کلاهبرداری هانی‌پات کریپتو چیست؟ راهنمای قرارداد هوشمند اتریوم

یک مغازه را تصور کنید. یک مغازه کوچک. پول شما را می‌گیرد، رسیدی به شما می‌دهد، لبخند می‌زند. سپس بی‌سروصدا در خروجی را قفل می‌کند. از نظر فنی، هر چیزی که روی قفسه‌ها است، مال شماست. شما فقط نمی‌توانید با هیچ کدام از آنها خارج شوید. این یک کلاهبرداری رمزنگاری هانی‌پات در یک تصویر است. و در سال ۲۰۲۵، ده‌ها هزار از این تنظیمات فریبنده در هر لحظه به صورت آنلاین در صرافی‌های غیرمتمرکز پخش شده و در کد قرارداد هوشمند مخربی که هیچ کس آن را نمی‌خواند، جاسازی شده بودند.

شاید قبلاً این اصطلاح را نشنیده باشید. باشه. وقتی یادش بگیرید، همه جا آن را خواهید دید. توکنی که در یک چهارشنبه تصادفی با ۲۰۰۰ خریدار و بدون فروشنده، ۴۰۰ درصد افزایش قیمت دارد. کیف پولی که کسی در موردش به شما پیام خصوصی می‌دهد و می‌گوید "می‌توانید به من کمک کنید این پول را خارج کنم؟" کوینی که یک سلبریتی حدود ۱۰ ثانیه قبل از عمودی شدن نمودار توییت کرده است. بعضی از اینها هانی‌پات هستند. بعضی نیستند. هدف این راهنما این است که به شما یاد دهد چگونه بدون نیاز به سابقه توسعه‌دهنده، این را تشخیص دهید.

ابتدا مقیاس را بررسی کنید. گزارش جرایم کریپتویی چینالیسیس در سال ۲۰۲۶ می‌گوید آدرس‌های غیرقانونی کریپتو در سال ۲۰۲۵، ۱۵۴ میلیارد دلار درآمد داشته‌اند که نسبت به سال قبل ۱۶۲ درصد افزایش داشته است. گزارش جرایم اینترنتی اف‌بی‌آی در سال ۲۰۲۵، کلاهبرداری کریپتویی را ۱۱.۳۶۶ میلیارد دلار اعلام کرده است که ۷.۲ میلیارد دلار آن مربوط به کلاهبرداری‌های سرمایه‌گذاری است. هانی‌پات‌ها بخش واقعی از هر دو عدد هستند. در اتریوم، بیس و بایننس چین، آنها یک بخش ثابت روزانه هستند. بنابراین اجازه دهید شما را با محل واقعی این تله و اینکه چه بررسی‌های اولیه‌ای شما را از آن دور نگه می‌دارد، آشنا کنم.

هانی‌پات در کریپتو چیست؟ نگاهی مبتدی

هانی‌پات (Honeypot) به هر تله کریپتویی گفته می‌شود که شبیه یک فرصت عادی به نظر می‌رسد اما طوری طراحی شده است که نتوانید پول خود را از آن خارج کنید. این نام از ایده چیزی شیرین گرفته شده است که در فضای باز رها می‌شود تا مگس‌ها را جذب کند. در کریپتو، چیز شیرین معمولاً یک توکن داغ، کیف پولی است که به نظر می‌رسد حاوی وجوه رایگان است، یا وب‌سایتی که نوید بازده‌های بسیار زیاد را می‌دهد.

تفاوت مهم اینجاست. یک هانی‌پات با هک کردن شما، کوین‌هایتان را نمی‌دزدد. کیف پولتان را از بیرون خالی نمی‌کند. به شما اجازه می‌دهد با دستان خودتان مقدار مشخصی ارز دیجیتال را به قراردادی ارسال کنید که هیچ راه خروجی ندارد. به محض اینکه پول به حسابتان واریز شد، کلاهبردار آن را کنترل می‌کند. شما این کار را نمی‌کنید.

یک هانی‌پات (Honeypot) معمولی روی زنجیره به این شکل است: یک توکن جدید در Uniswap یا PancakeSwap یا هر مکان مالی غیرمتمرکز دیگری که وعده غیرمتمرکزسازی معاملات توکن را می‌دهد، ظاهر می‌شود. نمودار نشان می‌دهد که در حال افزایش است. مردم توکن را می‌خرند. شما هم توکن می‌خرید. کیف پول شما اکنون موجودی را نشان می‌دهد. شما سعی می‌کنید بفروشید. تراکنش برگشت می‌خورد، شکست می‌خورد یا با کارمزد فروش ۱۰۰٪ بالا تکمیل می‌شود که هیچ چیزی برای شما باقی نمی‌گذارد. موجودی شما هنوز سر جایش است. فقط نمی‌تواند جابجا شود. شما با توکن‌های بی‌ارزش و منتظر دری هستید که هرگز باز نخواهد شد، که حتی طبقه‌بندی آن به عنوان هک را دشوار می‌کند زیرا هیچ سوءاستفاده‌ای مستقیماً علیه شما رخ نداده است.

