Криптоскам-схеми «медова пастка»: як вони працюють і як убезпечити себе

Інвестування в криптоактиви пов’язане з багатьма ризиками, і вони не обмежуються звичайною ринковою волатильністю криптовалют загалом.

Лише у 2024 році приблизно 9,9 мільярда доларів США було віднесено до доходів від криптошахрайства. Оскільки зловмисники продовжують розробляти складні способи обману нічого не підозрюючих користувачів, щоб виманити їхні кошти, вкрай важливо, щоб усі учасники цього простору дізналися про найпоширеніші види шахрайства.

У цій статті ми обговоримо шахрайство з медовою пасткою (honeypot scam): що це таке, як воно працює та як його виявити (і уникнути).

Криптошахрайство з медовою пасткою передбачає використання шкідливого смарт-контракту, який обмежує адреси, що можуть переказувати його токен. Простіше кажучи, він зазвичай дозволяє будь-кому купувати токен, але дозволяє лише вибраній адресі (або адресам) продавати його.

Звісно, єдині люди, які можуть продавати, — це ті, хто бере участь у шахрайстві. Тим часом жертви залишаються з нічого не вартими токенами, які неможливо переказати, оскільки зловмисники скидають свої токени та тікають з ETH, SOL тощо.  

Як і в кібербезпеці, назва honeypot (медова пастка) натякає на «приманювання» жертви привабливою пропозицією, перш ніж її спіймати.

Варто зазначити, що це шахрайство відбувається виключно на децентралізованих біржах, де аудити смарт-контрактів і заходи безпеки не відфільтровують їх. Шахраї можуть використовувати X, Telegram, Discord або інші соціальні канали для залучення жертв.

Медові пастки — це лише один із багатьох різних типів складних криптошахрайств. Дізнайтеся, як ви можете виявити криптошахрайство, перш ніж воно вас спіймає, у нашому повному посібнику.

Можуть бути деякі варіації та повороти в шахрайстві з медовою пасткою, але гра зазвичай розгортається так:

1. Шахрай розгортає контракт медової пастки на обраному ним блокчейні.
2. Він агресивно просуває токени в соціальних мережах і на токен-терміналах, щоб створити ажіотаж.
3. Ціна швидко зростає, оскільки нічого не підозрюючі інвестори купують токени (пам’ятайте, реальних продажів не відбувається).
4. Як тільки обсяг покупок сповільнюється (ймовірно, через усвідомлення шахрайства), шахрай виводить ліквідність з пулу, що призводить до обвалу цін і неможливості інвесторів продати токени.

У деяких типах медових пасток шахрай навіть виконує невеликі ордери на продаж під час фази 3, щоб створити видимість законної торгівлі токенами (як ми побачимо, однією з ознак медової пастки є відсутність продажів в історії транзакцій).

Сподіваємося, ви помітите ознаки медової пастки задовго до того, як спробуєте (і не зможете) продати свої токени. Застосовуються звичайні правила торгівлі токенами DeFi та мемкойнами на DEX — дійте з надзвичайною обережністю.

Ось кілька індикаторів, які можуть вказувати на медову пастку:

• Підозрілий код смарт-контракту: приховані обмеження та контракти, які відхиляються від простих стандартів токенів ERC-20 (Ethereum) або SPL (Solana) token standards.
• Швидке зростання цін: зростання цін без логічного пояснення та помітна відсутність продажів.
• Відсутність деталей: анонімні команди, прості (або відсутні) вебсайти, нещодавно створені (або відсутні) соціальні мережі та погана/відсутня документація.

Через легкість створення операції з медовою пасткою, ці шахрайства поширені в різних блокчейнах і роками обманюють інвесторів. У багатьох випадках шахрайство виявляється до того, як токени можуть отримати серйозну популярність, але наведені нижче приклади показують, наскільки ефективним може бути шахрайство, якщо його добре виконати.

Токен SQUID був запущений на піку популярності серіалу Netflix «Гра в кальмара» у 2021 році. Зайве говорити, що він не мав жодного стосунку до шоу, але обіцянка команди щодо майбутньої гри «грай, щоб заробити», натхненної назвою, змусила інвесторів кинутися купувати токени.

Якби вони приділили час належній перевірці, вони могли б помітити попереджувальні знаки: заблоковані соціальні мережі, що перешкоджали коментуванню в Twitter/Telegram, і вебсайт, переповнений друкарськими помилками.

Ціна SQUID стрімко зросла, досягнувши історичного максимуму понад 2800 доларів США за токен, оскільки інвестори зрозуміли, що не можуть продати свої активи. Саме на цьому етапі творці скинули свої власні активи, зникнувши зі своїми незаконно отриманими прибутками, оскільки ціни різко впали. 
 

SnowdogDAO на базі Avalanche позиціонував себе як легітимний, короткочасний проєкт, який поєднував привабливість мемкойнів з механізмами ребейзингу. Протокол мав працювати лише вісім днів, після чого казначейство викупило б $SDOG у власників з військовим бюджетом близько 40 мільйонів доларів. Настала FOMO, і інвестори почали агресивно купувати $SDOG в очікуванні прибутку.

