Как проверять смарт-контракт, если ты не Solidity-разработчик
Ещё 5 лет назад обычному пользователю сюда было почти не подступиться: разве что доверять сторонним аудитам. Сейчас это уже проще, хотя и не гарантирует защиту от взломов.
Если проект получил несколько аудитов от разных компаний, можно для начала проверить по ним:
1. Все ли смарт-контракты проверены? Передайте ИИ PDF-файлы аудитов и репозиторий со смарт-контрактами.
Я это делаю всегда, когда изучаю новый проект.
2. Не было ли существенных новых версий после проверки специалистами? Если да, там уже могли появиться новые уязвимости.
Но это не самый интересный метод.
Можно проверить и по-другому.
Подключаете к сайту проекта не основной кошелёк.
Запускаете транзакцию и копируете адрес смарт-контракта из кошелька.
Смотрите, какая сеть, и вставляете адрес в блок-эксплорер. Например, так:
https://arbiscan.io/address/0x...#code
И увидите код. Скопируйте его и дайте нейросети.
Если ИИ говорит, что это прокси-контракт (контракт-прокладка, который ведёт на основной), идёте в contract -> read contract. Дальше ищите функцию прокси-контракта, которая отвечает за адрес основного смарт-контракта. ChatGPT или другая нейросеть часто может подсказать, куда смотреть дальше.
Потом уже смотрите, что именно он нашёл, и используете это как дополнительный сигнал, а не как единственное основание для решения.
Но даже в этом случае я бы не отправлял в такие проекты больше 2% портфеля - это риск. Особенно сейчас, когда взломов всё больше.
А теперь более глубокий вариант анализа кода.
Есть Codex CLI и Claude Code - специальные приложения от нейросетей, которые позволяют анализировать код эффективнее.
Даёте им ссылки на explorer и GitHub (они обычно есть на сайте или в документации), и через несколько минут получаете разбор кода контракта.
Как минимум тем, кто лазит по разным новым проектам, это важная фича: можно заметить хотя бы часть опасных механик, например 100% комиссию, обмены в одну сторону или возможность вывода средств админами.
А вы вообще проверяете смарт-контракты перед входом в DeFi-проект или полагаетесь на аудиты?
#аналитика #AI
😎 Незрячий web3 программист (подписаться)
Чат | бот
Ещё 5 лет назад обычному пользователю сюда было почти не подступиться: разве что доверять сторонним аудитам. Сейчас это уже проще, хотя и не гарантирует защиту от взломов.
Если проект получил несколько аудитов от разных компаний, можно для начала проверить по ним:
1. Все ли смарт-контракты проверены? Передайте ИИ PDF-файлы аудитов и репозиторий со смарт-контрактами.
Я это делаю всегда, когда изучаю новый проект.
2. Не было ли существенных новых версий после проверки специалистами? Если да, там уже могли появиться новые уязвимости.
Но это не самый интересный метод.
Можно проверить и по-другому.
Подключаете к сайту проекта не основной кошелёк.
Запускаете транзакцию и копируете адрес смарт-контракта из кошелька.
Смотрите, какая сеть, и вставляете адрес в блок-эксплорер. Например, так:
https://arbiscan.io/address/0x...#code
И увидите код. Скопируйте его и дайте нейросети.
Если ИИ говорит, что это прокси-контракт (контракт-прокладка, который ведёт на основной), идёте в contract -> read contract. Дальше ищите функцию прокси-контракта, которая отвечает за адрес основного смарт-контракта. ChatGPT или другая нейросеть часто может подсказать, куда смотреть дальше.
Потом уже смотрите, что именно он нашёл, и используете это как дополнительный сигнал, а не как единственное основание для решения.
Но даже в этом случае я бы не отправлял в такие проекты больше 2% портфеля - это риск. Особенно сейчас, когда взломов всё больше.
А теперь более глубокий вариант анализа кода.
Есть Codex CLI и Claude Code - специальные приложения от нейросетей, которые позволяют анализировать код эффективнее.
Даёте им ссылки на explorer и GitHub (они обычно есть на сайте или в документации), и через несколько минут получаете разбор кода контракта.
Как минимум тем, кто лазит по разным новым проектам, это важная фича: можно заметить хотя бы часть опасных механик, например 100% комиссию, обмены в одну сторону или возможность вывода средств админами.
А вы вообще проверяете смарт-контракты перед входом в DeFi-проект или полагаетесь на аудиты?
#аналитика #AI
😎 Незрячий web3 программист (подписаться)
Чат | бот
1🔥9👏5❤2
Что стало полезнее в TCCC AI за последние дни
Две недели назад я уже писал про свой проект TCCC AI.
С тех пор добавил ещё несколько вещей, которые делают сервис удобнее в использовании и полезнее в самой аналитике.
Первое обновление - retention reminders.
Теперь проект умеет напоминать о себе и через Telegram, и через email раз в 30 дней.
