Oszustwa krypto honeypot: Jak działają i jak się chronić

Inwestowanie w kryptowaluty wiąże się z wieloma ryzykami — a te nie ograniczają się tylko do zwykłej zmienności rynku kryptowalut.

W samym 2024 roku szacuje się, że $9,9 miliarda przypisano dochodom z oszustw kryptowalutowych. W miarę jak złośliwi aktorzy opracowują coraz bardziej wyrafinowane sposoby oszukiwania nieświadomych użytkowników, kluczowe jest, aby wszyscy zaangażowani w tę przestrzeń edukowali się na temat najczęstszych oszustw.

W tym artykule omówimy oszustwo honeypot: czym jest, jak działa i jak je zidentyfikować (i unikać).

Oszustwo kryptowalutowe honeypot polega na złośliwej umowie inteligentnej, która ogranicza, które adresy mogą transferować jej token. Mówiąc prościej, zazwyczaj pozwala to każdemu kupić token, ale tylko wybranym adresom (lub adresom) pozwala sprzedać go.

Oczywiście, jedynymi osobami, które mogą sprzedać, są ci, którzy są w zmowie. Tymczasem ofiary zostają z bezwartościowymi tokenami, które nie mogą być transferowane, podczas gdy złośliwi aktorzy zrzucają swoje tokeny i uciekają z ETH, SOL itp.  

Podobnie jak w cyberbezpieczeństwie, nazwa honeypot nawiązuje do 'wabiącego' ofiarę atrakcyjną ofertą przed uwięzieniem ich.

Warto zauważyć, że to oszustwo występuje wyłącznie na zdecentralizowanych giełdach, gdzie audyty umów inteligentnych i środki bezpieczeństwa ich nie filtrują. Oszustwa mogą korzystać z X, Telegramu, Discorda lub innych kanałów społecznościowych, aby przyciągnąć ofiary.

Honeypoty to tylko jeden z wielu różnych typów wyrafinowanych oszustw kryptowalutowych. Dowiedz się, jak możesz rozpoznać oszustwa kryptowalutowe, zanim cię złapią, w naszym kompletnym przewodniku.

Mogą występować pewne wariacje i zwroty w oszustwie honeypot, ale gra zazwyczaj toczy się w następujący sposób:

1. Oszust wdraża umowę honeypot na wybranym przez siebie blockchainie.
2. Agresywnie promują tokeny w mediach społecznościowych i terminalach tokenowych, aby stworzyć hype.
3. Cena szybko rośnie, gdy nieświadomi inwestorzy w nie inwestują (pamiętaj, że nie ma rzeczywistych sprzedaży).
4. Gdy wolumen zakupów spowalnia (prawdopodobnie z powodu świadomości oszustwa), oszust opróżnia pulę płynności — powodując spadek cen i pozostawiając inwestorów bez możliwości sprzedaży.

W niektórych rodzajach pułapek, oszust nawet wykonuje małe zlecenia sprzedaży w fazie 3, aby nadać pozory legalnego handlu tokenami (jak zobaczymy, jednym z wyraźnych znaków pułapki jest brak sprzedaży w historii transakcji).

Mam nadzieję, że dostrzegasz znaki pułapki długo przed tym, jak znajdziesz się na etapie, w którym próbujesz (i nie udaje ci się) sprzedać swoje tokeny. Zwykłe zasady handlu tokenami DeFi i memecoinami na DEX-ach mają zastosowanie — postępuj z ekstremalną ostrożnością.

Oto kilka wskaźników, które mogą wskazywać na pułapkę:

• Podejrzany kod inteligentnego kontraktu: ukryte ograniczenia i kontrakty, które odbiegają od prostych standardów tokenów ERC-20 (Ethereum) lub SPL (Solana) tokenów.
• Szybkie wzrosty cen: wzrosty cen bez logicznego wyjaśnienia i zauważalny brak sprzedaży.
• Brak szczegółów: anonimowe zespoły, proste (lub brak) strony internetowe, nowo utworzone (lub brak) konta społecznościowe i słaba/brak dokumentacja.

