Comment repérer une arnaque crypto avant d'acheter
Honeypots, rug pulls et les signaux d'alerte qui vident les portefeuilles — un guide pratique pour vérifier un jeton avant d'acheter, et comment RugSpy l'automatise.
Par Vitor Lima
La plupart des gens qui perdent de l'argent dans une arnaque à un jeton n'ont rien fait d'imprudent. Ils ont vu un graphique qui bougeait, une adresse de contrat dans une conversation, un compte à rebours qui rendait l'attente coûteuse. Ils ont acheté. Puis ils ont essayé de revendre, et n'ont pas pu. Le piège n'était pas le marché — c'était le contrat lui-même, et il était écrit pour les attraper avant même qu'ils ne cliquent sur acheter.
Voici un guide pratique des deux modes de défaillance qui causent l'essentiel de ces dégâts — les honeypots et les rug pulls — des signaux d'alerte qui les précèdent, et comment vérifier un jeton dans les soixante secondes qui précèdent l'engagement de votre argent. C'est aussi le raisonnement derrière RugSpy, le scanner que nous avons conçu pour effectuer ces vérifications automatiquement.
Honeypots : vous pouvez acheter, mais vous ne pouvez pas vendre
Un honeypot est un jeton conçu de sorte que l'achat fonctionne parfaitement et que la vente échoue en silence. Le graphique paraît vivant, votre portefeuille affiche un solde, tout semble normal — jusqu'à ce que vous tentiez de sortir et que la transaction échoue à chaque fois. Votre argent est entré par une porte qui ne s'ouvre que dans un sens.
Les mécanismes varient, mais l'intention est toujours la même : piéger la liquidité. Certains contrats codent en dur une règle voulant que seules les adresses sur liste blanche puissent vendre. D'autres fixent la taxe de vente à un nombre absurde pour que toute sortie soit économiquement absurde. D'autres encore cachent une fonction que le déployeur peut activer une fois que suffisamment d'acheteurs se sont accumulés.
Le plus insidieux, c'est qu'un honeypot peut passer complètement le test de l'œil humain. Un nom d'apparence réelle, une liquidité d'apparence réelle, des détenteurs d'apparence réelle. Vous ne pouvez pas le déceler en regardant le prix. Vous ne pouvez le déceler qu'en lisant ce que le contrat autorise réellement — soit exactement le genre de vérification que les gens sautent quand un jeton est « sur le point de décoller ».
Rug pulls : la sortie est prévue dès le premier jour
Un rug pull est plus lent et, d'une certaine manière, plus honnête dans sa cruauté. Le jeton fonctionne — vous pouvez acheter et vendre — jusqu'au moment où l'équipe retire la liquidité ou déverse une réserve cachée, et le prix s'effondre à zéro en un seul bloc. Tous ceux qui détiennent encore se retrouvent avec un jeton que personne ne peut échanger.
Les rugs sont généralement visibles à l'avance si vous connaissez les indices. Les signaux vivent dans le contrat et la configuration de liquidité, pas dans le marketing :
- Réserve pouvant être frappée. Si le propriétaire peut frapper de nouveaux jetons à volonté, il peut diluer chaque détenteur jusqu'à néant quand bon lui semble.
- Propriété non renoncée. Une clé de propriétaire active signifie souvent que des fonctions privilégiées — suspendre les échanges, modifier les taxes, blacklister les vendeurs — restent sur la table.
- Liquidité non verrouillée ou trop mince. Si le pool de liquidité n'est pas verrouillé (ou s'il est dérisoirement petit), l'équipe peut le retirer dès que cela en vaut la peine pour elle.
- Taxes punitives ou ajustables. Une taxe de vente élevée, ou que le propriétaire peut augmenter après le lancement, est un rug en douceur que vous payez par versements.
- Détenteurs concentrés. Quand une poignée de portefeuilles détient l'essentiel de la réserve, une seule décision met fin à la partie pour tous les autres.
Aucun de ces éléments ne constitue automatiquement la preuve d'une fraude. Beaucoup de projets légitimes conservent au début une clé de propriétaire pour de bonnes raisons. Mais chacun est une question à laquelle vous voulez une réponse avant d'acheter, pas après.
La vérification en soixante secondes
Voici la version manuelle de ce qu'un acheteur prudent fait avant de s'engager sur un jeton inconnu :
1. Read the contract → verified source? owner renounced? mintable?
2. Simulate a sell → does an exit transaction actually succeed?
3. Inspect the tax → buy/sell tax reasonable and fixed?
4. Check liquidity → locked? for how long? deep enough to exit?
5. Look at the holders → is supply concentrated in a few wallets?
6. Search the token → any prior reports, forks, or copied code?
Bien menée, cette démarche est réellement protectrice. Bien menée, elle est aussi lente, technique, et facile à balayer d'un revers de main quand un jeton « décolle maintenant ». Cet écart — entre la vérification qui fonctionne et la vérification que les gens exécutent réellement — c'est là que les escrocs opèrent. L'urgence n'est pas un effet secondaire de ces stratagèmes ; c'en est le mécanisme.
Automatiser la partie ennuyeuse qui sauve la mise
RugSpy existe pour combler cet écart. Vous collez une adresse de contrat, ajoutez éventuellement la paire de liquidité, et il exécute les vérifications ci-dessus sur cinq grands réseaux EVM — Ethereum, BNB Smart Chain, Polygon, Arbitrum et Avalanche — puis renvoie une lecture claire : indicateurs de honeypot, signaux de rug pull, alertes de taxe et de propriété, et quelle part du risque il a pu confirmer.
Nous l'avons construit sur un principe que nous tenons pour tout ce que nous faisons chez Oluwa : l'outil doit dire la vérité simplement, surtout quand la vérité est inconfortable. Un scanner qui vous rassure est pire que pas de scanner. RugSpy est donc explicite sur ce qu'il a trouvé, ce qu'il n'a pas pu vérifier, et là où vous devez encore réfléchir par vous-même. C'est un deuxième avis rapide, pas une garantie — car dans un domaine aussi adversarial, quiconque promet une garantie vous vend la prochaine arnaque.
Deux limites honnêtes méritent d'être énoncées. Premièrement, la détection d'arnaques est une course à l'armement : les auteurs de contrats s'adaptent, et aucun scanner ne détecte tout, si bien qu'un résultat propre réduit votre risque sans l'effacer. Deuxièmement, un outil ne peut pas corriger l'urgence. Si la seule raison pour laquelle vous achetez, c'est la peur de rater le coche dans les trente prochaines secondes, aucun verdict ne vous sauvera — ce sentiment est l'exploit.
À retenir
Les arnaques crypto qui fonctionnent ne reposent pas sur la sophistication. Elles reposent sur la vitesse — sur le fait de vous pousser à sauter la seule vérification qui vous aurait arrêté. Les honeypots piègent votre sortie ; les rug pulls la suppriment plus tard. Les deux laissent des empreintes dans le contrat avant qu'un seul dollar ne bouge.
La discipline est donc ennuyeuse et elle est tout : vérifiez avant d'acheter, à chaque fois, sans exception pour le jeton qui « ne peut pas attendre ». Faites-le à la main si vous savez lire un contrat. Laissez RugSpy le faire en quelques secondes si vous ne savez pas. Dans les deux cas, l'objectif est le même — prendre la décision les yeux ouverts, la seule chose que toute arnaque est conçue pour empêcher.