При этом там уже есть:
• подтверждение;
• отписка;
• сохранение языка;
• и защита от лишних повторов, чтобы не заспамить человека письмами.
Для меня это важный шаг, потому что напоминания полезны только до тех пор, пока не начинают раздражать.
Второе обновление - проверка по документации теперь лучше работает вместе с аудитами в PDF.
Раньше верификация по документации уже была полезной, но теперь сервис лучше подтягивает в анализ ещё и содержимое аудитов в PDF.
Это значит, что картина по проекту собирается не только по сайту и документации, но и по отдельным аудиторским документам, если они есть.
Для аналитики это важно.
Потому что сайт проекта и даже документация могут рассказывать не всё. А аудиты иногда как раз показывают то, что маркетинг предпочитает не выносить на первый экран.
Третье обновление - сайт стал понятнее на входе.
Я обновил тексты на главной, поправил объяснение того, почему сервису можно доверять, и добавил цену аудита в долларах.
Это выглядит как мелочь, но на практике такие вещи тоже важны.
Если человек не понимает, что именно делает сервис, сколько это стоит и почему ему можно доверять, он может отвалиться ещё до первого запуска.
За последние дни TCCC AI стал:
• удобнее в использовании;
• аккуратнее в напоминаниях;
• глубже в проверке проектов;
• понятнее для нового человека на входе.
Отдельно могу потом показать на живом примере, как изменилось качество анализа после добавления PDF-аудитов в общий разбор проекта.
Пишите проекты в комментариях.
Если хотите сами посмотреть, как это работает на практике, сервис доступен на https://tcccai.xyz
Пример: Анализ Injective.
😎 Незрячий web3 программист (подписаться)
Чат | бот
Две недели назад я уже писал про свой проект TCCC AI.
С тех пор добавил ещё несколько вещей, которые делают сервис удобнее в использовании и полезнее в самой аналитике.
Первое обновление - retention reminders.
Теперь проект умеет напоминать о себе и через Telegram, и через email раз в 30 дней.
При этом там уже есть:
• подтверждение;
• отписка;
• сохранение языка;
• и защита от лишних повторов, чтобы не заспамить человека письмами.
Для меня это важный шаг, потому что напоминания полезны только до тех пор, пока не начинают раздражать.
Второе обновление - проверка по документации теперь лучше работает вместе с аудитами в PDF.
Раньше верификация по документации уже была полезной, но теперь сервис лучше подтягивает в анализ ещё и содержимое аудитов в PDF.
Это значит, что картина по проекту собирается не только по сайту и документации, но и по отдельным аудиторским документам, если они есть.
Для аналитики это важно.
Потому что сайт проекта и даже документация могут рассказывать не всё. А аудиты иногда как раз показывают то, что маркетинг предпочитает не выносить на первый экран.
Третье обновление - сайт стал понятнее на входе.
Я обновил тексты на главной, поправил объяснение того, почему сервису можно доверять, и добавил цену аудита в долларах.
Это выглядит как мелочь, но на практике такие вещи тоже важны.
Если человек не понимает, что именно делает сервис, сколько это стоит и почему ему можно доверять, он может отвалиться ещё до первого запуска.
За последние дни TCCC AI стал:
• удобнее в использовании;
• аккуратнее в напоминаниях;
• глубже в проверке проектов;
• понятнее для нового человека на входе.
Отдельно могу потом показать на живом примере, как изменилось качество анализа после добавления PDF-аудитов в общий разбор проекта.
Пишите проекты в комментариях.
Если хотите сами посмотреть, как это работает на практике, сервис доступен на https://tcccai.xyz
Пример: Анализ Injective.
😎 Незрячий web3 программист (подписаться)
Чат | бот
🔥9👏1
Привет!
Я, незрячий web3-разработчик и аналитик.
Здесь я пишу о том, что сам реально проверяю и использую:
• web3-проекты: качество, токеномика, риски, практика;
• ИИ в работе: агенты, рабочий процесс, автоматизация, реальные кейсы;
• свои инструменты и боты;
• доступность интерфейсов глазами незрячего пользователя.
Что можно получить в канале:
• более глубокий взгляд на крипто-проекты;
• практические способы использовать ИИ с пользой;
• разборы инструментов, кода и рабочих подходов;
• редкий взгляд на доступность цифровых продуктов изнутри.
С чего начать:
• Как проверять смарт-контракт через ИИ
• Я 2 месяца активно вайд-кодю. Вот что понял
• Как я пишу код без зрения: 32 вопроса незрячему программисту
• Как я за 7 часов без зрения сделал сайт-портфолио
Если тебе близки web3, AI, инструменты и практический взгляд без хайпа, оставайся. И если не подписался, буду рад подписке.
😎 Незрячий web3 программист (подписаться)
Чат | бот
Я, незрячий web3-разработчик и аналитик.
Здесь я пишу о том, что сам реально проверяю и использую:
• web3-проекты: качество, токеномика, риски, практика;
• ИИ в работе: агенты, рабочий процесс, автоматизация, реальные кейсы;
• свои инструменты и боты;
• доступность интерфейсов глазами незрячего пользователя.
