La palabra honeypot se remonta al siglo XVI, cuando se utilizaba para referirse a un tarro de miel. Sin embargo, su uso figurativo comenzó mucho después.
En sentido figurado, a principios del siglo XX, el término honeypot se utilizaba para describir algo sumamente atractivo pero potencialmente peligroso. El término se aplicó por primera vez en el ámbito del espionaje y la seguridad, denominándose honeypot una trampa atractiva utilizada para reunir información o atrapar adversarios. Por ejemplo, en el ámbito del espionaje, se refería a una situación en la que un agente podía ser seducido o atraído a posiciones comprometedoras.
En el ámbito de la seguridad informática, el término honeypot se adoptó en la década de 1990 para describir los sistemas de señuelo creados para detectar y estudiar a los ciberatacantes. Desde entonces, este uso se ha extendido a las estafas con criptomonedas, donde "honeypot" se refiere a oportunidades engañosas que atrapan a los usuarios al hacer imposibles los retiros.
En este artículo, examinamos los honeypots con más detalle, incluidos sus métodos, aspectos de identificación y amplias estrategias de protección.
¿Qué es una estafa de tipo honeypot?
Una estafa honeypot de tipo honeypot es un contrato inteligente engañoso creado para atraer a usuarios desprevenidos con promesas de grandes ganancias o servicios inusuales. Inicialmente parecen legítimos y rentables, pero contienen un mecanismo oculto que genera monedas para el explotador y drena el pool.
¿Cómo funciona un honeypot?
Los honeypots se planifican y ejecutan cuidadosamente para engañar incluso a los inversores más cautelosos. Comprender cómo funcionan estas estafas puede ayudarle a identificar y proteger sus activos. Analicemos las etapas de un ataque honeypot y expliquemos los detalles de cada paso.
Crear un contrato inteligente falso Un estafador implementa un contrato inteligente malicioso o lanza una moneda falsa que parece una oportunidad de inversión legítima. El contrato está diseñado para permitir que los usuarios inviertan fondos, pero contiene reglas ocultas que impiden los retiros.
Atraer víctimas con ofertas muy atractivas Para que el esquema sea atractivo, el activo ofrece beneficios inusualmente altos, monedas con descuento o la apariencia de un fuerte potencial de crecimiento. Podría estar vinculado a DeFi, staking u otros modelos de inversión bastante populares. A veces, el esquema se comercializa a través de redes sociales, foros o incluso sitios web falsos para generar credibilidad. Incluso se contratan celebridades y líderes de opinión para discutir o publicitar el honeypot, y se utiliza el comercio de lavado para aumentar el volumen de operaciones.
El creador del honeypot también puede generar tráfico utilizando varias técnicas de promoción. Pueden usar optimización de motores de búsqueda, anuncios pagados y cuentas falsas para generar participación. El objetivo es difundir enlaces e información sobre la plataforma fraudulenta lo más ampliamente posible.
Las víctimas invierten dinero Los inversores, atraídos por la promesa de altos rendimientos, compran tokens o depositan fondos en una plataforma fraudulenta o en un fondo de liquidez. El contrato inteligente puede permitir depósitos y mostrar resultados positivos, creando la ilusión de un proyecto legítimo y rentable.
En la mayoría de los casos, el contrato comienza permitiendo pequeñas transacciones y retiros para crear una falsa sensación de seguridad y confianza en los usuarios. Las víctimas ven beneficios y se sienten cómodas con el honeypot. Una vez que los usuarios están satisfechos con pequeñas transacciones, invierten sumas mayores.
Los fondos quedan atrapados La trampa principal de este honeypot es que, si bien los usuarios pueden depositar fondos, no pueden retirarlos. El contrato inteligente contiene funciones ocultas o errores que bloquean los intentos de retiro. En algunos casos, solo la cuenta del creador puede retirar fondos, o puede haber una estructura de tarifas que agote los saldos de los usuarios en los intentos de retiro. Un honeypot puede mostrar altos retornos de inversión, pero cuando el usuario intenta vender o transferir sus monedas, la transacción falla debido a una lógica oculta en el contrato. Mientras tanto, el estafador puede retirar su parte o mover los fondos a otra billetera.
