В мире децентрализованных финансов (DeFi) существует особенно коварный вид мошенничества — honeypot-токены (от англ. «honeypot» — горшочек с мёдом). Это вредоносные смарт-контракты, которые позволяют инвесторам покупать токены, но блокируют любую возможность их продажи или перевода.
По сути, мошенники создают иллюзию легитимного криптопроекта: график растёт, покупки проходят успешно, баланс в кошельке увеличивается. Но когда инвестор пытается продать токены — транзакция отклоняется. Деньги оказываются заперты в контракте навсегда, а создатели проекта в это время выводят ликвидность и исчезают с наживой.
содержимое
Как работает Honeypot-контракт: техническая суть
Базовый механизм ловушки
Honeypot-контракт — это смарт-контракт с встроенными ограничениями на функцию
transfer или transferFrom. В классической реализации:- Покупка разрешена — любой адрес может приобрести токены через DEX
- Продажа заблокирована — функция продажи откатывается (revert) для всех адресов, кроме владельца контракта или специально внесённых в белый список
- Скрытые условия — ограничения могут активироваться по времени, балансу или другим триггерам
Типы honeypot-ловушек
| Тип ловушки | Механизм | Признаки |
|---|---|---|
| Полная блокировка продаж | Контракт отклоняет все транзакции продажи для обычных пользователей | Ноль или минимум sell-транзакций в истории |
| Чрезмерные налоги | Налог на продажу 90-100%, делая вывод экономически бессмысленным | Динамически изменяемые fee-функции в коде |
| Blacklist/Whitelist | Владелец может вносить адреса в чёрный список или разрешать продажу только избранным | Функции setBlacklist(), addToWhitelist() в коде |
| Триггерные ловушки | Продажи работают до определённого блока/времени/капитализации, затем блокируются | Условные операторы с block.timestamp или block.number |
| Ловушка ликвидности | Контракт позволяет продавать, но ликвидность удаляется создателем | Незаблокированные LP-токены, подозрительные движения ликвидности |
Пример логики в Solidity
Хотя конкретные реализации различаются, типичная honeypot-логика включает:
// Псевдокод для иллюстрации
function _transfer(address from, address to, uint256 amount) internal {
// Проверка: если это продажа (to == pair), блокируем для неавторизованных
if (to == uniswapPair && !isWhitelisted(from)) {
revert("Transfer blocked");
}
// ... остальная логика
}Или более изощрённый вариант с налогами:
solidity
function setSellTax(uint256 newTax) external onlyOwner {
sellTax = newTax; // Владелец может установить 99% налог
}Как проверить токен на honeypot: полное руководство
Быстрая проверка за 60 секунд
Шаг 1: Симуляция продажи. Используйте специализированные сканеры (Token Sniffer, Honeypot.is, RugDoc) для симуляции микротранзакции продажи. Если симуляция падает с ошибкой «cannot estimate gas» или «transfer failed» — это красный флаг .
Шаг 2: Анализ истории транзакции. Откройте страницу токена на DexScreener или аналогичном сервисе:
- Много покупок, ноль продаж — классический признак honeypot
- Продажи только с одного/нескольких адресов — вероятно, кошельки мошенников
- Wash trading — одинаковые кошельки торгуют друг с другом для имитации активности
Шаг 3: Проверка налогов. Сравните buy tax и sell tax. Если sell tax значительно выше или может изменяться владельцем — опасность.