Что можно получить в канале:
• более глубокий взгляд на крипто-проекты;
• практические способы использовать ИИ с пользой;
• разборы инструментов, кода и рабочих подходов;
• редкий взгляд на доступность цифровых продуктов изнутри.
С чего начать:
• Как проверять смарт-контракт через ИИ
• Я 2 месяца активно вайд-кодю. Вот что понял
• Как я пишу код без зрения: 32 вопроса незрячему программисту
• Как я за 7 часов без зрения сделал сайт-портфолио
Если тебе близки web3, AI, инструменты и практический взгляд без хайпа, оставайся. И если не подписался, буду рад подписке.
😎 Незрячий web3 программист (подписаться)
Чат | бот
3🔥12👍6❤2👏1
Как я перенёс данные между серверами за 30 минут вместо суток ручной возни
Раньше часть нужного мне работала на сервере с 16 ГБ оперативки и другими нормальными ресурсами.
Но то, что съедало большую часть мощности, мне уже стало не нужно.
И 9 апреля я подумал: зачем переплачивать?
До того, как я начал нормально использовать ИИ, такой перенос выглядел бы для меня примерно так:
1. Найти все нужные файлы, папки и сервисы.
2. Запустить копирование и ждать.
3. Потом попытаться поднять всё на новом сервере и, возможно, уткнуться в ошибки.
4. Дальше разбираться, как это чинить, через поисковики, форумы и нервотрёпку.
И это ещё в хорошем случае.
Я не уверен, что раньше уложился бы в сутки.
Вполне мог провозиться и дольше.
С ИИ всё прошло намного проще.
Я поставил Codex CLI, то есть консольную программу с ChatGPT.
Сначала попросил его составить план переноса данных на другой сервер с учётом запущенных сервисов и записать в файл.
Когда план был готов, я дал Codex доступы к новому серверу и попросил запускать перенос.
Дальше он уже сам выполнял шаги, проверял ошибки и поднимал всё, что нужно.
Мне оставалось только смотреть, как идёт процесс, и потом проверить результат.
В итоге всё заработало.
Вот в такие моменты разница между “просто чат с нейросетью” и ИИ-агентом для меня особенно заметна.
Потому что здесь речь уже не про "подскажи команду" и не про "объясни, что делать дальше".
Здесь ИИ реально берёт на себя рабочую задачу:
• строит план;
• выполняет шаги;
• проверяет, где что сломалось;
• и доводит до рабочего состояния.
Без минусов, конечно, не обошлось.
Codex CLI - консольное приложение.
То есть пришлось заходить на сервер и запускать всё уже там.
Для меня это нормально, но для кого-то может быть менее удобно.
Тут есть и другие варианты.
Можно было бы использовать, например, Cursor или VS Code с Codex.
Но мне такой вариант нравится меньше: вызов извне кажется менее надёжным.
Можно было бы использовать и OpenClaw или Hermes.
Но на том сервере у меня стояла поломанная экспериментальная версия, а основной экземпляр задействовать не хотелось. Это был бы уже третий сервер в связке с двумя другими, а такая схема для меня менее надёжна.
Хотя, думаю, в рабочей конфигурации я бы смог просто попросить ассистента прямо в Telegram перенести всё на другой сервер, и он бы это сделал.
Итог
ИИ особенно полезен не там, где он просто отвечает на вопросы, а там, где может взять на себя целый кусок реальной работы.
В моём случае это сэкономило не только время, но и избавило от лишней возни.
А у вас есть задача, на которую уходит несколько часов, и которую вы бы первым делом отдали ИИ?
#AI
😎 Незрячий web3 программист (подписаться)
Чат | бот
Раньше часть нужного мне работала на сервере с 16 ГБ оперативки и другими нормальными ресурсами.
Но то, что съедало большую часть мощности, мне уже стало не нужно.
И 9 апреля я подумал: зачем переплачивать?
До того, как я начал нормально использовать ИИ, такой перенос выглядел бы для меня примерно так:
1. Найти все нужные файлы, папки и сервисы.
2. Запустить копирование и ждать.
3. Потом попытаться поднять всё на новом сервере и, возможно, уткнуться в ошибки.
4. Дальше разбираться, как это чинить, через поисковики, форумы и нервотрёпку.
И это ещё в хорошем случае.
Я не уверен, что раньше уложился бы в сутки.
Вполне мог провозиться и дольше.
С ИИ всё прошло намного проще.
Я поставил Codex CLI, то есть консольную программу с ChatGPT.
Сначала попросил его составить план переноса данных на другой сервер с учётом запущенных сервисов и записать в файл.
Когда план был готов, я дал Codex доступы к новому серверу и попросил запускать перенос.
Дальше он уже сам выполнял шаги, проверял ошибки и поднимал всё, что нужно.
Мне оставалось только смотреть, как идёт процесс, и потом проверить результат.
