้วจะปล่อยให้สัญญาไม่ได้รับการยืนยัน มันไม่เสียค่าใช้จ่ายและใช้เวลาเพียงไม่กี่นาที
ขณะที่คุณอยู่บนเอ็กซ์พลอเรอร์ ให้ตรวจสอบเพิ่มเติมด้วย:
- การกระจายของผู้ถือ. วอลเล็ตไม่กี่อันที่ถือ 90% เป็นสัญญาณเตือน
- ธุรกรรมล่าสุด. มีผู้ใช้จริง หรือแค่ทีมและบอทไม่กี่ตัว?
- วันที่สร้างสัญญา. โปรเจกต์ "ใหม่" ที่สัญญาถูก deploy เมื่อสองปีที่แล้วและอยู่เฉย ๆ นั้นน่าสงสัย เช่นเดียวกับสัญญาที่ deploy เมื่อวานนี้แต่มี TVL $10M
7. คณิตศาสตร์ถูกต้องหรือไม่?
นี่คือคำถามที่ผู้ใช้รายย่อยส่วนใหญ่ข้ามไป แต่ผู้เชี่ยวชาญส่วนใหญ่จะรันเป็นอันดับแรก ดูที่ผลตอบแทนพาดหัวข่าวแล้วถามว่า: โพรโทคอลจะต้องหาเงินนั้นมาจากไหน?
การทดสอบแบบคร่าว ๆ: นำมูลค่ารวมที่ถูกล็อก (Total Value Locked) คูณด้วยผลตอบแทนพาดหัวข่าว นั่นคือภาระผูกพันผลตอบแทนประจำปีของโพรโทคอล จากนั้นดูแหล่งรายได้และถามว่าแหล่งเหล่านั้นสามารถสร้างรายได้จำนวนมากนั้นได้อย่างน่าเชื่อถือหรือไม่
หากโพรโทคอลมี TVL $50M และจ่ายผลตอบแทน 30% มันต้องการรายได้จริง $15M ต่อปีเพื่อความยั่งยืน ปริมาณการเทรดสนับสนุนสิ่งนั้นหรือไม่? บัญชีเงินกู้สนับสนุนหรือไม่? มีแหล่งภายนอกหรือไม่? หากตัวเลขไม่สอดคล้องกัน โพรโทคอลกำลังกู้ยืมจากเงินฝากใหม่เพื่อจ่ายเงินฝากเก่า มันเป็นคำถามว่าเมื่อไหร่ ไม่ใช่ว่าหรือไม่
8. สัญญาณจากชุมชนบนหลายแพลตฟอร์มบอกอะไร?
การตรวจสอบสุดท้ายเป็นเชิงคุณภาพแต่สำคัญ โพรโทคอลที่ดีมีชุมชนที่:
- ครอบคลุมหลายแพลตฟอร์ม — Telegram, X, Discord, ช่องทางภูมิภาค — ไม่ใช่แค่กลุ่ม shilly กลุ่มเดียว
- ครอบคลุมหลายภาษาและภูมิภาค. ฐานผู้ใช้ทั่วโลกยากที่จะปลอมแปลงมากกว่ากลุ่มปั๊มภาษาอังกฤษกลุ่มเดียว
- ถามคำถามยาก ๆ และได้รับคำตอบจริงจากทีม
- รวมถึงผู้ถือระยะยาว ที่อยู่มานานหลายเดือนหรือหลายปี ไม่ใช่แค่โพสต์ "I just aped in"
เยี่ยมชม Telegram ในเวลาสุ่มของวัน มันแอคทีฟข้ามไทม์โซนหรือไม่ หรือทุกคนหลับเมื่ออเมริกาเหนือหลับ? มีวัฒนธรรม mod ที่แบนคำถามที่ซื่อสัตย์หรือไม่ หรือคำถามยาก ๆ ได้รับการมีส่วนร่วมจริงจัง?