Однак, коли настав час для події викупу, виявився дизайн шахрайства. По-перше, команда опустила той факт, що лише 7% пропозиції буде викуплено «прибутково». Вони також перейшли на новий пул ліквідності, дозволивши кільком (підозрюваним) інсайдерам випередити власників, заробити десятки мільйонів і вивести кошти за рахунок інвесторів, чиї токени тепер були нічого не варті через тиск продажів.

Цікаво, що це приклад медової пастки, яка не блокувала транзакції на рівні контракту, а натомість отримувала прибуток від своїх жертв за допомогою заплутаних механізмів та приховування ключових деталей. Команда заперечувала, що це було навмисним шахрайством, стверджуючи, що це був лише експеримент з теорії ігор.

Перевірка кожного рядка смарт-контракту для кожного токена, в який ви хочете інвестувати, ймовірно, не є доцільною. На щастя, ви можете скористатися досвідом інших та існуючими інструментами, щоб спростити процес усунення honeypot-схем.

Такі сайти, як honeypot.is (Ethereum, Solana, BSC) та rugcheck.xyz (Solana), є простими варіантами для отримання інформації про легітимність проєкту.

Також варто витратити деякий час на перегляд соціальних мереж та каналів Telegram/Discord, щоб перевірити проєкт перед інвестуванням.

Торгівля на DEX несе набагато більше ризиків (але, потенційно, і набагато більше винагород), ніж на централізованій біржі.

Ці децентралізовані майданчики — це місце, де ви можете знайти наступні 10, 100, 100x, але зловмисники знають (і використовують) це переконання, тому ви повинні бути надзвичайно пильними у своєму підході до нових проєктів.

Завжди проводьте власне дослідження. Ця тема могла б зайняти цілу статтю, і, власне, вона вже є!

Дізнайтеся про найкращі практики та про те, як ви можете застосувати більш обґрунтований підхід до інвестування в крипто.

Ліквідність, обсяг торгів, історія транзакцій, розподіл пропозиції. Хороший термінал, такий як DEX Screener або birdeye, надає безліч інформації, яка може допомогти вам визначити, чи торгується токен органічно. Дізнайтеся більше в нашому нещодавньому посібнику з торгівлі мемкоїнами.

На жаль, ви навряд чи знову побачите кошти, які ви втратили в honeypot-схемі. Основний стовп технології блокчейн — це незворотні транзакції, тому криптовалюти так привабливі для зловмисників.

Якщо ви стали жертвою цього шахрайства, розгляньте можливість повідомити про це відповідні органи та платформи, де діють шахраї, і обов’язково повідомте інших користувачів крипто, щоб вони не були обмануті.

Будьте впевнені, що купівля такого токена на DEX не компрометує безпеку вашого гаманця автоматично. Однак, якщо ваш гаманець будь-яким чином взаємодіяв з dApp або веб-сайтом, пов’язаним з проєктом, або ви підписали будь-які підозрілі транзакції, ваші кошти можуть бути під загрозою — негайно відкличте дозволи:

• Ethereum: revoke.cash
• Solana: solscan.io (у розділі Token Approvals)

Для спокою ви також можете перемістити свої активи на новий гаманець.

Ліквідність, обсяг торгів, історія транзакцій, розподіл пропозиції. Хороший термінал, як-от DEX Screener або birdeye, надає безліч інформації, яка може допомогти вам визначити, чи торгується токен органічно. Дізнайтеся більше в нашому нещодавньому посібнику з торгівлі мемкоїнами.

Так, шахрайство з медовою пасткою зазвичай вважається шахрайством, але його притягнення до відповідальності може бути складним через децентралізований характер криптоактивів.

Хоча це рідкість, легітимний проєкт може стати шкідливим, якщо смарт-контракти змінені або скомпрометовані. Постійний моніторинг та регулярні аудити смарт-контрактів є вирішальними.

Такий інструмент, як honeypot.is, може симулювати транзакції купівлі/продажу, щоб виключити будь-які оманливі пастки в смарт-контрактах.

Зауважте, однак, що це не автоматично підтверджує легітимність проєкту, оскільки творець все ще може здійснити rug pull.

Це вкрай малоймовірно, за умови, що ви не надали контракту жодних дозволів. Якщо ви це зробили, вам слід негайно відкликати їх за допомогою такого інструменту, як revoke.cash.

Медова пастка працює, запобігаючи передачі коштів на рівні контракту. З іншого боку, rug pull передбачає вилучення всієї ліквідності з пулу ліквідності, що робить токени неторгованими в цьому пулі, але вони залишаються передаваними (наприклад, на інші адреси).

Так—хоча ви можете здебільшого зустрічати низькоякісні проєкти з погано розробленими вебсайтами, більш винахідливий шахрай може створити дуже переконливу кампанію, з високоякісним дизайном, активними соціальними каналами та документацією, що виглядає легітимно.

Скам-схеми «медова пастка» виявилися ефективними, оскільки вони використовують відсутність належної обачності з боку інвесторів.

На щастя, ті, хто залишається пильним, часто можуть помітити попереджувальні знаки, перш ніж втратити гроші в цих схемах. Ретельний аналіз нових проєктів, використання доступних інструментів і перегляд соціальних мереж можуть допомогти виявити будь-які «червоні прапорці» в потенційних інвестиціях у криптовалюту.

Kraken допомагає вам зберігати ваші криптоактиви в безпеці, коли ви берете участь у найінноваційніших частинах DeFi. Зареєструйтеся сьогодні та почніть торгувати на Kraken.