Oluwa.io
Wszystkie teksty
·5 min czytaniabezpieczeństwo kryptowaluthoneypotyrug pullerugspy

Jak rozpoznać kryptowalutowe oszustwo, zanim kupisz

Honeypoty, rug pulle i sygnały ostrzegawcze, które opróżniają portfele — praktyczny przewodnik po sprawdzaniu tokena przed zakupem i jak automatyzuje to RugSpy.

Autor Vitor Lima

Większość ludzi, którzy stracili pieniądze na tokenowym oszustwie, nie zrobiła nic lekkomyślnego. Zobaczyli poruszający się wykres, adres kontraktu na czacie, odliczanie, które sprawiło, że czekanie wydało się kosztowne. Kupili. Potem spróbowali sprzedać i nie mogli. Pułapką nie był rynek — był nią sam kontrakt, napisany po to, by złapać ich, zanim w ogóle klikną „kup".

To praktyczny przewodnik po dwóch trybach awarii, które powodują większość tych szkód — honeypotach i rug pullach — po sygnałach ostrzegawczych, które je poprzedzają, oraz po tym, jak sprawdzić token w ciągu sześćdziesięciu sekund, zanim zaangażujesz pieniądze. To także tok myślenia stojący za RugSpy, skanerem, który zbudowaliśmy, by wykonywać te kontrole automatycznie.

Honeypoty: możesz kupić, ale nie możesz sprzedać

Honeypot to token zaprojektowany tak, że kupno działa bez zarzutu, a sprzedaż po cichu zawodzi. Wykres wygląda żywo, portfel pokazuje saldo, wszystko sprawia normalne wrażenie — dopóki nie spróbujesz wyjść, a transakcja za każdym razem się cofa. Twoje pieniądze weszły przez drzwi, które otwierają się tylko w jedną stronę.

Mechanika bywa różna, ale intencja jest zawsze ta sama: uwięzić płynność. Niektóre kontrakty na sztywno kodują regułę, że sprzedawać mogą tylko adresy z białej listy. Niektóre ustawiają podatek od sprzedaży na absurdalną liczbę, tak że każde wyjście jest ekonomicznie bezcelowe. Inne ukrywają funkcję, którą wdrażający może przełączyć, gdy dość kupujących się nazbiera.

Podstępne jest to, że honeypot potrafi w pełni przejść test ludzkiego oka. Prawdziwie wyglądająca nazwa, prawdziwie wyglądająca płynność, prawdziwie wyglądający posiadacze. Nie poznasz tego po cenie. Poznasz to tylko, czytając, na co kontrakt faktycznie pozwala — czyli dokładnie ten rodzaj kontroli, który ludzie pomijają, gdy token „za chwilę wystrzeli".

Rug pulle: wyjście wbudowane od pierwszego dnia

Rug pull jest wolniejszy i w pewnym sensie bardziej uczciwy w swoim okrucieństwie. Token działa — możesz kupować i sprzedawać — dokładnie do chwili, gdy zespół wyciąga płynność lub zrzuca ukrytą podaż, a cena zapada się do zera w jednym bloku. Wszyscy wciąż trzymający zostają z tokenem, którym nikt nie może handlować.

Rug pulle zwykle widać z wyprzedzeniem, jeśli znasz sygnały. Znaki żyją w kontrakcie i konfiguracji płynności, a nie w marketingu:

  • Podaż z możliwością emisji. Jeśli właściciel może dowolnie emitować nowe tokeny, może rozwodnić każdego posiadacza do zera, kiedy tylko zechce.
  • Nieodrzucone prawo własności. Aktywny klucz właściciela często oznacza, że funkcje uprzywilejowane — wstrzymywanie handlu, zmiana podatków, umieszczanie sprzedających na czarnej liście — wciąż są w grze.
  • Odblokowana lub cienka płynność. Jeśli pula płynności nie jest zablokowana (albo jest trywialnie mała), zespół może ją wycofać w chwili, gdy będzie mu się to opłacać.
  • Karne lub regulowane podatki. Podatek od sprzedaży, który jest wysoki albo który właściciel może podnieść po starcie, to miękki rug pull spłacany w ratach.
  • Skoncentrowani posiadacze. Gdy garstka portfeli trzyma większość podaży, jedna decyzja kończy grę dla wszystkich pozostałych.