В итоге всё заработало.
Вот в такие моменты разница между “просто чат с нейросетью” и ИИ-агентом для меня особенно заметна.
Потому что здесь речь уже не про "подскажи команду" и не про "объясни, что делать дальше".
Здесь ИИ реально берёт на себя рабочую задачу:
• строит план;
• выполняет шаги;
• проверяет, где что сломалось;
• и доводит до рабочего состояния.
Без минусов, конечно, не обошлось.
Codex CLI - консольное приложение.
То есть пришлось заходить на сервер и запускать всё уже там.
Для меня это нормально, но для кого-то может быть менее удобно.
Тут есть и другие варианты.
Можно было бы использовать, например, Cursor или VS Code с Codex.
Но мне такой вариант нравится меньше: вызов извне кажется менее надёжным.
Можно было бы использовать и OpenClaw или Hermes.
Но на том сервере у меня стояла поломанная экспериментальная версия, а основной экземпляр задействовать не хотелось. Это был бы уже третий сервер в связке с двумя другими, а такая схема для меня менее надёжна.
Хотя, думаю, в рабочей конфигурации я бы смог просто попросить ассистента прямо в Telegram перенести всё на другой сервер, и он бы это сделал.
Итог
ИИ особенно полезен не там, где он просто отвечает на вопросы, а там, где может взять на себя целый кусок реальной работы.
В моём случае это сэкономило не только время, но и избавило от лишней возни.
А у вас есть задача, на которую уходит несколько часов, и которую вы бы первым делом отдали ИИ?
#AI
😎 Незрячий web3 программист (подписаться)
Чат | бот
🔥12👍3
7 красных флагов, которые я проверяю в криптопроектах в первую очередь
Меня как-то спросили, на какие сигналы в криптопроектах я смотрю в первую очередь. Собрал их в один пост.
Да, про 4К+ анализ я уже рассказывал. Но это общая схема аналитики.
1. Слишком молодой домен
Я почти никогда не участвую в проектах с сайтом младше месяца, особенно финансово. Для меня это слишком большой риск, даже если обещают хорошие награды.
2. Плохая доступность сайта и/или явные ошибки в тексте
У нормальных проектов сайт обычно хотя бы базово доступен.
Если сайт плохо работает со screen reader или в тексте встречаются вещи вроде Coect walet вместо Connect wallet, это уже настораживает. Да, это может быть и небрежность. Но она тоже многое говорит о проекте.
3. Плохая репутация основателей - или полное отсутствие информации о них
Если у основателей уже была плохая история, это серьёзный сигнал.
Когда команда анонимная - это не приговор: хороших анонимных проектов тоже хватает. Но на этапе первого знакомства это всё равно повышает риск.
Для такой проверки я обычно смотрю RootData, LinkedIn, сайт, документацию и обсуждения в соцсетях.
4. Нет нормальной коммуникации с сообществом
Если команда не отвечает на вопросы, особенно на аргументированный негатив, - это плохой знак.
Отдельно заставляет задуматься, если у проекта вообще нет Discord или Telegram, а в X при этом только восторженные комментарии.
5. Нет нормальной документации
В документации должны быть хотя бы базовые вещи: функциональность, технологии, комиссии.
Если этого нет, доверия к проекту становится меньше.
6. Агрессивные обещания доходности
Фразы в духе "инвестируйте быстрее" или обещания высокой доходности без внятного объяснения механики - классический повод быть осторожнее.
Многие до сих пор помнят Terra LUNA и 20% годовых на UST. Для стейблкоина это была совсем немаленькая доходность, но о рисках тогда задумывались не все.
7. Странные подписи при тестировании кошельком
Один из самых серьёзных флагов - когда при тесте с отдельного кошелька появляются непонятные нетекстовые подписи.
Даже в Hyperliquid и других perp DEX обычно можно понять смысл действия, даже если там JSON или техническая структура.
Если же подпись скрыта за хешем, выглядит нетипично или при входе сразу просят approve / permit на все USDC, я бы таким проектом не пользовался.
Это не полный список, но именно эти сигналы я проверяю в первую очередь.
А какие красные флаги у проектов чаще всего замечаете вы?
И какие из этих пунктов вы сами считаете самыми важными?
У меня 1, 2, 3 и 7 пункты встречаются редко.
4-й бывает иногда.
5-й тоже встречается, но реже.
😎 Незрячий web3 программист (подписаться)
Чат | бот
Меня как-то спросили, на какие сигналы в криптопроектах я смотрю в первую очередь. Собрал их в один пост.
Да, про 4К+ анализ я уже рассказывал. Но это общая схема аналитики.
1. Слишком молодой домен
Я почти никогда не участвую в проектах с сайтом младше месяца, особенно финансово. Для меня это слишком большой риск, даже если обещают хорошие награды.
2. Плохая доступность сайта и/или явные ошибки в тексте
У нормальных проектов сайт обычно хотя бы базово доступен.
