Se procurer Tangem

Qu'est-ce qu'une arnaque honeypot en crypto et comment l'éviter

38_201.png

Le mot honeypot remonte au 16e siècle, où il désignait littéralement un pot de miel. Son utilisation figurée, cependant, est apparue bien plus tard.

Au sens figuré, honeypot a commencé à décrire quelque chose de très attrayant mais potentiellement dangereux au début du 20e siècle. Le terme a d'abord été appliqué dans les domaines de l'espionnage et de la sécurité, où un honeypot désignait un piège séduisant utilisé pour recueillir des renseignements ou capturer des adversaires. Par exemple, dans l'espionnage, il faisait référence à une situation où un agent pourrait être séduit ou attiré dans des positions compromettantes.

Dans la sécurité informatique, le terme honeypot a été adopté dans les années 1990 pour décrire des systèmes leurres mis en place pour détecter et étudier les cyberattaquants. Cette utilisation s'est depuis étendue aux techniques d'arnaque en crypto-monnaie, où « honeypot » fait référence à des opportunités trompeuses qui piègent les utilisateurs en rendant les retraits impossibles.

Dans cet article, nous examinons plus en détail les arnaques honeypot, y compris leurs méthodes, leurs aspects identificateurs et les stratégies de protection étendues.

Qu'est-ce qu'une arnaque honeypot en crypto-monnaie ?

Une arnaque honeypot est un smart contract trompeur créé pour attirer des utilisateurs sans méfiance avec des promesses de profits importants ou de services inhabituels. Ces arnaques semblent initialement légitimes et rentables, mais contiennent un mécanisme caché qui génère des jetons pour l'exploitant et vide le pool. En conséquence, les victimes peuvent perdre leurs fonds ou être incapables de les retirer. Même les utilisateurs expérimentés en crypto peuvent tomber dans le piège des arnaques honeypot en raison de failles technologiques, de manipulation psychologique et de la complexité de la technologie blockchain.

Comment fonctionne une arnaque honeypot en crypto ?

Les arnaques honeypot sont soigneusement planifiées et exécutées pour tromper même les investisseurs les plus prudents. Comprendre leur fonctionnement peut vous aider à identifier ces arnaques et à protéger vos actifs. Examinons les étapes d'une attaque honeypot et expliquons les détails impliqués à chaque étape.

1.Création d'un faux smart contract ou jeton 

Les escrocs déploient un smart contract malveillant ou lancent un faux jeton qui ressemble à une opportunité d'investissement légitime. Le contrat est conçu pour permettre aux utilisateurs d'investir des fonds, mais contient des règles cachées qui empêchent les retraits.

2. Attirer les victimes avec des offres alléchantes 

Pour rendre le système attrayant, le contrat ou le jeton propose des rendements inhabituellement élevés, des jetons à prix réduit, ou l'apparence d'un fort potentiel de croissance. Il peut être lié au DeFi, au staking, ou à d'autres modèles d'investissement populaires. Parfois, l'arnaque est promue via les réseaux sociaux, les forums, ou même de faux sites web pour établir sa crédibilité. Pour renforcer cela, des célébrités et des leaders d'opinion sont engagés pour discuter ou faire la publicité du honeypot, et le wash trading est utilisé pour augmenter le volume des échanges. 

Le créateur du honeypot peut également générer du trafic en utilisant diverses techniques de promotion. Il peut utiliser l'optimisation pour les moteurs de recherche, des publicités payantes et de faux comptes pour susciter de l'engagement. L'objectif est de diffuser le plus largement possible des liens et des informations sur la plateforme frauduleuse.

3. Les victimes investissent de l'argent 

Les investisseurs, attirés par la promesse de rendements lucratifs, achètent les jetons ou déposent des fonds dans la plateforme ou le pool de liquidités de l'arnaque. Le smart contract peut permettre des dépôts et afficher des résultats positifs, donnant l'illusion d'un projet légitime. 

Dans la plupart des cas, le contrat commence par autoriser de petites transactions et retraits pour créer un sentiment de sécurité et de confiance chez les utilisateurs. Les victimes voient quelques rendements et se sentent à l'aise avec le honeypot. Une fois que les utilisateurs sont satisfaits des petites transactions, ils investissent des sommes plus importantes.

4. Les fonds sont piégés 

Le piège principal d'une arnaque honeypot est que, bien que les utilisateurs puissent déposer des fonds, ils ne peuvent pas les retirer. Le smart contract contient des fonctions cachées ou des bugs qui bloquent les tentatives de retrait. Dans certains cas, seul le compte du créateur peut retirer des fonds, ou il peut y avoir une structure de frais qui épuise les soldes des utilisateurs lors des tentatives de retrait. 