Глубокая проверка через Etherscan/BscScan
Шаг 4: Верификация контракта Проверьте, верифицирован ли исходный код на блокчейн-эксплорере:
- Контракт не верифицирован — высокий риск, невозможно проверить логику
- Верифицированный код — ищите следующие функции :
| Подозрительные функции | Что искать в коде |
|---|---|
| Чёрный список | setBlacklist(), blacklist(), isBlacklisted |
| Белый список | whitelist(), addToWhitelist(), onlyWhitelisted |
| Управление торговлей | enableTrading(), pause(), setTradingEnabled |
| Изменение налогов | setTax(), updateFees(), setSellTax |
| Ограничения транзакций | maxTxAmount, maxWalletSize, cooldown |
| Минимальная продажа | minSellAmount, minTokensForSale |
Шаг 5: Проверка прав владельца На вкладке «Contract» → «Read Contract» проверьте:
-
owner()— кто владелец? Если не renounced (отказался от прав), опасность - Функции, доступные только owner’у — могут ли они менять налоги, блокировать кошельки, останавливать торговлю
Шаг 6: Анализ ликвидности
- Проверьте, заблокирована ли ликвидность (locked LP) через сервисы вроде Team Finance или Unicrypt
- Соотношение Market Cap к ликвидности должно быть 5-10% — иначе цена нестабильна
-
Проверьте историю движений ликвидности — внезапные выводы LP предшествуют rug pull
Инструменты для проверки
| Инструмент | Что проверяет | Особенности |
|---|---|---|
| Token Sniffer | Симуляция, налоги, верификация | Автоматический скоринг риска |
| Honeypot.is | Симуляция buy/sell | Поддержка множества сетей |
| RugDoc | Комплексный анализ контракта | Проверка прав владельца, ликвидности |
| Etherscan/BscScan | Исходный код, транзакции | Официальные эксплореры — первичный источник правды |
| DexScreener | График, история сделок | Визуальная оценка активности продаж |
| 1inch Shield API | Флагирование токенов с ограничениями | Интеграция в торговые интерфейсы |
Лайфхак: Тестовая покупка
Если после всех проверок остались сомнения:
- Купите минимально возможную сумму ($5-10)
- Сразу попробуйте продать
- Если продажа не проходит — вы потеряли $5, а не всё портфолио
Красные флаги: признаки honeypot в маркетинге
Технические проверки важны, но мошенники часто выдают себя поведенческими паттернами:
- Искусственный FOMO: «Последний шанс», «100x гарантирован», «Запуск через 10 минут»
- Поддельная активность: Телеграм-каналы с 10к+ подписчиков, но молчание в чате; Twitter-аккаунты, созданные 2 дня назад
- Отсутствие аудитов: Легитимные проекты проходят аудиты CertiK, SlowMist, Hacken
- Анонимная команда: Нет LinkedIn, GitHub с пустой историей, фото стоковые
- Нереалистичные обещания: Гарантированная доходность, «пассивный доход 1000% APR»
Что делать, если вы попались
К сожалению, если токен оказался honeypot, вернуть средства практически невозможно — это заложено в самой архитектуре мошенничества. Однако:
- Немедленно прекратите все взаимодействия — не пытайтесь «докупить по лучшей цене»
- Зафиксируйте доказательства: хеши транзакций, адреса контрактов, скриншоты сайта
- Предупредите сообщество: опубликуйте информацию на Reddit (r/Scams), Twitter, специализированных трекерах
- Отозвать аппрувы: если вы давали разрешение на трату токенов — немедленно отзовите через Revoke.cash или аналоги
- Подача жалоб:
-
- Отметьте адрес как мошеннический на Etherscan/BscScan
- Подайте жалобу в IC3 (FBI) или местный регулятор
- Уведомите CoinGecko Scam Alert, Token Sniffer
-
Заключение: Доверяй, но проверяй
Honeypot-токены — это эволюция криптомошенничества, использующая техническую неподкованность инвесторов. Ключевая защита — никогда не покупайте токены без проверки возможности продажи.
Запомните золотое правило DeFi: если что-то выглядит слишком хорошо, чтобы быть правдой — это, скорее всего, honeypot.
Используйте симуляторы продаж, читайте контракты, проверяйте ликвидность и никогда не инвестируйте больше, чем готовы потерять.
FAQ: Частые вопросы
В: Почему я не могу продать токен, хотя купил его успешно? О: Вероятнее всего, это honeypot. Проверьте симуляцию продажи через Honeypot.is или Token Sniffer .
В: Может ли токен быть безопасным, если у него нет верифицированного кода? О: Технически да, но это красный флаг. Без верификации вы не можете проверить, нет ли скрытых ограничений .
В: Что такое «soft honeypot»? О: Токен, который технически позволяет продавать, но с такими условиями (например, 99% налог), что продажа экономически бессмысленна.
В: Можно ли взломать honeypot-контракт и вернуть деньги? О: В редких случаях, если контракт содержит уязвимости, но это требует глубоких технических навыков и не помогает обычным инвесторам.
В: Все ли токены на PancakeSwap/Uniswap безопасны? О: Нет. DEX не фильтруют токены — любой может развернуть контракт. Именно поэтому honeypots процветают на децентрализованных биржах .