اصطلاح هانی‌پات از کجا آمده است؟

این کلمه از کریپتو قدیمی‌تر است. خیلی قدیمی‌تر. نام «هانی‌پات» در کتاب «تخم فاخته» نوشته کلیفورد استول در سال ۱۹۸۹ آمده است. استول یک مدیر سیستم در آزمایشگاه برکلی بود. او متوجه یک خطای حسابداری ۷۵ سنتی شد، آن را دستکاری کرد و در نهایت یک هکر وابسته به KGB را در شبکه‌های نظامی تعقیب کرد. فایل‌های جعلی که او برای مشغول نگه داشتن هکر تنظیم کرد؟ آنها اولین هانی‌پات‌ها بودند. یک آدم فنی خوب.

کریپتو حرف را پذیرفت و هدف را تغییر داد. چهل سال بعد، عسل به سمت کاربران عادی کریپتو نشانه گرفته شده است. نه مزاحمان. حالا شما مگس هستید. همان ساختار تله، برخلاف اخلاق. وقتی کسی در کریپتو می‌گوید "آن توکن یک ظرف عسل است"، منظورش این است که کد علیه هر کسی که آن را می‌خرد، دستکاری شده است، معمولاً از طریق محدودیت‌های پنهانی که در منطق قرارداد نهفته است و هیچ‌کس آن را نمی‌خواند.

نحوه‌ی عملکرد کلاهبرداری هانی‌پات گام به گام

بیشتر کلاهبرداری‌های هانی‌پات از یک سناریوی یکسان پیروی می‌کنند. وقتی یک بار آن را ببینید، در عرض چند دقیقه انواع جدید آن را تشخیص می‌دهید.

این کار با یک کلاهبردار شروع می‌شود که یک قرارداد هوشمند می‌نویسد. در ظاهر، شبیه یک توکن استاندارد به نظر می‌رسد. تابع خرید کار می‌کند. آن را روی اتریوم، بیس، بایننس کوین چین یا سولانا مستقر کنید. تا اینجا همه چیز عادی است.

و اما تله. جایی در منطق فروش، یک محدودیت. می‌تواند یک لیست سیاه باشد که بی‌سروصدا هر خریدار جدید را اضافه می‌کند. می‌تواند یک مالیات فروش ۱۰۰٪ باشد. می‌تواند تابعی باشد که فقط مالک مجاز به فراخوانی آن است. می‌تواند یک قرارداد کمکی جداگانه باشد که در واقع نقل و انتقالات را کنترل می‌کند. خریداران می‌توانند توکن‌ها را ارسال کنند، فقط کلاهبردار می‌تواند آنها را ارسال کند. نتیجه یکسان، اما اشکال مختلف.

مرحله‌ی بعدی مرحله‌ی صحنه‌سازی است. کلاهبردار یک استخر نقدینگی در یک صرافی غیرمتمرکز ایجاد می‌کند. توکن قابل معامله به نظر می‌رسد. آنها با کیف پول‌های خود و یک یا دو کیف پول سوم، معامله‌ی غیرمتمرکز انجام می‌دهند تا نموداری را ترسیم کنند که زنده به نظر برسد. شمع‌های سبز، حجم معاملات رو به افزایش. تلگرام شروع به پر شدن از سوالات «چگونه می‌توانم بخرم» می‌کند.

سپس تبلیغات، در سراسر پلتفرم‌های رسانه‌های اجتماعی. گاهی اوقات اینفلوئنسرهای پول‌گرفته. گاهی اوقات یک پروژه شناخته‌شده‌ی جعل هویت‌شده. گاهی اوقات یک رویداد خبری، همانطور که SQUID$ در سال ۲۰۲۱ هیاهوی بازی Squid نتفلیکس را به راه انداخت. تلگرام، X، تیک‌تاک. همیشه با فوریت: "فقط ۱۰۰۰ کیف پول می‌توانند ایجاد کنند"، "توکن در ۲ ساعت راه‌اندازی می‌شود"، "قیمت در حال حاضر ۳۰۰٪ افزایش یافته است".

مرحله نهایی همیشه یکسان است. قربانیان سعی می‌کنند بفروشند. این تراکنش‌های فروش، برگشت می‌خورند، شکست می‌خورند یا همه چیز را به کیف پول کلاهبردار هدایت می‌کنند. تا زمانی که چت تلگرام متوجه شود، کلاهبردار یا موجودی را تخلیه کرده یا وجوه را به قرارداد سوم منتقل کرده است. قرارداد مرده برای همیشه روی زنجیره می‌ماند، یادگاری از تله.

