Estafas de criptomonedas honeypot: Cómo funcionan y cómo mantenerte a salvo

Invertir en criptomonedas conlleva muchos riesgos, y estos no se limitan a la habitual volatilidad del mercado de criptomonedas en general.

Solo en 2024, se estimó que $9.9 mil millones se atribuyeron a los ingresos de estafas de criptomonedas. A medida que los actores maliciosos continúan ideando formas sofisticadas de engañar a los usuarios desprevenidos para que pierdan sus fondos, es fundamental que todos los involucrados en el espacio se eduquen sobre las estafas más comunes.

En este artículo, discutiremos la estafa honeypot: qué es, cómo opera y cómo identificarla (y evitarla).

Una estafa honeypot en criptomonedas implica un contrato inteligente malicioso que restringe qué direcciones pueden transferir su token. Dicho de manera más simple, normalmente permite que cualquiera compre el token, pero solo permite que una dirección selecta (o direcciones) venda el token.

Por supuesto, las únicas personas que pueden vender son aquellas que están en la estafa. Mientras tanto, las víctimas se quedan con tokens sin valor que no pueden ser transferidos, ya que los actores maliciosos venden sus tokens y huyen con ETH, SOL, etc.  

Al igual que en la ciberseguridad, el nombre honeypot alude a ‘atrapar’ a la víctima con una oferta atractiva antes de atraparla.

Vale la pena señalar que esta estafa ocurre exclusivamente en intercambios descentralizados, donde las auditorías de contratos inteligentes y las medidas de seguridad no las filtran. Los estafadores pueden recurrir a X, Telegram, Discord u otros canales sociales para atraer a las víctimas.

Los honeypots son solo uno de los muchos tipos diferentes de estafas de criptomonedas sofisticadas. Aprende cómo puedes detectar estafas de criptomonedas, antes de que te atrapen, en nuestra guía completa.

Puede haber algunas variaciones y giros en la estafa honeypot, pero el juego generalmente se desarrolla de la siguiente manera:

1. El estafador despliega el contrato honeypot en la blockchain de su elección.
2. Promocionan agresivamente los tokens en redes sociales y terminales de tokens para crear expectación.
3. El precio aumenta rápidamente a medida que los inversores desprevenidos compran (recuerda, no hay ventas reales ocurriendo)
4. Una vez que el volumen de compras disminuye (probablemente debido a la conciencia del fraude), el estafador drena el fondo de liquidez—haciendo que los precios se desplomen y dejando a los inversores incapaces de vender.

En algunos tipos de honeypots, el estafador incluso realizará algunas pequeñas órdenes de venta durante la fase 3 para dar la apariencia de un comercio legítimo de tokens (como veremos, una señal reveladora de un honeypot es la falta de ventas en el historial de transacciones).

Esperemos que detectes las señales de un honeypot mucho antes de llegar a la etapa en la que intentas (y fracasas) vender tus tokens. Las reglas habituales de comercio tokens DeFi y memecoins en DEXs se aplican—procede con extrema precaución.

Aquí hay algunos indicadores que pueden señalar un honeypot:

• Código de contrato inteligente sospechoso: restricciones ocultas y contratos que se desvían de los simples estándares de tokens ERC-20 (Ethereum) o SPL (Solana) estándares de tokens.
• Aumentos de precio rápidos: aumentos de precio sin explicación lógica y una notable falta de ventas.
• Falta de detalles: equipos anónimos, sitios web simples (o inexistentes), redes sociales recién creadas (o inexistentes) y documentación pobre o inexistente.

Debido a la facilidad de iniciar una operación de honeypot, estas estafas son prevalentes en varias cadenas y han estafado a los inversores de sus fondos durante años. En muchos casos, el fraude se identifica antes de que los tokens puedan ganar tracción seria—pero los ejemplos a continuación muestran cuán efectiva puede ser la estafa si se ejecuta bien.

El token SQUID se lanzó en el apogeo de la popularidad de la sensación de Netflix, Squid Game, en 2021. No hace falta decir que no tenía ninguna afiliación con el programa, pero la promesa del equipo de un próximo juego de jugar para ganar inspirado en el título hizo que los inversores se apresuraran a comprar.

Si hubieran tomado el tiempo para hacer la debida diligencia, podrían haber notado las señales de advertencia: redes sociales bloqueadas que impedían comentar en las comunicaciones de Twitter/Telegram, y un sitio web lleno de errores tipográficos.

SQUID se disparó en precio, alcanzando un máximo histórico de más de $2,800 por token cuando los inversores se dieron cuenta de que no podían vender sus participaciones. Fue en esta etapa que los creadores vendieron sus propias participaciones, desapareciendo con sus ganancias mal habidas mientras los precios se desplomaban. 
 

El Avalanche-based SnowdogDAO pretendía ser un proyecto legítimo y de corta duración que combinaba el atractivo de los memecoins con mecanismos de rebasing. El protocolo iba a funcionar solo durante ocho días, momento en el cual el tesoro recompraría $SDOG de los poseedores con un fondo de guerra de aproximadamente $40 millones. Surgió el FOMO, y los inversores comenzaron a comprar agresivamente $SDOG en anticipación de ganancias.