Если сайт плохо работает со screen reader или в тексте встречаются вещи вроде Coect walet вместо Connect wallet, это уже настораживает. Да, это может быть и небрежность. Но она тоже многое говорит о проекте.
3. Плохая репутация основателей - или полное отсутствие информации о них
Если у основателей уже была плохая история, это серьёзный сигнал.
Когда команда анонимная - это не приговор: хороших анонимных проектов тоже хватает. Но на этапе первого знакомства это всё равно повышает риск.
Для такой проверки я обычно смотрю RootData, LinkedIn, сайт, документацию и обсуждения в соцсетях.
4. Нет нормальной коммуникации с сообществом
Если команда не отвечает на вопросы, особенно на аргументированный негатив, - это плохой знак.
Отдельно заставляет задуматься, если у проекта вообще нет Discord или Telegram, а в X при этом только восторженные комментарии.
5. Нет нормальной документации
В документации должны быть хотя бы базовые вещи: функциональность, технологии, комиссии.
Если этого нет, доверия к проекту становится меньше.
6. Агрессивные обещания доходности
Фразы в духе "инвестируйте быстрее" или обещания высокой доходности без внятного объяснения механики - классический повод быть осторожнее.
Многие до сих пор помнят Terra LUNA и 20% годовых на UST. Для стейблкоина это была совсем немаленькая доходность, но о рисках тогда задумывались не все.
7. Странные подписи при тестировании кошельком
Один из самых серьёзных флагов - когда при тесте с отдельного кошелька появляются непонятные нетекстовые подписи.
Даже в Hyperliquid и других perp DEX обычно можно понять смысл действия, даже если там JSON или техническая структура.
Если же подпись скрыта за хешем, выглядит нетипично или при входе сразу просят approve / permit на все USDC, я бы таким проектом не пользовался.
Это не полный список, но именно эти сигналы я проверяю в первую очередь.
А какие красные флаги у проектов чаще всего замечаете вы?
И какие из этих пунктов вы сами считаете самыми важными?
У меня 1, 2, 3 и 7 пункты встречаются редко.
4-й бывает иногда.
5-й тоже встречается, но реже.
😎 Незрячий web3 программист (подписаться)
Чат | бот
1👍9
Как я ищу проекты и анализирую их в TCCC AI
Решил специально взять проект с доходностью 2000-4000%, чтобы проверить, что будет не так.
Чаще всего я нахожу проекты через DefiLlama. Да, есть и другие ресурсы вроде Dune или Cryptorank. Но именно здесь мне удобнее всего сначала отбирать кандидатов.
Обычно схема простая:
захожу на главную, открываю Old Menu -> Yields -> All Projects и попадаю на страницу DeFi Yield Projects & Protocols.
Дальше сортирую по Median APY и смотрю, что находится сверху.
В этот раз я выбрал Zeebu. У него средний процент на момент написания поста около 4000%!
Сразу оговорюсь: я не советую использовать этот проект только потому, что у него высокий APY. Наоборот, слишком высокий процент уже сам по себе повод насторожиться. Но как пример для аудита проект получился показательный.
Дальше я перешёл на страницу проекта в DefiLlama, открыл сайт zeebu.fi, вставил его в tcccai.xyz, оплатил аудит и дождался результата.
Результат аудита:
https://tcccai.xyz/output/tccc-modwomobzo7nn/index.html
Что он показал.
1. Команда раскрыта только частично
Отдельные имена, LinkedIn и данные о компании найти можно. Но целостной и понятной структуры управления я не увидел. Для проекта с такими амбициями это уже минус.
2. Идея у Zeebu есть, но вопросов всё равно много
По документации видно, что у Zeebu есть рабочая схема. Описаны роли участников, модель с veZBU, распределение комиссий и условия входа для ключевых участников.
Но этого мало. По документации всё ещё неясно, кто стоит за проектом, как устроена токеномика, какие здесь риски и есть ли у проекта внятный план развития.
3. По метрикам есть серьёзные вопросы
Проект заявляет более 9-10 млрд долларов объёма расчётов и 140+ организаций.
Но при этом на главной странице сайта в момент проверки отображались нулевые значения по Protocol Revenue, Volume Processed и Protocol Yield, а APY и TVL (объём средств в протоколе) были показаны прочерками.
В DefiLlama картина тоже странная: TVL = 0, хотя застейкано около 2.74 млн долларов.
То есть публичные цифры между собой не сходятся.
4. Токеномика выглядит неполной
У ZBU заявлено широкое применение: расчёты, награды, стейкинг, veZBU (заблокированная версия токена с правами/бонусами). Также заявлена комиссия 2% внутри экономики протокола. Но если выручка на практике не подтверждается, то и реальная ценность токена остаётся под вопросом.
Под реальной ценностью считаю то, что создаёт спрос. А реальная прибыль протокола может его формировать через выкупы или награды стейкерам.
Плюс не хватает прозрачности по распределению токенов, разблокировкам и долям команды.
