Golpes de honeypot em criptomoedas: Como funcionam e como se manter seguro

Investir em cripto traz muitos riscos—e esses não se limitam à volatilidade usual do mercado de criptomoedas em geral.

Somente em 2024, um estimado $9,9 bilhões foi atribuído à receita de golpes de cripto. À medida que atores maliciosos continuam a elaborar maneiras sofisticadas de enganar usuários desavisados e roubar seus fundos, é fundamental que todos os envolvidos no espaço se eduquem sobre os golpes mais comuns.

Neste artigo, discutiremos o golpe do honeypot: o que é, como funciona e como identificá-lo (e evitá-lo).

Um golpe de honeypot em cripto envolve um contrato inteligente malicioso que restringe quais endereços podem transferir seu token. Simplificando, geralmente permite que qualquer um compre o token, mas apenas permite que um endereço selecionado (ou endereços) venda o.

Claro, as únicas pessoas que podem vender são aquelas que estão cientes do golpe. Enquanto isso, as vítimas ficam com tokens sem valor que não podem ser transferidos, enquanto os atores maliciosos despejam seus tokens e fogem com ETH, SOL, etc.  

Assim como na cibersegurança, o nome honeypot alude a ‘iscar’ a vítima com uma oferta atraente antes de prendê-la.

Vale a pena notar que esse golpe ocorre exclusivamente em exchanges descentralizadas, onde auditorias de contratos inteligentes e medidas de segurança não os filtram. Golpistas podem recorrer ao X, Telegram, Discord ou outros canais sociais para atrair vítimas.

Honeypots são apenas um dos muitos tipos diferentes de golpes sofisticados em cripto. Aprenda como você pode identificar golpes de cripto, antes que eles te peguem, em nosso guia completo.

Pode haver algumas variações e reviravoltas no golpe do honeypot, mas o jogo geralmente se desenrola da seguinte forma:

1. O golpista implanta o contrato honeypot na blockchain de sua escolha.
2. Eles comercializam agressivamente os tokens nas redes sociais e terminais de tokens para criar expectativa.
3. O preço aumenta rapidamente à medida que investidores desavisados compram (lembre-se, não há vendas reais ocorrendo)
4. Uma vez que o volume de compras diminui (provavelmente devido à conscientização sobre a fraude), o golpista drena o pool de liquidez—fazendo os preços despencarem e deixando os investidores incapazes de vender.

Em alguns tipos de honeypots, o golpista até realizará algumas pequenas ordens de venda durante a fase 3 para dar a aparência de negociação legítima de tokens (como veremos, um sinal revelador de um honeypot é a falta de vendas no histórico de transações).

Espero que você identifique os sinais de um honeypot muito antes de chegar à fase em que tenta (e falha) vender seus tokens. As regras usuais de negociação tokens DeFi e memecoins em DEXs se aplicam—prossiga com extrema cautela.

Aqui estão alguns indicadores que podem apontar para um honeypot:

• Código de contrato inteligente suspeito: restrições ocultas e contratos que se desviam dos simples padrões de token ERC-20 (Ethereum) ou SPL (Solana) token standards.
• Aumentos rápidos de preço: aumento de preço sem explicação lógica e uma notável falta de vendas.
• Falta de detalhes: equipes anônimas, sites simples (ou inexistentes), redes sociais recém-criadas (ou inexistentes) e documentação pobre/nula.

Devido à facilidade de iniciar uma operação de honeypot, esses golpes são prevalentes em várias cadeias e enganaram investidores por anos. Em muitos casos, a fraude é identificada antes que os tokens possam ganhar tração séria—mas os exemplos abaixo mostram quão eficaz o golpe pode ser se executado bem.

O token SQUID foi lançado no auge da popularidade da sensação da Netflix, Squid Game, em 2021. Desnecessário dizer que não tinha afiliação com o programa—mas a promessa da equipe de um próximo jogo play-to-earn inspirado no título fez com que investidores se apressassem para comprar.

Se tivessem dedicado um tempo para fazer a devida diligência, poderiam ter notado os sinais de alerta: redes sociais bloqueadas que impediam comentários nas comunicações do Twitter/Telegram, e um site repleto de erros de digitação.

O SQUID disparou de preço, atingindo um recorde de mais de $2.800 por token, quando os investidores perceberam que não podiam vender suas participações. Foi nessa fase que os criadores despejaram suas próprias participações—desaparecendo com seus ganhos ilícitos enquanto os preços despencavam. 
 

O Avalanche-based SnowdogDAO alegava ser um projeto legítimo e de curta duração que misturava o apelo de memecoin com mecanismos de rebasing. O protocolo deveria funcionar apenas por oito dias, momento em que o tesouro compraria $SDOG de volta dos detentores com um cofre de ~$40 milhões. O FOMO se instalou, e os investidores começaram a comprar agressivamente $SDOG em antecipação aos lucros.

No entanto, quando chegou a hora do evento de recompra, o design da fraude veio à tona. Para começar, a equipe omitiu o fato de que apenas 7% do suprimento seria comprado de volta ‘lucrosamente’. Eles também mudaram para um novo pool de liquidez, permitindo que alguns (suspeitos) insiders fizessem frontrun nos detentores, ganhassem dezenas de milhões e retirassem o dinheiro às custas de investidores cujos tokens agora eram inúteis devido à pressão de venda.