ตัวอย่างปฏิบัติ: นำเช็คลิสต์ไปใช้กับ TurboLoop
มารันแปดคำถามบน TurboLoop และดูผลลัพธ์
- Audited? ใช่ รายงานสาธารณะ ดู security page สำหรับรายงานฉบับเต็มและสรุปเป็นภาษาง่ายใน security deep dive.
- Ownership renounced? ใช่ ยืนยันได้บน BscScan ผ่าน
owner()→0x00...00. - Yield source? รายได้ภายนอกจริง: รางวัล LP จากพูล USDC/USDT, ค่าธรรมเนียมจาก Turbo Swap, และค่าธรรมเนียมจาก Turbo Buy การฝากใหม่ไม่ได้ถูกใช้จ่ายให้ผู้ฝากเดิม — Loop Plans จ่ายผลตอบแทนที่กำหนดไว้ล่วงหน้าและถูกจ่ายจากรายได้ที่เกิดขึ้นอย่างต่อเนื่องของโปรโตคอล
- LP locked? 100% ถูกล็อก ยืนยันบนเชนได้
- Team identity? ทีมเปิดเผยตัวตน มีประวัติที่ตรวจสอบได้ในระบบนิเวศ
- Token / contract verifiable? ใช่ ยืนยันบน BscScan แล้ว
- Does the math add up? ใช่ แผนทั้งสี่ของ Loop Plans เป็น คงที่และไม่สามารถเปลี่ยนได้: Sprint จ่าย 3% ใน 7 วัน, Boost จ่าย 10% ใน 14 วัน, Power จ่าย 24% ใน 30 วัน, และ Ultimate จ่าย 54% ใน 60 วัน ขั้นต่ำฝากคือ 1 USDT บน BSC การจ่ายเหล่านี้เป็นผลตอบแทนแบบมีขอบเขตตามช่วงเวลา ได้รับทุนจากรายได้ค่าธรรมเนียมจริง ไม่ใช่คำกล่าวว่า "1% ต่อวันตลอดไป" โปรโตคอลยังได้เผยแพร่ $100K Challenge เชิญให้ใครก็ได้ค้นหาช่องโหว่
- Community signals? คอมมูนิตี้มีการมีส่วนร่วมข้ามหลายภูมิภาคและภาษา มีความเคลื่อนไหวข้ามไทม์โซน
ได้ครบทั้งแปด ข้อนี่คือรูปลักษณ์ของโปรโตคอลที่ผ่านเช็คลิสต์
หมายเหตุปิดท้ายเกี่ยวกับความเสี่ยงที่หลงเหลือ
การผ่านเช็คลิสต์นี้เป็นสิ่งจำเป็น แต่ไม่เพียงพอ สมาร์ตคอนแทรกต์อาจมีบั๊กที่นักตรวจสอบพลาด ตลาดอาจเคลื่อนไหว สเตเบิลคอยน์อาจหลุดเพ็ก การกล่าวตามตรงคือเช็คลิสต์นี้คัดกรองตัวร้ายที่ชัดและโมเดลที่ไม่ยั่งยืนออก — แต่ไม่สามารถกำจัดความเสี่ยงได้ทั้งหมด กำหนดขนาดตำแหน่งของคุณอย่างเหมาะสม อย่าฝากเงินที่คุณไม่สามารถทิ้งไว้เป็นเวลาตามแผน และยืนยันทุกอย่างบนเชนด้วยตัวคุณเองแทนการเชื่อแหล่งเดียว — รวมถึงโพสต์นี้ด้วย
จุดประสงค์ของเช็คลิสต์ไม่ใช่หาโปรโตคอลที่ "สมบูรณ์แบบ" แต่เพื่อปฏิเสธการฝากเข้าโปรโตคอลที่ไม่สามารถตอบคำถามทั้งแปดอย่างชัดเจน วินัยข้อนี้จะช่วยประหยัดเงินได้มากกว่ากลยุทธ์การไล่ผลตอบแทนใดๆ ที่เคยทำให้ได้มา