Les honeypots dans la crypto : Comment éviter ces arnaques ?
Une arnaque connu dans la crypto, c'est le honeypot. Dans cet article je vous explique les différents types de honeypots et comment vous en protéger.
Un honeypot, c’est un pot de miel si on fait la traduction en français.
Parce que c’est comme un pot de miel qui attire plein de mouches sans qu’elles ne se doutent de quoi que ce soit.
Il attire plein d'investisseurs avec un token qui semble vrai, mais les piège une fois qu’ils ont investis.
Ils font tout pour inspirer confiance avec un beau site, une équipe, une présence sur les réseaux, parfois même parfois une fausse technologie…etc
Mais ces tokens ont souvent une fonction cachée dans le code du smart contract qui empêche les investisseurs de vendre une fois qu’ils ont achetés.
Les différents types de honeypots
Ils existent différents types de honeypots, voici ceux qui reviennent le plus souvent :
1. La liste noire (blacklist)
Cette méthode est simple, une fois que quelqu'un achète le token, son adresse est ajoutée à une liste noire (blacklist). La fonction de vente vérifie si le wallet qui essaye de vendre est sur cette liste, si c'est le cas, la vente est bloquée.
Il y a des variantes plus sophistiquées qui cachent encore mieux leur jeu. Par exemple, ici la fonction "Approval For All" ne fait que ajouter des adresses à une liste noire.
La fonction reçoit une ou plusieurs adresses et les ajoute simplement à une liste appelée _snapshot.
Quand un investisseur essaie de vendre ou de transférer ses tokens, le code vérifie si ces adresses sont sur la liste _snapshot. Si c’est le cas, il vérifie aussi la variable _snapshotApplied.
D'ailleurs, cette variable est fixée à false dans le code, ça veut dire que les investisseurs sur la liste ne pourront jamais vendre leurs tokens.
C’est donc une blacklist déguisée.
2. Le changement de balance
Au lieu de bloquer la vente, cette méthode sert à réduire la balance d’un investisseur à une valeur fixé par le propriétaire du contrat.
L’investisseur peut encore voir qu’il possède les tokens qu’il a achetés, parce que la balance modifiée est enregistré dans le contrat mais n’est pas affiché publiquement.
L’investisseur ne pourra pas vendre plus de tokens que ceux enregistrés dans le contrat, donc il se retrouvera coincé avec des tokens qu’il ne peut plus vendre, même s’il les transfère vers un autre wallet.
3. Le montant minimal de vente
Ce type de honeypot n’empêche pas la vente techniquement, mais le montant minimum de vente est fixé à un chiffre tellement élevé qu’il est pratiquement impossible de vendre.
Il y a aussi des variantes de cette méthode.
Par exemple, ici la fonction _transfer(), contient du code qui, quand l'investisseur essaie de vendre, demande un seuil de vente qui est supérieur à sa balance actuel.
Voici comment ça fonctionne :
Ligne 167 : Si le wallet d’un investisseur est marqué comme ‘true’ dans la liste
hulkinfo.Lignes 168-169 : On additionne la valeur de
infosum, qui est fixée à 34644 + la balance de l'investisseur.
Ligne 171 : Pour pouvoir vendre, la balance de l'investisseur doit être supérieur au montant défini précédemment.
Même si un investisseur achète plus de tokens que le seuil, il devra toujours vendre une quantité supérieure à sa balance + infosum.
Donc, même après avoir acheté 35 000 tokens, l'investisseur devra vendre 35 000 + 34 644 tokens, donc c'est impossible de vendre.
Le déroulement d’un honeypot
Voici les étapes typiques d'un honeypot :
Déploiement : Le scammeur crée un token avec une narrative et des supports (site web, bot telegram..etc) pour le rendre crédible. Parfois, il peut même y avoir une petite application fonctionnelle, mais c’est souvent superficiel pour faire en sorte que le projet paraisse le plus vrai que possible. Il peut aussi parfois publié le contrat et faire en sorte qu’il soit vérifiable mais faire exprès de rendre le code complexe et difficile à comprendre pour détecter l'arnaque, comme vue dans les exemples précédemment.
Création de la pool de liquidité : Le scammeur ajoute de la liquidité initiale (par exemple 10 ETH pour 1M de SHIBA) sur un DEX (Comme Uniswap V2 par exemple) pour que les investisseurs puissent trader avec.
Promotion et hype : Le scammeur fait la promotion du token via les réseaux sociaux, des influenceurs ou de la publicité payante pour créer une hype autour du token et créer de l'intérêt auprès des investisseurs. Il peut aussi utiliser des bots pour créer du faux volume et faire des transactions pour donner l’impression qu’on peut vendre le token et que c’est un projet légitime.
Achat des investisseurs : Les investisseurs achètent le token avec leur ETH ce qui augmente la part des ETH dans la pool donc fait augmenter le prix du token.
Blocage de la vente : Une fonction dans le code du smart contract se déclenche ou a été déclenché en amont pour empêcher les investisseurs de revendre le token.
Vidage de la pool de liquidité : Une fois que le prix du token a suffisamment monté avec les achats des investisseurs, le scammeur vide la pool et récupère tous les ETH (par exemple 20 ETH), et le token devient sans valeur.
Comment repérer et éviter les honeypots ?
Il existe différentes stratégies pour repérer et éviter les honeypots, en voici quelques unes :
Faire des recherches : Toujours bien rechercher des informations sur le projet avant d’investir. Faîtes attention aux projets sans whitepapers ou même avec des whitepapers pas clairs ou techniquement non réalisable, les projets avec des équipes anonymes ou qui sortent de nulle part ou les projets avec des promesses de retours sur investissement irréalistes.
Analyser le smart contract : Vous pouvez analyser manuellement le code du contrat directement sur la blockchain ou utiliser des outils comme TTFBot, HoneyPot.Is ou RugChecker. Ces outils vous vous aident à savoir si le contrat est suspect ou pas.
Surveiller l’activité on-chain : Surveiller l’historique des transactions du token et du créateur. Vérifier s’il n’y a pas eu de transactions potentiellement suspectes avant la création du token.
Éviter les tokens avec des liquidités douteuses : Méfiez-vous des projets avec des liquidités douteuses, c'est-à-dire des liquidités qui ne sont pas "locked" (verrouillées) ou qui sont faibles, c’est généralement suspect. Si la liquidité n'est pas verrouillée ça veut dire que les créateurs du projet peuvent retirer la liquidité à tout moment, alors qu’une liquidité verrouillée garantit que la liquidité initiale de la pool restent disponibles pendant une certaine période.
Rester vigilant
Les honeypots profitent souvent d’un manque de connaissance et d’un excès de cupidité de la part des investisseurs, parce qu’ils affichent souvent des charts avec presque que des bougies vertes, et c’est ce qui poussent les gens à (FOMO) acheter sous l'émotion, par peur de manquer une opportunité.
Mais en t’éduquant et en restant vigilant, tu peux énormément réduire le risque de tomber dans un honeypot.
Quand tu repères des red flags, il vaut mieux ne pas prendre de risques, il y aura toujours des nouvelles opportunités.
Et souviens toi que, si quelque chose semble trop beau pour être vrai, c’est que c’est probablement le cas.
Si tu souhaites être bien entouré et éduqué sur les meilleures pratiques dans le Web3, que ce soit pour développer des projets ou investir, n'hésite pas à rejoindre ma communauté Nxtwave. On adore partager des conseils, des alertes sur les nouveaux projets, et des outils pour aider à naviguer dans le monde complexe qu’est la crypto.