Los ladrones drenan los fondos de los usuarios y desaparecen Una vez que se invierte suficiente dinero, los estafadores desaparecen, impidiendo que las víctimas recuperen sus fondos. Recuperar los fondos robados es casi imposible porque los contratos inteligentes son autónomos y no se pueden revertir una vez implementados en la blockchain.
Estafa de criptomonedas con honeypot: ejemplo
El honeypot de El Juego del Calamar de 2021 es uno de los ejemplos más populares. Se aprovechó de la enorme popularidad de la serie de Netflix El Juego del Calamar y atrajo a los inversores hacia una criptomoneda fraudulenta que, en última instancia, resultó en un robo de identidad. Vamos a analizarlo en detalle.
— La moneda Squid Game (SQUID) se lanzó en octubre de 2021
La criptomoneda SQUID se inspiró en el exitoso programa de televisión Squid Game y se comercializó como la moneda nativa para un próximo juego de ganar dinero basado en los temas del programa.
Ganó tracción rápidamente debido al éxito viral del programa, y la moneda se promocionó en las redes sociales y los principales medios de comunicación, lo que alimentó aún más su entusiasmo.
— Aumento rápido de precios y FOMO (miedo a perderse algo)
Los precios de SQUID se dispararon en tan solo unos días después del lanzamiento, atrayendo a muchos inversores minoristas. El precio subió de unos pocos centavos a más de $2,800 en menos de una semana. El FOMO causado por el rápido aumento de precio impulsó a aún más personas a invertir a pesar de algunas reticencias de expertos dentro de la comunidad.
— El mecanismo honeypot entra en acción
Si bien los inversores podían comprar fácilmente la moneda de Squid Game, pronto descubrieron que venderla o transferirla era imposible. Los estafadores habían incorporado un mecanismo de trampa en el contrato inteligente que permitía a los inversores comprar, pero les impedía vender o retirar sus ganancias.
— Señales de alerta
A medida que SQUID se hizo más popular, surgieron varias señales que indicaban del peligroa, pero se pasaron por alto en gran medida debido al entusiasmo que lo rodeó:
Sin afiliación con Netflix : a pesar de usar el nombre y los temas de El Juego del Calamar, no tenía ninguna conexión oficial con Netflix o los creadores del programa.
Equipo no verificado : sus desarrolladores eran anónimos, sin información verificable sobre sus identidades.
Sitio web poco profesional : el sitio web contenía errores gramaticales, detalles limitados e información muy vaga sobre el proyecto.
Comprar pero no vender : los primeros usuarios advirtieron que no podían vender sus monedas y, a menudo, fueron descartados por otros atrapados en la publicidad.
Advertencias de expertos : Los organismos de control y foros como CoinMarketCap expresaron su preocupación, etiquetaron la criptomoneda como sospechosa y advirtieron a los inversores de un posible fraude, pero esto no detuvo la afluencia masiva de compradores.
—El tirón de la alfombra (Rug pull)
El 1 de noviembre de 2021, después de que SQUID alcanzara su precio máximo de alrededor de 2.861 dólares, los desarrolladores retiraron repentinamente toda la liquidez. Este hecho provocó que su valor se desplomara a casi cero en cuestión de minutos, dejando a los inversores con una criptomoneda sin valor. Los estafadores se llevaron aproximadamente 3,38 millones de dólares.
— Consecuencias
El honeypot de Squid Game dejó a miles de inversores con pérdidas significativas, lo que refuerza aún más la necesidad de tener precaución al invertir en proyectos de criptomonedas nuevas y no verificadas.
Los principales medios de comunicación y comentaristas utilizaron este incidente para destacar la prevalencia de los honeypots y la necesidad de un mayor estudio sobre las criptomonedas.
Comprobador de criptomonedas Honeypot Solana
Un ataque honeypot generalmente funciona en una cadena de bloques de máquinas virtuales Ethereum (EVM). En Solana, las dApps se ejecutan como archivos binarios precompilados, por lo que no hay forma de ver su código fuente. Esto hace que sea mucho más fácil implementar contratos maliciosos.
Los honeypots en Solana suelen incluir un contrato con la posibilidad de congelar tus activos, pero el resultado final es el mismo: lo pierdes todo. Este tipo de contratos normalmente impiden que tu billetera venda o transfiera fondos a otra billetera después de que los compras.
Debes comprobar si el contrato del activo tiene habilitada la función de acuñación y desbloqueada la liquidez. Estas dos funciones se encuentran comúnmente en los "honeypots". También puedes utilizar un verificador de honeypots como solsniffer o detecthoneypot antes de comprar un token.
