Esquemas de honeypot de criptomoedas: Como funcionam e como se manter seguro

Investir em cripto acarreta muitos riscos—e estes não se limitam à volatilidade usual do mercado de criptomoedas em geral.

Só em 2024, um valor estimado de 9,9 mil milhões de dólares foi atribuído a receitas de esquemas de cripto. À medida que os atores maliciosos continuam a desenvolver formas sofisticadas de enganar utilizadores incautos e roubar os seus fundos, é crucial que todos os envolvidos neste espaço se informem sobre os esquemas mais comuns.

Neste artigo, vamos discutir o esquema honeypot: o que é, como funciona e como identificá-lo (e evitá-lo).

Um esquema honeypot de cripto envolve um contrato inteligente malicioso que restringe quais endereços podem transferir o seu token. Simplificando, geralmente permite que qualquer pessoa compre o token, mas só permite que um endereço (ou endereços) selecionado o venda.

Claro, as únicas pessoas que podem vender são aquelas que fazem parte do esquema. Enquanto isso, as vítimas ficam com tokens sem valor que não podem ser transferidos, enquanto os atores maliciosos despejam os seus tokens e fogem com ETH, SOL, etc.  

Tal como na cibersegurança, o nome honeypot (pote de mel) alude a 'atrair' a vítima com uma oferta apelativa antes de a prender.

É importante notar que este esquema ocorre exclusivamente em exchanges descentralizadas, onde as auditorias de contratos inteligentes e as medidas de segurança não os filtram. Os burlões podem recorrer ao X, Telegram, Discord ou outros canais sociais para atrair vítimas.

Os honeypots são apenas um dos muitos tipos diferentes de esquemas de cripto sofisticados. Saiba como pode detetar esquemas de cripto, antes que o apanhem, no nosso guia completo.

Pode haver algumas variações e reviravoltas no esquema honeypot, mas o jogo geralmente desenrola-se da seguinte forma:

1. O burlão implementa o contrato honeypot na blockchain da sua escolha.
2. Eles comercializam agressivamente os tokens nas redes sociais e terminais de tokens para criar entusiasmo.
3. O preço aumenta rapidamente à medida que investidores incautos compram (lembre-se, não há vendas reais a ocorrer)
4. Assim que o volume de compra diminui (provavelmente devido à consciencialização do esquema), o burlão drena o pool de liquidez—fazendo os preços caírem e deixando os investidores incapazes de vender.

Em alguns tipos de honeypots, o burlão até realiza algumas pequenas ordens de venda durante a fase 3 para dar a aparência de negociação legítima de tokens (como veremos, um sinal revelador de um honeypot é a falta de vendas no histórico de transações).

Esperemos que detete os sinais de um honeypot muito antes de chegar à fase em que tenta (e falha) vender os seus tokens. As regras habituais de negociação de tokens DeFi e memecoins em DEXs aplicam-se—proceda com extrema cautela.

Aqui estão alguns indicadores que podem apontar para um honeypot:

• Código de contrato inteligente suspeito: restrições ocultas e contratos que se desviam dos padrões simples de tokens ERC-20 (Ethereum) ou SPL (Solana) token standards.
• Aumentos rápidos de preço: aumentos de preço sem explicação lógica e uma notável falta de vendas.
• Falta de detalhes: equipas anónimas, websites simples (ou inexistentes), redes sociais recém-criadas (ou inexistentes) e documentação pobre/inexistente.

Devido à facilidade de montar uma operação honeypot, estes esquemas são prevalentes em todas as cadeias e têm enganado investidores, roubando os seus fundos durante anos. Em muitos casos, a fraude é identificada antes que os tokens possam ganhar uma tração séria—mas os exemplos abaixo mostram o quão eficaz o esquema pode ser se executado bem.

O token SQUID foi lançado no auge da popularidade da sensação da Netflix, Squid Game, em 2021. Escusado será dizer que não tinha qualquer afiliação com a série—mas a promessa da equipa de um próximo jogo play-to-earn inspirado no título fez com que os investidores corressem para comprar.

Se tivessem tido tempo para fazer alguma diligência devida, poderiam ter detetado os sinais de alerta: redes sociais bloqueadas que impediam comentários nas comunicações do Twitter/Telegram, e um website repleto de erros tipográficos.

O SQUID disparou de preço, atingindo um máximo histórico de mais de 2.800 dólares por token, à medida que os investidores percebiam que não conseguiam vender as suas participações. Foi nesta fase que os criadores despejaram as suas próprias participações—desaparecendo com os seus ganhos ilícitos à medida que os preços caíam a pique. 
 

O SnowdogDAO, baseado em Avalanche, alegava ser um projeto legítimo e de curta duração que misturava o apelo das memecoins com mecanismos de rebase. O protocolo deveria funcionar apenas por oito dias, altura em que o tesouro recompraria $SDOG dos detentores com um fundo de guerra de aproximadamente 40 milhões de dólares. O FOMO instalou-se, e os investidores começaram a comprar agressivamente $SDOG na expectativa de lucros.