Z powodu łatwości uruchomienia operacji pułapki, te oszustwa są powszechne w różnych sieciach i oszukały inwestorów z ich funduszy przez lata. W wielu przypadkach oszustwo jest identyfikowane, zanim tokeny zyskają poważną popularność — ale poniższe przykłady pokazują, jak skuteczne może być oszustwo, jeśli jest dobrze wykonane.

Token SQUID został uruchomiony w szczytowym okresie popularności sensacji Netflixa Squid Game w 2021 roku. Nie trzeba mówić, że nie miało to związku z programem – ale obietnica zespołu dotycząca nadchodzącej gry typu play-to-earn inspirowanej tytułem sprawiła, że inwestorzy rzucili się do zakupu.

Gdyby poświęcili czas na przeprowadzenie należytej staranności, mogliby dostrzec znaki ostrzegawcze: zablokowane konta społecznościowe uniemożliwiające komentowanie komunikacji na Twitterze/Telegramie oraz stronę internetową pełną literówek.

SQUID wzrosło w cenie, osiągając rekordową wartość ponad 2800 USD za token, gdy inwestorzy zdali sobie sprawę, że nie mogą sprzedać swoich udziałów. Na tym etapie twórcy pozbyli się swoich własnych udziałów – znikając z nieuczciwie zdobytymi zyskami, gdy ceny spadły. 
 

Avalanche-based SnowdogDAO rzekomo miało być legalnym, krótkotrwałym projektem, który łączył atrakcyjność memecoinów z mechanizmami rebasingu. Protokół miał działać tylko przez osiem dni, po czym skarb kupiłby $SDOG od posiadaczy z funduszem w wysokości około 40 milionów dolarów. Nastał FOMO, a inwestorzy zaczęli agresywnie kupować $SDOG w oczekiwaniu na zyski.

Jednak gdy nadszedł czas na wydarzenie związane z wykupem, projekt oszustwa ujawnił swoje prawdziwe oblicze. Na początek zespół pominął fakt, że tylko 7% podaży zostanie wykupione 'z zyskiem'. Przełączyli się również na nową pulę płynności, umożliwiając kilku (podejrzewanym) insiderom wyprzedzenie posiadaczy, zarobienie dziesiątek milionów i wypłatę kosztem inwestorów, których tokeny stały się teraz bezwartościowe z powodu presji sprzedażowej.

Interesujące jest to, że to przykład pułapki, która nie blokowała transakcji na poziomie kontraktu – zamiast tego zyskiwała na ofiarach dzięki mylącym mechanizmom i zaciemnieniu kluczowych szczegółów. Zespół zaprzeczył, że to było celowo oszukańcze, twierdząc, że to było jedynie eksperyment w teorii gier.

Przeglądanie inteligentnego kontraktu linia po linii dla każdego tokena, w który chcesz zainwestować, prawdopodobnie nie jest wykonalne. Na szczęście możesz skorzystać z mądrości innych i istniejących narzędzi, aby uprościć proces eliminacji pułapek.

Strony takie jak honeypot.is (Ethereum, Solana, BSC) i rugcheck.xyz (Solana) to bezproblemowe opcje, aby uzyskać wgląd w legalność projektu.

Warto również poświęcić trochę czasu na przeglądanie kont społecznościowych oraz kanałów Telegram/Discord, aby sprawdzić projekt przed inwestowaniem.

Handel na DEX-ach wiąże się z dużo większym ryzykiem (ale potencjalnie, z dużo większym zyskiem) niż na giełdzie scentralizowanej.

Te zdecentralizowane miejsca to miejsca, w których możesz znaleźć następne 10, 100, 100x, ale złośliwi aktorzy wiedzą (i wykorzystują) to przekonanie - dlatego powinieneś być bardzo czujny w swoim podejściu do nowych projektów.

Zawsze prowadź własne badania. Ten temat mógłby zająć cały artykuł - a w rzeczywistości już to robi!

Poznaj najlepsze praktyki i jak możesz podejść do inwestowania w kryptowaluty w bardziej świadomy sposób.