Un honeypot peut afficher des rendements élevés sur un jeton d'investissement, mais lorsque l'utilisateur essaie de vendre ou de transférer ses jetons, la transaction échoue en raison d'une logique cachée dans le contrat. Pendant ce temps, l'escroc peut retirer sa part ou transférer les fonds vers un autre portefeuille.

5. L'escroc vide les fonds et disparaît 

Une fois qu'assez d'argent est investi, les escrocs disparaissent, empêchant les victimes de récupérer leurs fonds. La récupération des fonds volés est presque impossible car les smart contracts sont autonomes et ne peuvent pas être annulés une fois déployés sur la blockchain.

Les systèmes honeypot exploitent efficacement les utilisateurs de crypto en faisant apparaître l'arnaque comme légitime et rentable.

Un exemple d'arnaque honeypot en crypto

L'arnaque du jeton Squid Game en 2021 est l'un des exemples les plus tristement célèbres d'une arnaque honeypot en crypto. Elle a capitalisé sur l'immense popularité de la série Netflix Squid Game et a attiré des investisseurs dans une crypto-monnaie frauduleuse qui s'est finalement soldée par un rug pull. Examinons cela en détail.

— Lancement du jeton Squid Game (SQUID) 

En octobre 2021, une nouvelle crypto-monnaie appelée Squid Game Token (SQUID) a été lancée. Le jeton était prétendument inspiré de la série à succès Squid Game et commercialisé comme la monnaie native d'un futur jeu play-to-earn basé sur les thèmes de la série. Il a rapidement gagné du terrain grâce au succès viral de la série, et le jeton a été promu sur les réseaux sociaux et les principaux sites d'information crypto, alimentant davantage son battage médiatique.

— Hausse rapide des prix et FOMO (Fear of Missing Out) 

Les prix du jeton SQUID ont grimpé en flèche en quelques jours après le lancement, attirant de nombreux investisseurs particuliers. Le prix est passé de quelques centimes à plus de 2 800 dollars en moins d'une semaine. La peur de passer à côté de quelque chose, causée par l'augmentation rapide des prix, a poussé encore plus de personnes à investir malgré quelques avertissements précoces d'experts au sein de la communauté crypto.

— Le mécanisme honeypot se déclenche 

Alors que les investisseurs pouvaient facilement acheter le jeton Squid Game, ils ont vite découvert qu'il était impossible de le vendre ou de le transférer. Les escrocs avaient intégré un mécanisme honeypot dans le smart contract, qui permettait aux investisseurs d'acheter des jetons mais les empêchait de vendre ou d'encaisser leurs profits.

— Des signaux d'alerte et des avertissements apparaissent 

Plusieurs signaux d'alerte sont devenus évidents à mesure que le jeton gagnait en popularité, mais ils ont été largement ignorés en raison de l'excitation qui l'entourait :

  • Aucune affiliation avec Netflix : Malgré l'utilisation du nom et des thèmes de Squid Game, le jeton n'avait aucun lien officiel avec Netflix ou les créateurs de la série.
  • Équipe non vérifiée : Les développeurs derrière le jeton étaient anonymes, sans information vérifiable sur leur identité.
  • Site web non professionnel : Le site web du jeton contenait des erreurs grammaticales, des détails limités et des informations vagues sur le projet.
  • Achat mais pas de vente : Les premiers utilisateurs ont averti qu'ils ne pouvaient pas vendre leurs jetons, mais ils ont souvent été ignorés par d'autres pris dans l'euphorie.
  • Avertissements d'experts : Les organismes de surveillance crypto et des forums comme CoinMarketCap ont exprimé des inquiétudes, qualifiant le jeton de suspect et mettant en garde les investisseurs contre une fraude potentielle, mais cela n'a pas arrêté l'afflux massif d'acheteurs.

— Le Rug Pull 

Le 1er novembre 2021, après que le jeton ait atteint son prix maximum d'environ 2 861 dollars, les créateurs de SQUID ont effectué un rug pull et ont soudainement retiré toute la liquidité du jeton. Cela a provoqué la chute de la valeur du jeton à près de zéro en quelques minutes, laissant les investisseurs avec des jetons sans valeur. Les escrocs sont partis avec environ 3,38 millions de dollars de fonds d'investisseurs.

— Conséquences 

L'arnaque honeypot du jeton Squid Game a laissé des milliers d'investisseurs avec des pertes importantes, renforçant davantage la nécessité d'être prudent lors de l'investissement dans de nouveaux projets de crypto-monnaie non vérifiés. 

Les grands médias et les commentateurs crypto ont utilisé cet incident pour mettre en lumière la prévalence des arnaques honeypot et la nécessité d'une meilleure diligence raisonnable.