No entanto, quando chegou a altura do evento de recompra, o design do esquema veio à luz. Para começar, a equipa tinha omitido o facto de que apenas 7% da oferta seria recomprada 'lucrativamente'. Também mudaram para um novo pool de liquidez, permitindo que alguns (suspeitos) insiders se antecipassem aos detentores, ganhassem dezenas de milhões e levantassem o dinheiro à custa dos investidores cujos tokens agora não tinham valor devido à pressão de venda.

Curiosamente, este é um exemplo de um honeypot que não bloqueou explicitamente as transações ao nível do contrato—em vez disso, lucrou com as suas vítimas com mecânicas confusas e ocultação de detalhes chave. A equipa negou que isso fosse deliberadamente fraudulento, alegando que era meramente uma experiência em teoria dos jogos.

Analisar um contrato inteligente linha por linha para cada token em que pretende investir provavelmente não é viável. Felizmente, pode aproveitar o conhecimento de outros e as ferramentas existentes para simplificar o processo de eliminação de honeypots.

Sites como honeypot.is (Ethereum, Solana, BSC) e rugcheck.xyz (Solana) são opções sem complicações para obter informações sobre a legitimidade de um projeto.

Também vale a pena dedicar algum tempo a navegar pelas redes sociais e canais do Telegram/Discord para verificar a credibilidade de um projeto antes de investir.

Negociar em DEXs acarreta muito mais risco (mas, potencialmente, muito mais recompensa) do que numa bolsa centralizada.

Estes locais descentralizados são onde poderá encontrar o próximo 10, 100, 100x, mas os atores maliciosos conhecem (e exploram) esta crença—razão pela qual deve ser hipervigilante na sua abordagem a novos projetos.

Faça sempre a sua própria pesquisa. Este tópico poderia abranger um artigo inteiro por si só—e, de facto, já o faz!

Aprenda as melhores práticas e como pode adotar uma abordagem mais informada ao investir em cripto.

Liquidez, volume de negociação, histórico de transações, distribuição de oferta. Um bom terminal como o DEX Screener ou o birdeye fornece uma riqueza de informações que podem ajudá-lo a determinar se um token está a ser negociado organicamente. Saiba mais no nosso guia recente sobre a negociação de memecoins.

Lamentavelmente, é improvável que volte a ver os fundos que perdeu num esquema de honeypot. Um pilar central da tecnologia blockchain são as transações irreversíveis, razão pela qual as criptomoedas são tão apelativas para atores maliciosos.

Se foi vítima deste esquema, considere denunciá-lo às autoridades competentes e às plataformas onde os burlões operam—e certifique-se de notificar outros utilizadores de cripto para que não sejam enganados.

Tenha a certeza de que comprar um token numa DEX não compromete automaticamente a segurança da sua carteira. No entanto, se a sua carteira interagiu de alguma forma com uma dApp ou website ligado ao projeto, ou se assinou alguma transação suspeita, os seus fundos podem estar em risco—revogue as permissões imediatamente:

• Ethereum: revoke.cash
• Solana: solscan.io (em Aprovações de Token)

Para sua tranquilidade, poderá também querer mover os seus ativos para uma nova carteira.

Liquidez, volume de negociação, histórico de transações, distribuição de oferta. Um bom terminal como o DEX Screener ou o birdeye fornece uma riqueza de informações que podem ajudá-lo a determinar se um token está a ser negociado organicamente. Saiba mais no nosso guia recente sobre a negociação de memecoins.

Sim, as burlas honeypot são tipicamente consideradas fraude, mas a aplicação da lei pode ser desafiadora devido à natureza descentralizada das criptomoedas.

Embora raro, um projeto legítimo pode tornar-se malicioso se os contratos inteligentes forem alterados ou comprometidos. A monitorização consistente e as auditorias regulares de contratos inteligentes são cruciais.

Uma ferramenta como o honeypot.is pode simular transações de compra/venda para descartar quaisquer armadilhas enganosas em contratos inteligentes.

Note, no entanto, que isto não valida automaticamente o projeto como legítimo, pois o criador ainda poderia realizar um rug pull.

É altamente improvável, desde que não tenha concedido permissões ao contrato. Se o fez, deve revogá-las imediatamente com uma ferramenta como o revoke.cash.

Um honeypot funciona impedindo-o de transferir ao nível do contrato. Um rug pull, por outro lado, envolve a remoção de toda a liquidez de um pool de liquidez, tornando-os não negociáveis no pool de liquidez, mas permanecem transferíveis (por exemplo, para outros endereços).

Sim—embora possa encontrar principalmente projetos de baixo esforço com websites mal concebidos, um burlão mais engenhoso poderia fabricar uma campanha muito convincente, completa com designs de alta qualidade, canais sociais ativos e documentação com aparência legítima.

Os honeypots provaram ser um esquema eficaz que se aproveita da falta de diligência devida dos investidores.

Felizmente, aqueles que se mantêm vigilantes conseguem frequentemente detetar os sinais de aviso antes de perderem dinheiro nestes esquemas. Analisar mais de perto novos projetos, aproveitar as ferramentas disponíveis e consultar as redes sociais pode identificar quaisquer sinais de alerta num potencial investimento em criptomoedas.

A Kraken ajuda-o a manter as suas criptomoedas seguras enquanto participa nas partes mais inovadoras do DeFi. Crie a sua conta hoje e comece a negociar na Kraken.