Płynność, wolumen handlowy, historia transakcji, dystrybucja podaży. Dobry terminal, taki jak DEX Screener lub birdeye, dostarcza mnóstwo informacji, które mogą pomóc ci określić, czy token handluje organicznie. Dowiedz się więcej w naszym niedawnym przewodniku po handlu memecoinami.

Niestety, prawdopodobnie nie zobaczysz już funduszy, które straciłeś w oszustwie pułapki na miód. Podstawowym filarem technologii blockchain są transakcje nieodwracalne, co sprawia, że kryptowaluty są tak atrakcyjne dla złośliwych aktorów.

Jeśli padłeś ofiarą tego oszustwa, rozważ zgłoszenie go odpowiednim władzom i platformom, na których działają oszuści - i koniecznie powiadom innych użytkowników kryptowalut, aby nie zostali oszukani.

Możesz być pewny, że zakup takiego tokena na DEX nie kompromituje automatycznie bezpieczeństwa twojego portfela. Jednakże, jeśli twój portfel w jakikolwiek sposób miał kontakt z dApp lub stroną internetową związaną z projektem, lub podpisałeś jakiekolwiek podejrzane transakcje, twoje środki mogą być zagrożone - natychmiast cofnij uprawnienia:

• Ethereum: revoke.cash
• Solana: solscan.io (pod Token Approvals)

Dla spokoju ducha, możesz również chcieć przenieść swoje aktywa do nowego portfela.

Płynność, wolumen handlowy, historia transakcji, dystrybucja podaży. Dobry terminal, taki jak DEX Screener lub birdeye, dostarcza mnóstwo informacji, które mogą pomóc ci określić, czy token handluje organicznie. Dowiedz się więcej w naszym niedawnym przewodniku po handlu memecoinami.

Tak, oszustwa honeypot są zazwyczaj uważane za oszustwo, ale egzekwowanie prawa może być trudne z powodu zdecentralizowanej natury kryptowalut.

Choć rzadkie, legalny projekt może stać się złośliwy, jeśli umowy inteligentne zostaną zmienione lub skompromitowane. Ciągłe monitorowanie i regularne audyty umów inteligentnych są kluczowe.

Narzędzie takie jak honeypot.is może symulować transakcje kupna/sprzedaży, aby wykluczyć jakiekolwiek zwodnicze pułapki w umowach inteligentnych.

Należy jednak pamiętać, że to nie automatycznie uznaje projektu za legalny, ponieważ twórca nadal może przeprowadzić rug pull.

Jest to mało prawdopodobne, pod warunkiem, że nie przyznałeś kontraktowi żadnych uprawnień. Jeśli tak, powinieneś natychmiast je cofnąć za pomocą narzędzia takiego jak revoke.cash.

Honeypot działa, uniemożliwiając ci transfer na poziomie kontraktu. Z drugiej strony, rug pull polega na usunięciu całej płynności z puli płynności, co sprawia, że są one niehandlowe w puli płynności, ale pozostają transferowalne (np. do innych adresów).

Tak — chociaż najczęściej natkniesz się na te o niskim wysiłku z źle zaprojektowanymi stronami internetowymi, bardziej pomysłowy oszust mógłby stworzyć bardzo przekonującą kampanię, z wysokiej jakości projektami, aktywnymi kanałami społecznościowymi i dokumentacją wyglądającą na wiarygodną.

Honeypoty okazały się skutecznym oszustwem, które żeruje na braku należytej staranności inwestorów.

Na szczęście ci, którzy pozostają czujni, mogą często dostrzegać znaki ostrzegawcze przed utratą pieniędzy na tych schematach. Dokładniejsze przyjrzenie się nowym projektom, wykorzystanie dostępnych narzędzi i przeglądanie mediów społecznościowych może zidentyfikować wszelkie czerwone flagi w potencjalnej inwestycji w kryptowaluty.

Kraken pomaga ci chronić twoje krypto, gdy bierzesz udział w najbardziej innowacyjnych częściach DeFi. Zarejestruj się na swoje konto już dziś i zacznij handlować na Krakenie.