Oluwa.io
Todos los escritos
·6 min de lecturaseguridad criptohoneypotsrug pullsrugspy

Cómo detectar una estafa cripto antes de comprar

Honeypots, rug pulls y las señales de alerta que vacían carteras: una guía práctica para revisar un token antes de comprarlo, y cómo RugSpy lo automatiza.

Por Vitor Lima

La mayoría de las personas que pierden dinero con la estafa de un token no hicieron nada imprudente. Vieron un gráfico moviéndose, la dirección de un contrato en un chat, una cuenta atrás que hacía que esperar se sintiera costoso. Compraron. Luego intentaron vender, y no pudieron. La trampa no era el mercado: era el propio contrato, y estaba escrito para atraparlos antes de que siquiera hicieran clic en comprar.

Esta es una guía práctica sobre los dos modos de fallo que causan la mayor parte de ese daño — los honeypots y los rug pulls — las señales de alerta que los preceden, y cómo revisar un token en los sesenta segundos antes de comprometer tu dinero. También es el razonamiento detrás de RugSpy, el escáner que construimos para hacer estas comprobaciones automáticamente.

Honeypots: puedes comprar, pero no puedes vender

Un honeypot es un token diseñado para que comprar funcione a la perfección y vender falle en silencio. El gráfico se ve vivo, tu cartera muestra un saldo, todo se siente normal, hasta que intentas salir y la transacción se revierte cada vez. Tu dinero entró por una puerta que solo se abre en un sentido.

La mecánica varía, pero la intención es siempre la misma: atrapar liquidez. Algunos contratos codifican de forma rígida una regla de que solo las direcciones en lista blanca pueden vender. Algunos fijan el impuesto de venta en un número absurdo para que cualquier salida sea económicamente inútil. Otros esconden una función que el desplegador puede activar después de que suficientes compradores se amontonen.

La parte insidiosa es que un honeypot puede pasar por completo una inspección a ojo humano. Nombre de apariencia real, liquidez de apariencia real, tenedores de apariencia real. No puedes saberlo mirando el precio. Solo puedes saberlo leyendo lo que el contrato realmente permite, que es exactamente el tipo de comprobación que la gente se salta cuando un token está "a punto de dispararse".

Rug pulls: la salida está incorporada desde el primer día

Un rug pull es más lento y, en cierto modo, más honesto sobre su crueldad. El token funciona — puedes comprar y vender — hasta el momento en que el equipo retira la liquidez o suelta un suministro oculto, y el precio se desploma a cero en un solo bloque. Todos los que aún lo sostienen se quedan con un token que nadie puede intercambiar.

Los rugs suelen ser visibles de antemano si conoces las señales. Las pistas viven en el contrato y en la configuración de la liquidez, no en el marketing:

  • Suministro acuñable. Si el propietario puede acuñar nuevos tokens a voluntad, puede diluir a cada tenedor hasta la nada cuando quiera.
  • Propiedad no renunciada. Una clave de propietario activa a menudo significa que las funciones privilegiadas — pausar el trading, cambiar los impuestos, poner en lista negra a los vendedores — siguen sobre la mesa.
  • Liquidez desbloqueada o escasa. Si el fondo de liquidez no está bloqueado (o es trivialmente pequeño), el equipo puede retirarlo en el momento en que le convenga.
  • Impuestos punitivos o ajustables. Un impuesto de venta que es alto, o que el propietario puede subir después del lanzamiento, es un rug suave que pagas a plazos.
  • Tenedores concentrados. Cuando un puñado de carteras posee la mayor parte del suministro, una sola decisión termina el juego para todos los demás.

Ninguna de estas es automáticamente prueba de fraude. Muchos proyectos legítimos tempranos conservan una clave de propietario por buenas razones. Pero cada una es una pregunta que quieres tener respondida antes de comprar, no después.

La comprobación de sesenta segundos

Esta es la versión manual de lo que hace un comprador cuidadoso antes de comprometerse con un token desconocido:

1. Read the contract       → verified source? owner renounced? mintable?
2. Simulate a sell         → does an exit transaction actually succeed?
3. Inspect the tax         → buy/sell tax reasonable and fixed?
4. Check liquidity         → locked? for how long? deep enough to exit?
5. Look at the holders      → is supply concentrated in a few wallets?
6. Search the token         → any prior reports, forks, or copied code?

Hecha correctamente, esto es genuinamente protector. Hecha correctamente, también es lenta, técnica y fácil de racionalizar para descartarla cuando un token está "despegando ahora mismo". Esa distancia — entre la comprobación que funciona y la comprobación que la gente realmente hace — es donde operan los estafadores. La urgencia no es un efecto secundario de estos esquemas; es el mecanismo.

Automatizar la parte aburrida que salva vidas

RugSpy existe para cerrar esa distancia. Pegas la dirección de un contrato, opcionalmente añades el par de liquidez, y ejecuta las comprobaciones de arriba a través de cinco grandes redes EVM — Ethereum, BNB Smart Chain, Polygon, Arbitrum y Avalanche — y luego devuelve una lectura clara: indicadores de honeypot, señales de rug pull, alertas de impuestos y propiedad, y cuánto del riesgo pudo confirmar.

Lo construimos sobre un principio que sostenemos en todo lo que hacemos en Oluwa: la herramienta debe decir la verdad con claridad, especialmente cuando la verdad es incómoda. Un escáner que te tranquiliza es peor que ningún escáner. Así que RugSpy es explícito sobre qué encontró, qué no pudo verificar y dónde aún necesitas pensar por ti mismo. Es una segunda opinión rápida, no una garantía, porque en un dominio tan adversario como este, cualquiera que prometa una garantía te está vendiendo la próxima estafa.

Dos limitaciones honestas que vale la pena declarar. Primera, la detección de estafas es una carrera armamentística: los autores de contratos se adaptan, y ningún escáner lo atrapa todo, así que un resultado limpio reduce tu riesgo sin borrarlo. Segunda, una herramienta no puede arreglar la urgencia. Si la única razón por la que estás comprando es que temes perderte algo en los próximos treinta segundos, ningún veredicto te salvará: esa sensación es el exploit.

La conclusión

Las estafas cripto que funcionan no dependen de la sofisticación. Dependen de la velocidad: de conseguir que te saltes la única comprobación que te habría detenido. Los honeypots atrapan tu salida; los rug pulls la eliminan más tarde. Ambos dejan huellas en el contrato antes de que se mueva un solo dólar.

Así que la disciplina es aburrida y lo es todo: revisa antes de comprar, siempre, sin excepciones para el token que "no puede esperar". Hazlo a mano si sabes leer un contrato. Deja que RugSpy lo haga en unos segundos si no. De cualquier forma, la meta es la misma: tomar la decisión con los ojos abiertos, que es lo único que toda estafa está diseñada para impedir.