Oluwa.io
Tutti gli scritti
·5 min di letturasicurezza cryptohoneypotrug pullrugspy

Come riconoscere una truffa crypto prima di comprare

Honeypot, rug pull e i segnali d'allarme che svuotano i portafogli: una guida pratica per controllare un token prima di comprare, e come RugSpy lo automatizza.

Di Vitor Lima

La maggior parte delle persone che perde denaro con la truffa di un token non ha fatto nulla di avventato. Hanno visto un grafico in movimento, un indirizzo di contratto in una chat, un conto alla rovescia che rendeva costoso aspettare. Hanno comprato. Poi hanno provato a vendere, e non ci sono riusciti. La trappola non era il mercato — era il contratto stesso, ed era scritto per catturarli prima ancora che cliccassero "compra".

Questa è una guida pratica alle due modalità di fallimento che causano la maggior parte di quel danno — honeypot e rug pull — ai segnali d'allarme che le precedono, e a come controllare un token nei sessanta secondi prima di impegnare il tuo denaro. È anche il ragionamento dietro RugSpy, lo scanner che abbiamo costruito per fare questi controlli automaticamente.

Honeypot: puoi comprare, ma non puoi vendere

Un honeypot è un token progettato in modo che comprare funzioni perfettamente e vendere fallisca in silenzio. Il grafico sembra vivo, il tuo portafoglio mostra un saldo, tutto sembra normale — finché non provi a uscire e la transazione viene annullata ogni volta. Il tuo denaro è entrato attraverso una porta che si apre in una sola direzione.

I meccanismi variano, ma l'intento è sempre lo stesso: intrappolare la liquidità. Alcuni contratti codificano rigidamente una regola per cui solo gli indirizzi in whitelist possono vendere. Alcuni impostano la tassa di vendita a un numero assurdo così che qualsiasi uscita sia economicamente inutile. Altri nascondono una funzione che il deployer può attivare dopo che abbastanza acquirenti si sono ammassati.

La parte insidiosa è che un honeypot può superare completamente il test dell'occhio umano. Nome dall'aspetto reale, liquidità dall'aspetto reale, detentori dall'aspetto reale. Non puoi capirlo guardando il prezzo. Puoi capirlo solo leggendo ciò che il contratto permette davvero — che è esattamente il tipo di controllo che le persone saltano quando un token sta "per decollare".

Rug pull: l'uscita è integrata fin dal primo giorno

Un rug pull è più lento e, in un certo senso, più onesto nella sua crudeltà. Il token funziona — puoi comprare e vendere — fino al momento in cui il team ritira la liquidità o scarica un'offerta nascosta, e il prezzo crolla a zero in un singolo blocco. Chiunque lo detenga ancora resta con un token che nessuno può scambiare.

I rug sono di solito visibili in anticipo se conosci i segnali. I segnali vivono nel contratto e nella configurazione della liquidità, non nel marketing:

  • Offerta coniabile (mintable). Se il proprietario può coniare nuovi token a piacimento, può diluire ogni detentore fino a nulla quando vuole.
  • Proprietà non rinunciata. Una chiave di proprietà attiva spesso significa che funzioni privilegiate — sospendere il trading, cambiare le tasse, mettere in blacklist i venditori — sono ancora sul tavolo.
  • Liquidità sbloccata o esigua. Se il pool di liquidità non è bloccato (o è banalmente piccolo), il team può ritirarlo nel momento in cui gli conviene.
  • Tasse punitive o modificabili. Una tassa di vendita alta, o che il proprietario può aumentare dopo il lancio, è un rug soft che paghi a rate.
  • Detentori concentrati. Quando una manciata di portafogli detiene la maggior parte dell'offerta, una sola decisione chiude la partita per tutti gli altri.

Nessuno di questi è automaticamente prova di frode. Molti progetti legittimi agli inizi conservano una chiave di proprietà per buone ragioni. Ma ognuno è una domanda a cui vuoi una risposta prima di comprare, non dopo.

Il controllo dei sessanta secondi

Ecco la versione manuale di ciò che un acquirente attento fa prima di impegnarsi con un token sconosciuto:

1. Read the contract       → verified source? owner renounced? mintable?
2. Simulate a sell         → does an exit transaction actually succeed?
3. Inspect the tax         → buy/sell tax reasonable and fixed?
4. Check liquidity         → locked? for how long? deep enough to exit?
5. Look at the holders      → is supply concentrated in a few wallets?
6. Search the token         → any prior reports, forks, or copied code?

Fatto bene, questo protegge davvero. Fatto bene, è anche lento, tecnico e facile da razionalizzare via quando un token sta "andando sulla luna proprio ora". Quel divario — tra il controllo che funziona e il controllo che le persone eseguono davvero — è dove operano i truffatori. L'urgenza non è un effetto collaterale di questi schemi; è il meccanismo.

Automatizzare la parte noiosa e salvavita

RugSpy esiste per colmare quel divario. Incolli un indirizzo di contratto, aggiungi facoltativamente la coppia di liquidità, ed esegue i controlli sopra su cinque principali reti EVM — Ethereum, BNB Smart Chain, Polygon, Arbitrum e Avalanche — poi restituisce una lettura chiara: indicatori di honeypot, segnali di rug pull, avvisi su tasse e proprietà, e quanto del rischio è riuscito a confermare.

L'abbiamo costruito su un principio che teniamo in tutto ciò che facciamo in Oluwa: lo strumento dovrebbe dire la verità in modo schietto, specialmente quando la verità è scomoda. Uno scanner che ti rassicura è peggio di nessuno scanner. Perciò RugSpy è esplicito su cosa ha trovato, cosa non ha potuto verificare, e dove hai ancora bisogno di ragionare con la tua testa. È un secondo parere rapido, non una garanzia — perché in un ambito così avversariale, chiunque prometta una garanzia ti sta vendendo la prossima truffa.

Due limiti onesti che vale la pena dichiarare. Primo, il rilevamento delle truffe è una corsa agli armamenti: gli autori dei contratti si adattano, e nessuno scanner intercetta tutto, quindi un risultato pulito abbassa il tuo rischio senza cancellarlo. Secondo, uno strumento non può risolvere l'urgenza. Se l'unico motivo per cui stai comprando è che hai paura di perderti qualcosa nei prossimi trenta secondi, nessun verdetto ti salverà — quella sensazione è l'exploit.

Il punto chiave

Le truffe crypto che funzionano non si affidano alla sofisticazione. Si affidano alla velocità — a farti saltare l'unico controllo che ti avrebbe fermato. Gli honeypot intrappolano la tua uscita; i rug pull la rimuovono più tardi. Entrambi lasciano impronte nel contratto prima che un solo dollaro si muova.

Quindi la disciplina è noiosa ed è tutto: controlla prima di comprare, ogni volta, nessuna eccezione per il token che "non può aspettare". Fallo a mano se sai leggere un contratto. Lascia che RugSpy lo faccia in pochi secondi se non ne sei capace. In entrambi i casi, l'obiettivo è lo stesso — prendere la decisione a occhi aperti, che è l'unica cosa che ogni truffa è costruita per impedire.