Curiosamente, este é um exemplo de um honeypot que não bloqueou explicitamente transações no nível do contrato—em vez disso, lucrando com suas vítimas com mecânicas confusas e ofuscação de detalhes chave. A equipe negou que isso fosse deliberadamente fraudulento, afirmando que era apenas um experimento em teoria dos jogos.

Examinar um contrato inteligente linha por linha para cada token que você deseja investir provavelmente não é viável. Felizmente, você pode aproveitar a sabedoria de outros e ferramentas existentes para simplificar o processo de eliminação de honeypots.

Sites como honeypot.is (Ethereum, Solana, BSC) e rugcheck.xyz (Solana) são opções sem complicações para obter alguma visão sobre a legitimidade de um projeto.

Também vale a pena passar algum tempo navegando nas redes sociais e canais do Telegram/Discord para verificar um projeto antes de investir.

Negociar em DEXs envolve muito mais risco (mas, potencialmente, muito mais recompensa) do que em uma exchange centralizada.

Esses locais descentralizados são onde você pode encontrar os próximos 10, 100, 100x, mas atores maliciosos conhecem (e exploram) essa crença—é por isso que você deve ser hiper-vigilante em sua abordagem a novos projetos.

Faça sua própria pesquisa, sempre. Este tópico poderia abranger um artigo inteiro por si só—e, de fato, já o faz!

Aprenda as melhores práticas e como você pode adotar uma abordagem mais informada ao investir em criptomoedas.

Liquidez, volume de negociação, histórico de transações, distribuição de suprimentos. Um bom terminal como DEX Screener ou birdeye fornece uma riqueza de informações que podem ajudá-lo a determinar se um token está sendo negociado organicamente. Saiba mais em nosso guia recente sobre negociação de memecoins.

Lamentavelmente, é improvável que você veja os fundos que perdeu em uma fraude honeypot novamente. Um pilar central da tecnologia blockchain são transações irreversíveis, que é por isso que as criptomoedas são tão atraentes para atores maliciosos.

Se você foi vítima desse golpe, considere denunciá-lo às autoridades relevantes e plataformas onde os golpistas operam—e não se esqueça de notificar outros usuários de criptomoedas para que eles não sejam enganados.

Fique tranquilo, comprar um token em uma DEX não compromete automaticamente a segurança da sua carteira. No entanto, se sua carteira interagiu de alguma forma com um dApp ou site ligado ao projeto, ou se você assinou transações suspeitas, seus fundos podem estar em risco—revogue as permissões imediatamente:

• Ethereum: revoke.cash
• Solana: solscan.io (sob Token Approvals)

Para sua tranquilidade, você também pode querer mover seus ativos para uma nova carteira.

Liquidez, volume de negociação, histórico de transações, distribuição de suprimentos. Um bom terminal como DEX Screener ou birdeye fornece uma riqueza de informações que podem ajudá-lo a determinar se um token está sendo negociado organicamente. Saiba mais em nosso guia recente sobre negociação de memecoins.

Sim, golpes honeypot são tipicamente considerados fraudes, mas a aplicação da lei pode ser desafiadora devido à natureza descentralizada das criptomoedas.

Embora raro, um projeto legítimo pode se tornar malicioso se contratos inteligentes forem alterados ou comprometidos. Monitoramento consistente e auditorias regulares de contratos inteligentes são cruciais.

Uma ferramenta como honeypot.is pode simular transações de compra/venda para eliminar qualquer armadilha enganosa em contratos inteligentes.

Note, no entanto, que isso não limpa automaticamente o projeto como legítimo, pois o criador ainda pode realizar um rug pull.

É altamente improvável, desde que você não tenha concedido ao contrato nenhuma permissão. Se você tiver, deve revogá-las imediatamente com uma ferramenta como revoke.cash.

Um honeypot opera impedindo que você transfira no nível do contrato. Um rug pull, por outro lado, envolve a remoção de toda a liquidez de um pool de liquidez, tornando-os não negociáveis no pool de liquidez, mas permanecendo transferíveis (por exemplo, para outros endereços).

Sim—embora você possa encontrar principalmente aqueles de baixo esforço com sites mal projetados, um golpista mais engenhoso poderia fabricar uma campanha muito convincente, completa com designs de alto nível, canais sociais ativos e documentação com aparência legítima.

Honeypots provaram ser um golpe eficaz que se aproveita da falta de diligência dos investidores.

Felizmente, aqueles que permanecem vigilantes podem frequentemente identificar os sinais de alerta antes de perder dinheiro nesses esquemas. Analisar mais de perto novos projetos, aproveitando ferramentas disponíveis e navegando nas redes sociais pode identificar quaisquer bandeiras vermelhas em um investimento potencial em criptomoeda.

A Kraken ajuda você a manter suas criptomoedas seguras enquanto participa das partes mais inovadoras do DeFi. Inscreva-se na sua conta hoje e comece a negociar na Kraken.