Cómo salir de un honeypot de criptomonedas
Vimos esta publicación en Reddit y decidimos brindar algo de información.
Estoy metido en una trampa de tokens y ahora vale mucho. ¿Hay alguna manera de que pueda salir de ella o alguien que me ayude? ¡Estoy dispuesto a compensar a cualquiera que pueda ayudarme!
En primer lugar, nadie puede ayudarte. “ Una vez que la miel entra en el tarro, allí se queda ”. En segundo lugar, no interactúes con nadie que te prometa ayuda. Ignora mensajes como estos:
Sí, claro, si me das 10 Solanas te lo daré. Envíame un mensaje a abcdefghijklmnop@gmail.com. Te enviaré mensajes directos ahora mismo. Lo solucionaremos por ti.
La primera regla para invertir en activos volátiles como las criptomonedas es investigar por tu cuenta antes de invertir. La segunda regla es no invertir nunca más de lo que puedas permitirte perder.
Cómo protegerse de los honeypots: lista de verificación
Los honeypots pueden ser difíciles de detectar, pero si sigue estas prácticas recomendadas, podrá minimizar el riesgo de caer en este tipo de esquemas fraudulentos. A continuación, le presentamos una lista de verificación sobre cómo puede protegerse:
Investigue a fondo cualquier proyecto antes de invertir con sus fondos . Esto incluye consultar su documentación técnica, verificar el equipo de desarrollo y revisar su presencia en la comunidad.
Busque reseñas . Busque reseñas independientes o debates sobre el proyecto en foros de confianza como r/Cryptocurrency de Reddit o Bitcointalk. Las reseñas negativas o las preocupaciones generalizadas pueden ser señales de alerta tempranas.
Compruebe si hay quejas . Los estafadores suelen crear proyectos de corta duración, por lo que es posible que las víctimas anteriores ya hayan informado de problemas. Los sitios web como Token Sniffer pueden destacar problemas con un proyecto.
Compruebe el registro legal . Verifique si el proyecto está registrado ante alguna autoridad legal, especialmente si afirma estar regulado. Si bien esto es poco común en el caso de los proyectos descentralizados, es una comprobación útil en el caso de los centralizados. Evite invertir en proyectos con desarrolladores anónimos o no verificados, ya que estos suelen carecer de responsabilidad y pueden desaparecer con tus fondos.
Compruebe la validez del certificado . Un certificado SSL válido garantiza que el sitio web tenga una comunicación cifrada entre tu navegador y el servidor, lo que reduce el riesgo de ser estafado. Busca HTTPS en la URL del sitio y asegúrate de que aparezca como "Seguro" en tu navegador.
Los sitios fraudulentos suelen tener certificados SSL no válidos o inexistentes. Herramientas como SSL Labs o Qualys SSL Test te permiten comprobar el estado del certificado de seguridad de un sitio web. Si un sitio web relacionado con criptomonedas carece de un certificado SSL válido, es una señal importante de que la plataforma podría ser fraudulenta o estar comprometida.
Verifique la liquidez antes de invertir en cualquier activo . La baja liquidez o la dificultad para retirar el dinero son indicadores clave de un posible honeypot. Use herramientas como DEXTools o Uniswap Analytics para ver los fondos de liquidez que respaldan el activo. Si la liquidez es baja o está controlada por unas pocas billeteras, esto es una posible señal de alerta.
Pruebe el botón de venta . Si no puede vender fácilmente el activo o si nota que su precio está muy manipulado, se trata de un honeypot. Puede utilizar herramientas de análisis como PooCoin para comprobar si hay patrones sospechosos. Los activos ilíquidos, en los que solo ciertas carteras pueden vender o en los que se completan las órdenes de compra pero no las de venta, son señales claras de honeypots.
Desconfíe de las recomendaciones de famosos sobre proyectos de criptomonedas . Los estafadores suelen falsificar recomendaciones o piratear cuentas populares para promocionar sus señuelos. Verifique la autenticidad de cualquier recomendación y vea si la celebridad ha confirmado públicamente su participación en el proyecto.