Comment se protéger des arnaques honeypot en crypto : liste de vérification

Les arnaques honeypot peuvent être difficiles à détecter, mais suivre ces meilleures pratiques peut minimiser votre risque de tomber dans de tels stratagèmes frauduleux. Voici une liste de vérification pour vous protéger :

  • Enquêtez minutieusement sur tout projet avant d'engager des fonds. Cela inclut la vérification de son livre blanc, la validation de l'équipe de développement et l'examen de sa présence dans la communauté.
  • Recherchez des avis. Cherchez des critiques indépendantes ou des discussions sur le projet dans des forums crypto de confiance comme r/Cryptocurrency sur Reddit ou Bitcointalk. Des avis négatifs ou des préoccupations généralisées peuvent être des signes avant-coureurs.
  • Vérifiez s'il y a des plaintes. Les escrocs créent souvent des projets de courte durée, donc des victimes précédentes pourraient avoir déjà signalé des problèmes. Des sites web comme Token Sniffer peuvent mettre en évidence des problèmes liés à un jeton ou à un projet.
  • Vérifiez l'enregistrement légal. Vérifiez si le projet est enregistré auprès d'une autorité légale, surtout s'il prétend être réglementé. Bien que ce soit rare pour les projets décentralisés, c'est une vérification utile pour les projets centralisés. Évitez d'investir dans des projets avec des développeurs anonymes ou non vérifiés, car ceux-ci manquent souvent de responsabilité et peuvent disparaître avec vos fonds.
  • Vérifiez la validité du certificat. Un certificat SSL valide garantit que le site web dispose d'une communication chiffrée entre votre navigateur et le serveur, réduisant le risque d'être arnaqué. Recherchez HTTPS dans l'URL du site et assurez-vous qu'il apparaît comme « Sécurisé » dans votre navigateur. 

Les sites frauduleux ont souvent des certificats SSL invalides ou absents. Des outils comme SSL Labs ou Qualys SSL Test vous permettent de vérifier l'état du certificat de sécurité d'un site web. Si un site lié aux crypto-monnaies n'a pas de certificat SSL valide, c'est un signe majeur que la plateforme pourrait être frauduleuse ou compromise.

  • Vérifiez la liquidité avant d'investir dans un jeton. Une faible liquidité ou des difficultés à encaisser sont des indicateurs clés d'un potential honeypot. Utilisez des outils comme DEXTools ou Uniswap analytics pour voir les pools de liquidité qui soutiennent le jeton. Si la liquidité est faible ou contrôlée par quelques portefeuilles, c'est un potentiel signal d'alarme.
  • Testez le bouton de vente. Si vous ne pouvez pas vendre facilement le jeton ou si vous remarquez que son prix est fortement manipulé, il s'agit d'une arnaque honeypot. Vous pouvez utiliser des outils d'analyse de jetons comme PooCoin ou Token Sniffer pour vérifier les schémas suspects. Les jetons non liquides, où seuls certains portefeuilles peuvent vendre ou où les ordres d'achat sont exécutés mais pas les ordres de vente, sont de forts signaux d'arnaques honeypot.
  • Soyez sceptique envers les recommandations de célébrités pour des projets crypto. Les escrocs falsifient souvent des soutiens ou piratent des comptes populaires pour promouvoir leurs jetons frauduleux. Vérifiez l'authenticité de toute recommandation et voyez si la célébrité a confirmé publiquement son implication dans le projet.
  • Vérifiez s'il y a des comptes piratés. Parfois, des comptes de célébrités ou des comptes vérifiés sur les réseaux sociaux sont brièvement piratés et utilisés pour promouvoir des jetons frauduleux. Vérifiez toujours si la promotion est légitime en cherchant des annonces officielles. En 2021, des escrocs ont brièvement piraté des comptes Twitter de haut niveau pour promouvoir de faux concours et des jetons frauduleux. Vérifiez toujours les promotions à travers plusieurs sources.
  • Désactivez les permissions automatiques. Désactivez les permissions automatiques lorsque vous connectez des portefeuilles à des applications décentralisées (DApps). Examinez et approuvez toujours manuellement les permissions, en particulier pour les smart contracts. Utilisez des outils comme Etherscan ou BscScan pour vérifier les permissions demandées par la DApp. Si un contrat demande un accès complet à vos fonds ou jetons sans raison valable, c'est un sérieux signal d'alarme. Utilisez des outils comme Revoke.cash pour examiner et révoquer les permissions inutiles accordées aux DApps après avoir interagi avec elles.
  • Utilisez le cold storage. Stockez la majorité de vos crypto-monnaies dans un cold storage (portefeuilles matériels) au lieu de conserver de grandes quantités dans des hot wallets ou des plateformes d'échange. Les cold wallets sont hors ligne et à l'abri des piratages en ligne, des tentatives de phishing et des contrats malveillants. Des appareils comme le Portefeuille Tangem vous permettent de sécuriser vos actifs hors ligne.
  • Activez l'authentification à deux facteurs (2FA). Activez la 2FA sur tous vos comptes d'échange et portefeuilles pour une couche de sécurité supplémentaire. Cela rend plus difficile l'accès aux escrocs, même s'ils parviennent à voler vos identifiants de connexion. Utilisez des applications comme Google Authenticator ou Authy plutôt que la 2FA par SMS, qui est plus vulnérable aux attaques par échange de carte SIM.