5. Аудиты есть, но обзор неполный
Аудиты отдельных компонентов - это плюс. Но ключевые части протокола публично раскрыты не полностью.
В итоге проверялись отдельные элементы, а не вся система целиком.
6. Есть риски централизации и управления
ZBU описан как обновляемый прокси-контракт. Это значит, что критичные параметры могут меняться.
Если при этом нет понятной схемы с мультиподписью и таймлоком, риск ручного управления остаётся высоким.
Вывод
Я выбрал Zeebu специально как показательный пример.
Когда у проекта заявлена доходность на уровне 2000-4000%, для меня это не повод заходить, а повод разбирать его особенно внимательно.
И как раз здесь TCCC AI оказался полезен.
Он помогает быстро пройтись не по обещаниям, а по проверяемым вещам: что у проекта с метриками, токеномикой, раскрытием ключевых данных и насколько его заявления сходятся с тем, что видно по открытым источникам.
По итогу вывод для меня простой:
если проект обещает аномально высокий APY, то по умолчанию я жду не "уникальную возможность", а повышенный риск.
И аудит Zeebu это скорее подтвердил, чем опроверг.
А вы в каком проекте последний раз участвовали? И для вас доходность 2000-4000% - это ещё возможность или уже сразу красный флаг?
😎 Незрячий web3 программист (подписаться)
Чат | бот
Решил специально взять проект с доходностью 2000-4000%, чтобы проверить, что будет не так.
Чаще всего я нахожу проекты через DefiLlama. Да, есть и другие ресурсы вроде Dune или Cryptorank. Но именно здесь мне удобнее всего сначала отбирать кандидатов.
Обычно схема простая:
захожу на главную, открываю Old Menu -> Yields -> All Projects и попадаю на страницу DeFi Yield Projects & Protocols.
Дальше сортирую по Median APY и смотрю, что находится сверху.
В этот раз я выбрал Zeebu. У него средний процент на момент написания поста около 4000%!
Сразу оговорюсь: я не советую использовать этот проект только потому, что у него высокий APY. Наоборот, слишком высокий процент уже сам по себе повод насторожиться. Но как пример для аудита проект получился показательный.
Дальше я перешёл на страницу проекта в DefiLlama, открыл сайт zeebu.fi, вставил его в tcccai.xyz, оплатил аудит и дождался результата.
Результат аудита:
https://tcccai.xyz/output/tccc-modwomobzo7nn/index.html
Что он показал.
1. Команда раскрыта только частично
Отдельные имена, LinkedIn и данные о компании найти можно. Но целостной и понятной структуры управления я не увидел. Для проекта с такими амбициями это уже минус.
2. Идея у Zeebu есть, но вопросов всё равно много
По документации видно, что у Zeebu есть рабочая схема. Описаны роли участников, модель с veZBU, распределение комиссий и условия входа для ключевых участников.
Но этого мало. По документации всё ещё неясно, кто стоит за проектом, как устроена токеномика, какие здесь риски и есть ли у проекта внятный план развития.
3. По метрикам есть серьёзные вопросы
Проект заявляет более 9-10 млрд долларов объёма расчётов и 140+ организаций.
Но при этом на главной странице сайта в момент проверки отображались нулевые значения по Protocol Revenue, Volume Processed и Protocol Yield, а APY и TVL (объём средств в протоколе) были показаны прочерками.
В DefiLlama картина тоже странная: TVL = 0, хотя застейкано около 2.74 млн долларов.
То есть публичные цифры между собой не сходятся.
4. Токеномика выглядит неполной
У ZBU заявлено широкое применение: расчёты, награды, стейкинг, veZBU (заблокированная версия токена с правами/бонусами). Также заявлена комиссия 2% внутри экономики протокола. Но если выручка на практике не подтверждается, то и реальная ценность токена остаётся под вопросом.
Под реальной ценностью считаю то, что создаёт спрос. А реальная прибыль протокола может его формировать через выкупы или награды стейкерам.
Плюс не хватает прозрачности по распределению токенов, разблокировкам и долям команды.
5. Аудиты есть, но обзор неполный
Аудиты отдельных компонентов - это плюс. Но ключевые части протокола публично раскрыты не полностью.
В итоге проверялись отдельные элементы, а не вся система целиком.
6. Есть риски централизации и управления
ZBU описан как обновляемый прокси-контракт. Это значит, что критичные параметры могут меняться.
Если при этом нет понятной схемы с мультиподписью и таймлоком, риск ручного управления остаётся высоким.
Вывод
Я выбрал Zeebu специально как показательный пример.
Когда у проекта заявлена доходность на уровне 2000-4000%, для меня это не повод заходить, а повод разбирать его особенно внимательно.
И как раз здесь TCCC AI оказался полезен.
Он помогает быстро пройтись не по обещаниям, а по проверяемым вещам: что у проекта с метриками, токеномикой, раскрытием ключевых данных и насколько его заявления сходятся с тем, что видно по открытым источникам.