Comprueba si hay cuentas pirateadas . A veces, las cuentas de redes sociales de celebridades o verificadas son pirateadas brevemente y se utilizan para promocionar monedas fraudulentas. Siempre verifica si la promoción es legítima buscando anuncios oficiales. En 2021, los estafadores piratearon brevemente cuentas de Twitter de alto perfil para promocionar obsequios y airdrops falsos. Siempre verifica las promociones a través de múltiples fuentes.
Desactiva los permisos automáticos . Desactiva los permisos automáticos al conectar billeteras a aplicaciones descentralizadas (DApps). Revisa y aprueba siempre manualmente los permisos, especialmente para los contratos inteligentes. Utiliza herramientas como Etherscan o BscScan para verificar los permisos que solicita la DApp. Si un contrato solicita acceso total a tus fondos o tokens sin una razón válida, es una señal de alerta grave. Utiliza herramientas como Revoke.cash para revisar y revocar permisos innecesarios para las DApps después de interactuar con ellas.
Utilice almacenamiento en frío . Almacene la mayoría de sus activos en almacenamiento en frío (billeteras de hardware) en lugar de mantener grandes cantidades en billeteras activas o exchanges. Las billeteras frías funcionan sin conexión y son inmunes a ataques en línea, intentos de phishing y contratos maliciosos. Dispositivos como Tangem Wallet le permiten proteger sus activos sin conexión.
Habilite la autenticación de dos factores (2FA) . Active la 2FA en todas sus cuentas y billeteras de exchange para una capa adicional de seguridad. Esto hace que sea más difícil para los estafadores obtener acceso, incluso si logran robar sus credenciales de inicio de sesión. Use aplicaciones como Google Authenticator o Authy en lugar de la 2FA basada en SMS, que es más propensa a ataques de intercambio de SIM.
Qué hacer si usted ha sido víctima de una estafa honeypot
Ser víctima de una trampa puede ser una experiencia devastadora. Pero actuar con rapidez y responsabilidad puede ayudar a mitigar el daño y proteger a otros de caer en la misma trampa. Esto es lo que debe hacer:
Denuncie el fraude a los exchanges de criptomonedas y a las autoridades competentes. Si el honeypot apareció en una casa de cambio conocida o si utilizó una casa de cambio para transferir fondos a la honeypot, denuncie inmediatamente la actividad fraudulenta a esa plataforma. Si bien muchos proyectos descentralizados son más difíciles de rastrear, las casas de cambio centralizadas pueden ayudar a marcar la billetera del estafador o congelar cualquier cuenta sospechosa.
Si el honeypot estaba incluido en plataformas como CoinMarketCap o CoinGecko , considere denunciar el token como fraudulento para que lo eliminen de la lista, lo que ayudará a evitar que otras personas se conviertan en víctimas.
Presente una denuncia ante las autoridades policiales Según su jurisdicción, debe presentar una denuncia ante las autoridades locales o nacionales, especialmente aquellas especializadas en delitos cibernéticos. En los EE. UU., esto podría hacerse a través de organizaciones como el Centro de denuncias de delitos en Internet (IC3) del FBI o el Centro de delitos cibernéticos para ciudadanos europeos de Europol . Si bien recuperar fondos a través de las fuerzas del orden es difícil, crea un registro oficial y puede contribuir a investigaciones más amplias.
Notifique a las empresas de análisis de blockchains . Servicios como Chainalysis o CipherTrace rastrean la actividad sospechosa en las blockchains. Informar a estas empresas puede ayudar a incluir en la lista negra las billeteras de los estafadores o identificar redes fraudulentas más grandes. Antes de informar, recopile evidencia (registros de transacciones, direcciones de billeteras, capturas de pantalla) para fortalecer su caso.
Protege tus activos restantes Deja de interactuar con la billetera o el contrato sospechosos. Si continúas interactuando con ellos, los estafadores pueden usar tácticas de phishing o insertar código malicioso para drenar más fondos de tus cuentas.
Transfiera sus activos restantes a una billetera segura y confiable. Considera moverlos a una billetera fría como Tangem Wallet. Tangem es una billetera de hardware offline con fuertes medidas de seguridad. Si estás usando una billetera de software comprometida, considera crear una nueva billetera y transferir tus activos restantes para evitar más pérdidas.