Sin embargo, cuando llegó el momento del evento de recompra, el diseño de la estafa salió a la luz. Para empezar, el equipo había omitido el hecho de que solo el 7% del suministro sería recomprado 'rentablemente'. También cambiaron a un nuevo grupo de liquidez, permitiendo que un par de (sospechosos) internos adelantaran a los poseedores, ganaran decenas de millones y se retiraran a expensas de los inversores cuyos tokens ahora eran inútiles debido a la presión de venta.

Curiosamente, este es un ejemplo de un honeypot que no bloqueó explícitamente las transacciones a nivel de contrato, sino que se benefició de sus víctimas con mecánicas confusas y la ocultación de detalles clave. El equipo negó que esto fuera deliberadamente fraudulento, afirmando que era simplemente un experimento en teoría de juegos.

Revisar un contrato inteligente línea por línea para cada token en el que deseas invertir probablemente no sea factible. Afortunadamente, puedes aprovechar la sabiduría de otros y las herramientas existentes para simplificar el proceso de eliminación de honeypots.

Sitios como honeypot.is (Ethereum, Solana, BSC) y rugcheck.xyz (Solana) son opciones sin complicaciones para obtener información sobre la legitimidad de un proyecto.

También vale la pena dedicar algo de tiempo a navegar por redes sociales y canales de Telegram/Discord para verificar un proyecto antes de invertir.

Operar en DEXs conlleva mucho más riesgo (pero, potencialmente, mucho más recompensa) que en un intercambio centralizado.

Estos lugares descentralizados son donde podrías encontrar el próximo 10, 100, 100x, pero los actores maliciosos conocen (y explotan) esta creencia, por lo que debes ser hipervigilante en tu enfoque hacia nuevos proyectos.

Haz tu propia investigación, siempre. Este tema podría abarcar todo un artículo por sí solo, ¡y de hecho, ya lo hace!

Aprende las mejores prácticas y cómo puedes adoptar un enfoque más informado para invertir en criptomonedas.

Liquidez, volumen de comercio, historial de transacciones, distribución de suministro. Un buen terminal como DEX Screener o birdeye proporciona una gran cantidad de información que puede ayudarte a determinar si un token se está negociando de manera orgánica. Obtén más información en nuestra guía reciente sobre el comercio de memecoins.

Lamentablemente, es poco probable que vuelvas a ver los fondos que has perdido en un fraude de honeypot. Un pilar fundamental de la tecnología blockchain son las transacciones irreversibles, por lo que las criptomonedas son tan atractivas para los actores maliciosos.

Si has sido víctima de este fraude, considera informarlo a las autoridades y plataformas relevantes donde operan los estafadores, y asegúrate de notificar a otros usuarios de criptomonedas para que no sean engañados.

Ten la seguridad de que comprar un token así en un DEX no compromete automáticamente la seguridad de tu billetera. Sin embargo, si tu billetera ha interactuado de alguna manera con una dApp o un sitio web vinculado al proyecto, o si has firmado alguna transacción sospechosa, tus fondos pueden estar en riesgo; revoca los permisos de inmediato:

• Ethereum: revoke.cash
• Solana: solscan.io (bajo Token Approvals)

Para mayor tranquilidad, también puedes querer mover tus activos a una nueva billetera.

Liquidez, volumen de comercio, historial de transacciones, distribución de suministro. Un buen terminal como DEX Screener o birdeye proporciona una gran cantidad de información que puede ayudarte a determinar si un token se está negociando de manera orgánica. Obtén más información en nuestra guía reciente sobre el comercio de memecoins.

Sí, los fraudes de honeypot se consideran típicamente fraude, pero la aplicación de la ley puede ser un desafío debido a la naturaleza descentralizada de las criptomonedas.

Aunque es raro, un proyecto legítimo puede volverse malicioso si los contratos inteligentes son alterados o comprometidos. El monitoreo constante y las auditorías regulares de contratos inteligentes son cruciales.

Una herramienta como honeypot.is puede simular transacciones de compra/venta para descartar trampas engañosas en contratos inteligentes.

Sin embargo, ten en cuenta que esto no limpia automáticamente el proyecto como legítimo, ya que el creador aún podría realizar un rug pull.

Es muy poco probable, siempre que no hayas otorgado al contrato ningún permiso. Si lo has hecho, deberías revocarlos de inmediato con una herramienta como revoke.cash.

Un honeypot opera impidiendo que transfieras a nivel de contrato. Un rug pull, por otro lado, implica eliminar toda la liquidez de un fondo de liquidez, haciéndolos no negociables en el fondo de liquidez, pero siguen siendo transferibles (por ejemplo, a otras direcciones).

Sí, aunque principalmente te encontrarás con los de bajo esfuerzo con sitios web mal diseñados, un estafador más ingenioso podría fabricar una campaña muy convincente, completa con diseños de alta calidad, canales sociales activos y documentación que parece legítima.

Los honeypots han demostrado ser una estafa efectiva que se aprovecha de la falta de diligencia debida de los inversores.

Afortunadamente, aquellos que permanecen vigilantes a menudo pueden detectar las señales de advertencia antes de perder dinero en estos esquemas. Examinar más de cerca los nuevos proyectos, aprovechar las herramientas disponibles y navegar por las redes sociales puede identificar cualquier señal de alerta en una inversión potencial en criptomonedas.

Kraken te ayuda a mantener tu cripto segura mientras participas en las partes más innovadoras de DeFi. Regístrate para tu cuenta hoy y comienza a operar en Kraken.