Truffe crypto honeypot: come funzionano e come proteggersi

Investire in criptovalute comporta molti rischi, e questi non si limitano alla solita volatilità di mercato delle criptovalute in generale.

Solo nel 2024, si stima che 9,9 miliardi di dollari siano stati attribuiti a ricavi da truffe crypto. Poiché gli attori malevoli continuano a escogitare modi sofisticati per ingannare gli utenti ignari e sottrarre loro fondi, è fondamentale che tutti coloro che operano in questo spazio si informino sulle truffe più comuni.

In questo articolo, discuteremo della truffa honeypot: cos'è, come funziona e come identificarla (e starne alla larga).

Una truffa honeypot crypto coinvolge uno smart contract malevolo che limita quali indirizzi possono trasferire il suo token. In parole più semplici, di solito consente a chiunque di acquistare il token, ma permette solo a un indirizzo selezionato (o a più indirizzi) di venderlo.

Naturalmente, le uniche persone che possono vendere sono quelle coinvolte nella truffa. Nel frattempo, le vittime si ritrovano con token senza valore che non possono essere trasferiti, mentre gli attori malevoli scaricano i loro token e fuggono con ETH, SOL, ecc.  

Come nella cybersecurity, il nome honeypot allude all'"adescamento" della vittima con un'offerta allettante prima di intrappolarla.

Vale la pena notare che questa truffa si verifica esclusivamente su exchange decentralizzati, dove gli audit degli smart contract e le misure di sicurezza non riescono a filtrarle. I truffatori possono utilizzare X, Telegram, Discord o altri canali social per attirare le vittime.

Le honeypot sono solo uno dei tanti tipi diversi di sofisticate truffe crypto. Scopri come individuare le truffe crypto, prima che ti catturino, nella nostra guida completa.

Ci possono essere alcune variazioni e colpi di scena nella truffa honeypot, ma il gioco di solito si svolge come segue:

1. Il truffatore distribuisce il contratto honeypot sulla blockchain di sua scelta.
2. Commercializzano aggressivamente i token sui social media e sui terminali di token per creare clamore.
3. Il prezzo aumenta rapidamente man mano che gli investitori ignari acquistano (ricorda, non ci sono vendite reali in corso).
4. Una volta che il volume di acquisto rallenta (probabilmente a causa della consapevolezza della truffa), il truffatore svuota il pool di liquidità, facendo crollare i prezzi e lasciando gli investitori incapaci di vendere.

In alcuni tipi di honeypot, il truffatore eseguirà anche piccoli ordini di vendita durante la fase 3 per dare l'impressione di un trading di token legittimo (come vedremo, un segno rivelatore di una honeypot è la mancanza di vendite nella cronologia delle transazioni).

Si spera che tu riesca a individuare i segnali di una honeypot molto prima di arrivare al punto in cui provi (e fallisci) a vendere i tuoi token. Si applicano le solite regole per il trading di token DeFi e memecoin sui DEX: procedi con estrema cautela.

Ecco alcuni indicatori che potrebbero suggerire una honeypot:

• Codice smart contract sospetto: restrizioni nascoste e contratti che deviano dagli standard semplici dei token ERC-20 (Ethereum) o SPL (Solana).
• Rapidi aumenti di prezzo: aumenti di prezzo senza spiegazioni logiche e una notevole mancanza di vendite.
• Mancanza di dettagli: team anonimi, siti web semplici (o inesistenti), social media appena creati (o inesistenti) e documentazione scarsa/inesistente.

Grazie alla facilità di avviare un'operazione honeypot, queste truffe sono diffuse su tutte le blockchain e hanno ingannato gli investitori sottraendo loro fondi per anni. In molti casi, la frode viene identificata prima che i token possano ottenere una seria trazione, ma gli esempi seguenti mostrano quanto possa essere efficace la truffa se eseguita bene.

Il token SQUID è stato lanciato all'apice della popolarità della sensazione Netflix Squid Game nel 2021. Inutile dire che non aveva alcuna affiliazione con lo show, ma la promessa del team di un imminente gioco play-to-earn ispirato al titolo ha spinto gli investitori ad affrettarsi ad acquistare.

Se avessero dedicato del tempo a fare la dovuta diligenza, avrebbero potuto individuare i segnali di avvertimento: social bloccati che impedivano i commenti sulle comunicazioni Twitter/Telegram e un sito web pieno di errori di battitura.

SQUID è salito alle stelle, raggiungendo un massimo storico di oltre 2.800 $ per token, mentre gli investitori si rendevano conto di non poter vendere le loro partecipazioni. È stato a questo punto che i creatori hanno scaricato le proprie partecipazioni, scomparendo con i loro guadagni illeciti mentre i prezzi crollavano. 
 

Il SnowdogDAO, basato su Avalanche, si presentava come un progetto legittimo e di breve durata che univa l'attrattiva delle memecoin con meccanismi di rebasing. Il protocollo doveva durare solo otto giorni, dopodiché la tesoreria avrebbe riacquistato $SDOG dai detentori con un tesoretto di circa 40 milioni di dollari. Ne seguì la FOMO, e gli investitori iniziarono ad acquistare aggressivamente $SDOG in previsione di profitti.

Tuttavia, quando arrivò il momento dell'evento di riacquisto, il design della truffa venne alla luce. Per cominciare, il team aveva omesso il fatto che solo il 7% dell'offerta sarebbe stato riacquistato "in modo redditizio". Passarono anche a un nuovo pool di liquidità, consentendo a un paio di (sospetti) insider di anticipare i detentori, guadagnare decine di milioni e incassare a spese degli investitori i cui token erano ora senza valore a causa della pressione di vendita.