Que faire si vous avez été victime d'une arnaque honeypot

Être victime d'une arnaque honeypot en crypto peut être une expérience dévastatrice. Mais agir rapidement et de manière responsable peut aider à atténuer les dommages et à protéger les autres de tomber dans le même piège. Voici ce que vous devriez faire :

  • Signalez l'arnaque aux plateformes d'échange de crypto-monnaies et aux forces de l'ordre 

Si l'arnaque s'est produite sur une plateforme d'échange connue ou si vous avez utilisé une plateforme pour transférer des fonds dans le honeypot, signalez immédiatement l'activité frauduleuse à cette plateforme. Bien que de nombreux projets décentralisés soient plus difficiles à tracer, les plateformes centralisées peuvent aider à signaler le portefeuille de l'escroc ou à geler tout compte suspect. 

Si l'arnaque était répertoriée sur des plateformes comme CoinMarketCap ou CoinGecko, envisagez de signaler le jeton comme frauduleux pour le faire retirer de la liste, aidant ainsi à empêcher d'autres personnes de devenir des victimes.

  • Déposez une plainte auprès des forces de l'ordre 

Selon votre juridiction, vous devriez déposer une plainte auprès des autorités locales ou nationales, en particulier celles spécialisées dans la cybercriminalité. Aux États-Unis, cela pourrait se faire par le biais d'organisations comme l'Internet Crime Complaint Center (IC3) du FBI ou le Centre de cybercriminalité d'Europol pour les citoyens européens. Bien qu'il soit difficile de récupérer des fonds par le biais des forces de l'ordre, cela crée un dossier officiel et peut contribuer à des enquêtes plus larges.

  • Informez les entreprises d'analyse blockchain 

Des services comme Chainalysis ou CipherTrace suivent les activités suspectes sur les blockchains. Les signaler à ces entreprises peut aider à mettre sur liste noire les portefeuilles frauduleux ou à identifier des réseaux d'arnaque plus importants. Avant de signaler, rassemblez des preuves - journaux de transactions, adresses de portefeuilles, captures d'écran - pour renforcer votre dossier.

  • Sécurisez vos actifs restants 

Arrêtez toute interaction supplémentaire avec le portefeuille ou le contrat suspect. Si vous continuez à interagir avec eux, les escrocs pourraient utiliser des tactiques de phishing ou insérer du code malveillant pour vider davantage de fonds de vos comptes.

Transférez vos actifs restants vers un portefeuille sûr et de confiance. Envisagez de les déplacer vers un cold wallet comme le Portefeuille Tangem. Tangem est un portefeuille matériel hors ligne avec de solides mesures de sécurité. Si vous utilisez un portefeuille logiciel compromis, envisagez de créer un nouveau portefeuille et d'y transférer vos jetons restants pour éviter d'autres pertes.

  • Révoquez les permissions des contrats 

Si vous avez interagi avec un smart contract malveillant, l'escroc peut encore avoir accès à votre portefeuille. Utilisez des outils comme le Token Approval Checker d'Etherscan pour révoquer toutes les permissions accordées à des contrats ou adresses malveillants. De nombreuses plateformes et portefeuilles disposent d'outils permettant aux utilisateurs de révoquer les permissions des DApps avec lesquelles ils ont interagi, empêchant ainsi un accès potentiel à leurs fonds. Apprenez-en plus sur la révocation des permissions ici.

  • Sensibilisez sur les réseaux sociaux 

Utilisez des plateformes comme Twitter, Reddit ou Telegram pour partager votre expérience avec la communauté crypto élargie. Plus les gens connaîtront l'arnaque, moins les escrocs pourront faire de victimes. Partagez des détails sur l'arnaque, y compris le nom du projet, les adresses de portefeuille utilisées et le fonctionnement du honeypot pour empêcher d'autres personnes de tomber dans le même piège.

Conclusion

Les arnaques honeypot en crypto représentent une menace importante pour les investisseurs en crypto-monnaies. Pour éviter d'en être victime, vous devez rester vigilant, mener des recherches approfondies et utiliser les mesures de protection décrites dans cet article. Abordez toujours les nouveaux projets avec prudence, en particulier lorsqu'ils impliquent des équipes anonymes, des hausses de prix soudaines ou des recommandations douteuses. Ces meilleures pratiques peuvent protéger vos actifs crypto et contribuer à créer un environnement crypto plus sûr.