По итогу вывод для меня простой:
если проект обещает аномально высокий APY, то по умолчанию я жду не "уникальную возможность", а повышенный риск.
И аудит Zeebu это скорее подтвердил, чем опроверг.
А вы в каком проекте последний раз участвовали? И для вас доходность 2000-4000% - это ещё возможность или уже сразу красный флаг?
😎 Незрячий web3 программист (подписаться)
Чат | бот
3👍7👌2👏1
Как капча снова превратилась в квест
Одна из самых раздражающих вещей для меня в интернете - это капчи.
Думаю, зрячие люди часто даже не замечают, насколько это неудобно. Увидел картинку, ввёл символы и пошёл дальше.
Для незрячего человека всё работает совсем иначе.
Проблема не только в том, чтобы распознать текст. Иногда сначала ещё надо просто найти саму капчу на странице.
Недавно я заполнял форму обратной связи у Kaspersky.
Там нужно было ввести капчу.
Но курсором она не находилась вообще. Есть поле ввода кода. Потом сразу галочка согласия. А сама капча визуально между ними есть, но скринридером не ловится. Причём даже в режиме объектной навигации.
Раньше в таких случаях мне очень помогал ИИ.
Я мог отправить скриншот страницы в ChatGPT или OpenClaw и попросить прочитать текст с картинки. Это было не идеально, но часто реально выручало.
А недавно это начали запрещать.
Теперь всё чаще получаешь ответ в духе: я не могу распознавать капчу, потому что она создана для защиты от автоматизированных систем.
И вот тут уже становится особенно неприятно.
Потому что для многих это вообще незаметная мелочь. А у меня из-за неё обычная форма может превратиться в возню на ровном месте, если рядом нет зрячих.
Что остаётся сейчас:
• лезть в код страницы и пытаться найти картинку там;
• пробовать сервисы вроде anti-captcha;
• просить чью-то помощь.
Но и здесь всё не так просто.
Тому же anti-captcha обычно нужна сама картинка капчи, а не просто скрин всей страницы. А достать именно её бывает отдельной задачей.
И я тут ещё не говорю про сложные капчи, где надо что-то перетаскивать или выбирать.
Капча никуда не делась. Просто какое-то время ИИ реально помогал с ней справляться. А теперь и это начали закрывать.
И да, меня это правда бесит.
Но один более удобный обход я всё-таки нашёл.
Для NVDA есть дополнение Cloud Vision на основе Be My Eyes. Оно умеет скринить всё окно и выдавать по нему содержимое. Дальше я просто нахожу капчу и ввожу её вручную.
То есть проблема никуда не делась, но хотя бы появился способ проходить такие места без отдельной возни с кодом страницы.
#AI #доступность
😎 Незрячий web3 программист (подписаться)
Чат | бот
Одна из самых раздражающих вещей для меня в интернете - это капчи.
Думаю, зрячие люди часто даже не замечают, насколько это неудобно. Увидел картинку, ввёл символы и пошёл дальше.
Для незрячего человека всё работает совсем иначе.
Проблема не только в том, чтобы распознать текст. Иногда сначала ещё надо просто найти саму капчу на странице.
Недавно я заполнял форму обратной связи у Kaspersky.
Там нужно было ввести капчу.
Но курсором она не находилась вообще. Есть поле ввода кода. Потом сразу галочка согласия. А сама капча визуально между ними есть, но скринридером не ловится. Причём даже в режиме объектной навигации.
Раньше в таких случаях мне очень помогал ИИ.
Я мог отправить скриншот страницы в ChatGPT или OpenClaw и попросить прочитать текст с картинки. Это было не идеально, но часто реально выручало.
А недавно это начали запрещать.
Теперь всё чаще получаешь ответ в духе: я не могу распознавать капчу, потому что она создана для защиты от автоматизированных систем.
И вот тут уже становится особенно неприятно.
Потому что для многих это вообще незаметная мелочь. А у меня из-за неё обычная форма может превратиться в возню на ровном месте, если рядом нет зрячих.
Что остаётся сейчас:
• лезть в код страницы и пытаться найти картинку там;
• пробовать сервисы вроде anti-captcha;
• просить чью-то помощь.
Но и здесь всё не так просто.
Тому же anti-captcha обычно нужна сама картинка капчи, а не просто скрин всей страницы. А достать именно её бывает отдельной задачей.
И я тут ещё не говорю про сложные капчи, где надо что-то перетаскивать или выбирать.
Капча никуда не делась. Просто какое-то время ИИ реально помогал с ней справляться. А теперь и это начали закрывать.
И да, меня это правда бесит.
Но один более удобный обход я всё-таки нашёл.
Для NVDA есть дополнение Cloud Vision на основе Be My Eyes. Оно умеет скринить всё окно и выдавать по нему содержимое. Дальше я просто нахожу капчу и ввожу её вручную.
То есть проблема никуда не делась, но хотя бы появился способ проходить такие места без отдельной возни с кодом страницы.