È interessante notare che questo è un esempio di honeypot che non bloccava esplicitamente le transazioni a livello di contratto, ma piuttosto traeva profitto dalle sue vittime con meccanismi confusi e l'occultamento di dettagli chiave. Il team negò che ciò fosse deliberatamente fraudolento, sostenendo che si trattava semplicemente di un esperimento di teoria dei giochi.

Esaminare un contratto smart riga per riga per ogni token in cui si desidera investire probabilmente non è fattibile. Fortunatamente, è possibile sfruttare la saggezza degli altri e gli strumenti esistenti per semplificare il processo di eliminazione degli honeypot.

Siti come honeypot.is (Ethereum, Solana, BSC) e rugcheck.xyz (Solana) sono opzioni semplici per ottenere informazioni sulla legittimità di un progetto.

Vale anche la pena dedicare del tempo a navigare sui social e sui canali Telegram/Discord per verificare un progetto prima di investire.

Il trading su DEX comporta molti più rischi (ma, potenzialmente, molte più ricompense) rispetto a un exchange centralizzato.

Questi luoghi decentralizzati sono dove potresti trovare il prossimo 10x, 100x, 1000x, ma gli attori malintenzionati conoscono (e sfruttano) questa convinzione—ecco perché dovresti essere estremamente vigile nel tuo approccio ai nuovi progetti.

Fai sempre le tue ricerche. Questo argomento potrebbe coprire un intero articolo a sé stante—e, in effetti, lo fa già!

Scopri le migliori pratiche e come puoi adottare un approccio più informato all'investimento in criptovalute.

Liquidità, volume di trading, cronologia delle transazioni, distribuzione dell'offerta. Un buon terminale come DEX Screener o birdeye fornisce una ricchezza di informazioni che possono aiutarti a determinare se un token sta scambiando in modo organico. Scopri di più nella nostra recente guida al trading di memecoin.

Purtroppo, è improbabile che tu riveda i fondi persi in una truffa honeypot. Un pilastro fondamentale della tecnologia blockchain sono le transazioni irreversibili, motivo per cui le criptovalute sono così attraenti per gli attori malintenzionati.

Se sei caduto vittima di questa truffa, considera di segnalarla alle autorità competenti e alle piattaforme dove operano i truffatori—e assicurati di avvisare altri utenti crypto in modo che non vengano ingannati.

Stai tranquillo che l'acquisto di un tale token su un DEX non compromette automaticamente la sicurezza del tuo wallet. Tuttavia, se il tuo wallet ha interagito in qualsiasi modo con una dApp o un sito web legato al progetto, o hai firmato transazioni sospette, i tuoi fondi potrebbero essere a rischio—revoca immediatamente le autorizzazioni:

• Ethereum: revoke.cash
• Solana: solscan.io (sotto Approvazioni Token)

Per maggiore tranquillità, potresti anche voler spostare i tuoi asset in un nuovo wallet.

Liquidità, volume di trading, cronologia delle transazioni, distribuzione dell'offerta. Un buon terminale come DEX Screener o birdeye fornisce una ricchezza di informazioni che possono aiutarti a determinare se un token sta scambiando in modo organico. Scopri di più nella nostra recente guida al trading di memecoin.

Sì, le truffe honeypot sono tipicamente considerate frodi, ma l'applicazione della legge può essere difficile a causa della natura decentralizzata delle criptovalute.

Anche se raro, un progetto legittimo può diventare dannoso se i contratti intelligenti vengono alterati o compromessi. Un monitoraggio costante e audit regolari dei contratti intelligenti sono cruciali.

Uno strumento come honeypot.is può simulare transazioni di acquisto/vendita per escludere eventuali trappole ingannevoli nei contratti intelligenti.

Si noti, tuttavia, che questo non rende automaticamente il progetto legittimo, poiché il creatore potrebbe comunque eseguire un rug pull.

È altamente improbabile, a condizione che tu non abbia concesso al contratto alcuna autorizzazione. Se lo hai fatto, dovresti revocarle immediatamente con uno strumento come revoke.cash.

Un honeypot funziona impedendoti di trasferire a livello di contratto. Un rug pull, d'altra parte, comporta la rimozione di tutta la liquidità da un pool di liquidità, rendendoli non negoziabili nel pool di liquidità, ma rimangono trasferibili (ad esempio, ad altri indirizzi).

Sì—anche se potresti imbatterti principalmente in quelli a basso sforzo con siti web mal progettati, un truffatore più ingegnoso potrebbe fabbricare una campagna molto convincente, completa di design di alta qualità, canali social attivi e documentazione dall'aspetto legittimo.

Le truffe honeypot si sono dimostrate efficaci nello sfruttare la mancanza di due diligence degli investitori.

Fortunatamente, coloro che rimangono vigili possono spesso individuare i segnali di avvertimento prima di perdere denaro in questi schemi. Esaminare attentamente i nuovi progetti, sfruttare gli strumenti disponibili e consultare i social media può aiutare a identificare eventuali segnali di allarme in un potenziale investimento in criptovalute.

Kraken ti aiuta a mantenere le tue criptovalute al sicuro mentre partecipi alle parti più innovative della DeFi. Iscriviti oggi stesso al tuo account e inizia a fare trading su Kraken.