Żadne z tych nie jest automatycznie dowodem oszustwa. Wiele wczesnych, legalnych projektów zachowuje klucz właściciela z dobrych powodów. Ale każde jest pytaniem, na które chcesz mieć odpowiedź przed zakupem, a nie po.

Kontrola w sześćdziesiąt sekund

Oto ręczna wersja tego, co robi ostrożny kupujący, zanim zaangażuje się w nieznany token:

1. Read the contract       → verified source? owner renounced? mintable?
2. Simulate a sell         → does an exit transaction actually succeed?
3. Inspect the tax         → buy/sell tax reasonable and fixed?
4. Check liquidity         → locked? for how long? deep enough to exit?
5. Look at the holders      → is supply concentrated in a few wallets?
6. Search the token         → any prior reports, forks, or copied code?

Zrobiona porządnie, jest naprawdę ochronna. Zrobiona porządnie, jest też powolna, techniczna i łatwa do zracjonalizowania, gdy token „właśnie leci na księżyc". Ta przepaść — między kontrolą, która działa, a kontrolą, którą ludzie faktycznie wykonują — to miejsce, w którym operują oszuści. Pośpiech nie jest efektem ubocznym tych schematów; jest ich mechanizmem.

Automatyzacja tej nudnej, ratującej życie części

RugSpy istnieje, by zasypać tę przepaść. Wklejasz adres kontraktu, opcjonalnie dodajesz parę płynnościową, a on przeprowadza powyższe kontrole na pięciu głównych sieciach EVM — Ethereum, BNB Smart Chain, Polygon, Arbitrum i Avalanche — po czym zwraca klarowny odczyt: wskaźniki honeypota, sygnały rug pulla, flagi podatków i własności oraz to, ile z ryzyka udało mu się potwierdzić.

Zbudowaliśmy go na zasadzie, której trzymamy się we wszystkim w Oluwa: narzędzie powinno mówić prawdę wprost, zwłaszcza gdy prawda jest niewygodna. Skaner, który cię uspokaja, jest gorszy niż brak skanera. Dlatego RugSpy jawnie mówi, co znalazł, czego nie zdołał zweryfikować i gdzie wciąż musisz pomyśleć samodzielnie. To szybka druga opinia, a nie gwarancja — bo w dziedzinie tak wrogo nastawionej każdy, kto obiecuje gwarancję, sprzedaje ci kolejne oszustwo.

Dwa uczciwe ograniczenia warte wypowiedzenia. Po pierwsze, wykrywanie oszustw to wyścig zbrojeń: autorzy kontraktów adaptują się i żaden skaner nie łapie wszystkiego, więc czysty wynik obniża twoje ryzyko, nie wymazując go. Po drugie, narzędzie nie naprawi pośpiechu. Jeśli jedynym powodem, dla którego kupujesz, jest strach przed przegapieniem okazji w ciągu najbliższych trzydziestu sekund, żaden werdykt cię nie ocali — to uczucie jest właśnie eksploitem.

Wniosek

Kryptowalutowe oszustwa, które działają, nie polegają na wyrafinowaniu. Polegają na szybkości — na skłonieniu cię, byś pominął tę jedną kontrolę, która by cię powstrzymała. Honeypoty łapią twoje wyjście; rug pulle usuwają je później. Oba zostawiają odciski palców w kontrakcie, zanim ruszy się choćby jeden dolar.

Więc dyscyplina jest nudna i jest wszystkim: sprawdzaj przed zakupem, za każdym razem, bez wyjątków dla tokena, który „nie może czekać". Zrób to ręcznie, jeśli potrafisz czytać kontrakt. Pozwól RugSpy zrobić to w kilka sekund, jeśli nie potrafisz. Tak czy inaczej, cel jest ten sam — podjąć decyzję z otwartymi oczami, co jest tą jedną rzeczą, którą każde oszustwo jest zbudowane, by uniemożliwić.