#AI #доступность
😎 Незрячий web3 программист (подписаться)
Чат | бот
1👍11❤1
Как самому собрать портфель без паники
Когда люди начинают инвестировать, почти всегда приходят одни и те же мысли: а вдруг потеряю всё? что вообще покупать? как не набрать лишнего?
Мой базовый подход простой: портфель должен быть диверсифицирован, а риск - ограничен заранее.
Что это значит на практике:
• высокорисковый актив: обычно не больше 1-2% портфеля;
• вся высокорисковая часть: до 20%;
• средний риск: около 25%;
• основные активы: около 25%;
• стейблкоины: около 30% как резерв.
Если говорить о DeFi, я бы ограничивал его долей до 25% портфеля. И распределял бы эту долю внутри всех категорий, а не как отдельную корзину.
То есть:
• из стейблов часть можно держать в DeFi;
• из основных активов - тоже;
• из среднего и высокого риска - аналогично.
Но есть важное ограничение: даже если протокол кажется надёжным, в один DeFi-проект я бы не закладывал больше 1-2% всего портфеля. Причина простая: протокол могут взломать или заблокировать регуляторы.
Как это может выглядеть в цифрах:
1. 30% - стейблкоины.
Например: USDC, USDT, DAI, USDS и другие.
Это резерв, из которого часть можно держать в DeFi, а часть - вне протоколов.
2. 25% - основные активы.
Базовый вариант: BTC и ETH.
Если хочется добавить что-то ещё вроде SOL или HYPE, я бы делал это с меньшим процентом.
3. 25% - средний риск.
Это уже история про отдельные тезисы: LINK, AAVE, UNI, ENS, NEAR и подобные активы.
Обычно здесь разумнее держать по 2-3% на позицию.
4. 20% - высокий риск.
Вот здесь уже могут быть мемкоины, RWA-токены, отдельные DeFi-истории, AI-токены и другие более агрессивные идеи.
Тут те же 1-2% на актив часто выглядят здоровее, чем попытка угадать одного победителя.
Если держать в DeFi до 25% портфеля, распределение будет примерно таким:
• 7.5% из стейблов,
• 6.25% из основных активов,
• 6.25% из среднего риска,
• 5% из высокого риска.
Я бы распределял эту долю между несколькими протоколами.
Это не рекомендация к покупке, а пример логики распределения риска.
Я не призываю копировать такую структуру один в один. Но сама логика для меня рабочая: основа, резерв и жёсткое ограничение риска на одну идею.
А у вас как устроено распределение?
😎 Незрячий web3 программист (подписаться)
Чат | бот
Когда люди начинают инвестировать, почти всегда приходят одни и те же мысли: а вдруг потеряю всё? что вообще покупать? как не набрать лишнего?
Мой базовый подход простой: портфель должен быть диверсифицирован, а риск - ограничен заранее.
Что это значит на практике:
• высокорисковый актив: обычно не больше 1-2% портфеля;
• вся высокорисковая часть: до 20%;
• средний риск: около 25%;
• основные активы: около 25%;
• стейблкоины: около 30% как резерв.
Если говорить о DeFi, я бы ограничивал его долей до 25% портфеля. И распределял бы эту долю внутри всех категорий, а не как отдельную корзину.
То есть:
• из стейблов часть можно держать в DeFi;
• из основных активов - тоже;
• из среднего и высокого риска - аналогично.
Но есть важное ограничение: даже если протокол кажется надёжным, в один DeFi-проект я бы не закладывал больше 1-2% всего портфеля. Причина простая: протокол могут взломать или заблокировать регуляторы.
Как это может выглядеть в цифрах:
1. 30% - стейблкоины.
Например: USDC, USDT, DAI, USDS и другие.
Это резерв, из которого часть можно держать в DeFi, а часть - вне протоколов.
2. 25% - основные активы.
Базовый вариант: BTC и ETH.
Если хочется добавить что-то ещё вроде SOL или HYPE, я бы делал это с меньшим процентом.
3. 25% - средний риск.
Это уже история про отдельные тезисы: LINK, AAVE, UNI, ENS, NEAR и подобные активы.
Обычно здесь разумнее держать по 2-3% на позицию.
4. 20% - высокий риск.
Вот здесь уже могут быть мемкоины, RWA-токены, отдельные DeFi-истории, AI-токены и другие более агрессивные идеи.
Тут те же 1-2% на актив часто выглядят здоровее, чем попытка угадать одного победителя.
Если держать в DeFi до 25% портфеля, распределение будет примерно таким:
• 7.5% из стейблов,
• 6.25% из основных активов,
• 6.25% из среднего риска,
• 5% из высокого риска.
Я бы распределял эту долю между несколькими протоколами.
Это не рекомендация к покупке, а пример логики распределения риска.
Я не призываю копировать такую структуру один в один. Но сама логика для меня рабочая: основа, резерв и жёсткое ограничение риска на одну идею.
А у вас как устроено распределение?
😎 Незрячий web3 программист (подписаться)
Чат | бот
👍10