Revocar permisos de contrato Si interactuaste con un contrato inteligente malicioso, el estafador aún puede tener acceso a tu billetera. Usa herramientas como Token Approval Checker de Etherscan para revocar cualquier permiso otorgado a contratos o direcciones maliciosos. Muchas plataformas y billeteras tienen herramientas que permiten a los usuarios revocar permisos para las DApps con las que han interactuado, lo que evita el posible acceso a sus fondos. Obtén más información sobre cómo revocar permisos aquí .
Avise a los demás a través de las redes sociales Utilice plataformas como Twitter, Reddit o Telegram para compartir su experiencia con la comunidad web3 en general. Cuanta más gente sepa sobre el honeypot, menos víctimas podrán engañar los estafadores. Comparta detalles sobre el proyecto, incluido el nombre del proyecto, las direcciones de billetera utilizadas y cómo funcionó el honeypot para evitar que otros caigan en la misma trampa.
Conclusión
Los honeypots representan una amenaza importante para los inversores en criptomonedas. Para evitar ser víctima, debe permanecer alerta, realizar una investigación exhaustiva y utilizar las medidas de protección descritas en este artículo. Siempre aborde los nuevos proyectos con cautela, especialmente cuando involucran equipos anónimos, aumentos repentinos de precios o patrocinios cuestionables. Estas mejores prácticas pueden proteger sus activos digitales y ayudar a crear una web3 más segura.
Preguntas frecuentes
1. ¿Qué es una estafa honeypot?
Una estafa honeypot es un tipo de fraude en el que los atacantes crean una oportunidad aparentemente legítima y lucrativa relacionada con criptomonedas, como una moneda, una plataforma de negociación o un contrato inteligente, para atraer a inversores desprevenidos. Una vez que las víctimas invierten o interactúan con el sistema, el esquema atrapa los fondos y hace que sea imposible retirarlos o recuperarlos.
2. ¿Cómo funciona un honeypot?
Las estafas honeypot a menudo implican tácticas sofisticadas, como:
Implementar contratos inteligentes maliciosos que permiten depósitos pero bloquean retiros.
Ofrecer activos con incentivos atractivos, como retornos extremadamente altos o descuentos, para atraer a los inversores.
Utilizar plataformas comerciales o bolsas falsas donde se aceptan depósitos, pero los retiros fallan bajo falsas pretensiones.
Las víctimas solo se dan cuenta de que han sido estafadas cuando intentan retirar fondos y descubren las restricciones.
3. ¿Cuáles son los signos más comunes de una estafa honeypot?
Algunas señales de alerta incluyen:
Ofertas demasiado buenas para ser verdad : promesas de rendimientos inusualmente altos o inversiones sin riesgos.
Código de contrato inteligente opaco : código que es difícil de verificar o carece de transparencia.
Opciones de retiro limitadas : Términos o procesos que hacen que retirar fondos sea demasiado complicado.
Proyectos no verificados : Proyectos nuevos o desconocidos que carecen de revisiones, auditorías o un equipo creíble.
4. ¿Cómo puedo evitar caer en trampas?
Investigue el proyecto a fondo : verifique las credenciales del equipo, verifique las auditorías de terceros y lea las reseñas.
Analice el contrato inteligente : utilice exploradores de blockchain o herramientas confiables para revisar el código del contrato e identificar posibles trampas.
Evite las tácticas de presión : los estafadores a menudo crean urgencia, como ofertas por tiempo limitado, para presionar a los inversores a actuar rápidamente.
Apéguese a plataformas confiables : opere únicamente en bolsas conocidas e invierta en proyectos con reputación establecida.
Prueba con pequeñas cantidades : antes de comprometer grandes fondos, prueba los procesos de retiro con una inversión mínima.
5. ¿Son ilegales las estafas honeypot?
Sí, las estafas honeypot son ilegales en la mayoría de las jurisdicciones, ya que implican fraude y robo financiero. Las víctimas pueden denunciar este tipo de estafas ante las autoridades pertinentes, aunque recuperar los fondos suele ser complicado debido al anonimato de las transacciones en blockchain.
6. ¿Cómo afectan las estafas honeypot al espacio criptográfico?
Estas estafas dañan la reputación de las criptomonedas al erosionar la confianza entre los usuarios y disuadir a nuevos inversores. También ponen de relieve la importancia de la concienciación y la diligencia en materia de seguridad en el sector.
Mantenerse informado y ser cauteloso es la mejor defensa contra los honeypots. Siempre realize su propia investigación cuidadosamente antes de involucrarse en cualquier proyecto web3.