انواع هانی‌پات‌هایی که واقعاً ملاقات خواهید کرد

هانی‌پات‌ها در طعم‌های متنوع‌تری نسبت به آنچه اکثر مبتدیان انتظار دارند، عرضه می‌شوند. اینها انواع اصلی هانی‌پات‌هایی هستند که مردم در سال ۲۰۲۵ با آنها مواجه می‌شوند.

• تله‌های عدم امکان فروش در قرارداد هوشمند. قرارداد هرگونه تراکنش فروش از آدرسی که در لیست سفید نیست را رد می‌کند. شما توکن‌های خود را در کیف پول خود می‌بینید و هرگز آنها را جابجا نخواهید کرد.
• تله‌های پنهان لیست سیاه. هر خریدار جدید در زمان خرید، بی‌سروصدا به لیست سیاه اضافه می‌شود. خرید جواب می‌دهد؛ فروش برای همیشه شکست می‌خورد.
• تله‌های فروش-مالیات ۱۰۰٪. این قرارداد ۱۰۰٪ از هر فروشی را به یک کیف پول «خزانه‌دار» (کلاهبردار) هدایت می‌کند. شما از نظر فنی می‌فروشید، اما هیچ پولی دریافت نمی‌کنید.
• تله‌های نقدینگی. استخر نقدینگی یک طرفه است یا توسط توسعه‌دهنده کنترل می‌شود. سفارشات فروش به این دلیل شکست می‌خورند که هیچ چیز در طرف دیگر حساب وجود ندارد، یا کلاهبردار به دلخواه نقدینگی را به زور می‌گیرد.
• تله‌های عملکرد مالک. عملکردهای پنهان مختص مالک به کلاهبردار اجازه می‌دهد تا معاملات را متوقف کند، عرضه نامحدود ایجاد کند یا مالیات‌ها را پس از راه‌اندازی تغییر دهد. حتی یک «راه‌اندازی منصفانه» می‌تواند یک ساعت بعد به یک هانی‌پات تبدیل شود.
• تله‌های کیف پول/"ETH رایگان". اصلاً توکنی وجود ندارد. یک کلاهبردار یک کیف پول با توکن‌های قابل مشاهده روی زنجیره منتشر می‌کند و عبارت بازیابی را به اشتراک می‌گذارد. وقتی سعی می‌کنید توکن‌ها را خارج کنید، به سوخت نیاز دارید. شما سوخت ارسال می‌کنید. یک ربات جاروکننده فوراً آن را جارو می‌کند. شما چیزی دریافت نمی‌کنید. متامسک به طور خاص در مورد این نوع هشدار می‌دهد.
• تله‌های «پشتیبانی» جعلی اتراسکن. شخصی به کامنت اتراسکن شما پاسخ می‌دهد و پیشنهاد کمک می‌دهد. آنها به شما می‌گویند مقدار کمی اتر را به یک قرارداد «معکوس» ارسال کنید. آن قرارداد، یک هانی‌پات دیگر است که اتر شما را نگه می‌دارد.

آزمایشگاه‌های Solidus به تنهایی ۹۸,۴۴۲ قرارداد هانی‌پات درون زنجیره‌ای را فهرست‌بندی کرده‌اند که به انواع قراردادهای خارجی، بلوک نقدینگی و فهرست بلوکی تقسیم می‌شوند. Token Sniffer بیش از ۴۷.۹ میلیون توکن را در ۱۵ زنجیره ردیابی می‌کند و بیش از شش میلیون از آنها را به عنوان کلاهبرداری علامت‌گذاری می‌کند. اعداد کوچک نیستند.

هانی‌پات‌های قرارداد هوشمند و ترفند مالیات فروش

از بین تمام انواع، هانی‌پات‌های قرارداد هوشمند روی زنجیره‌های به سبک اتریوم رایج‌ترین هستند. قراردادهای هوشمند اتریوم و کلون‌های آنها روی بلاکچین اتریوم، اکثر این تله‌ها را تقویت می‌کنند و این الگو همچنین نشان می‌دهد که چرا «کد عمومی است» سپر ایمنی نیست که بسیاری از مبتدیان فکر می‌کنند.

یک قرارداد هوشمند هانی‌پات از بیرون کسل‌کننده به نظر می‌رسد. این قرارداد از کتابخانه استاندارد OpenZeppelin ERC-20 ارث‌بری می‌کند. دارای یک نام، یک نماد و یک منبع است. اگر کد قرارداد هوشمند آن را در یک مرورگر بلوک مانند Etherscan یا BscScan مشاهده کنید، ممکن است صدها خط ببینید. اکثر آنها بی‌ضرر هستند. این تله معمولاً درون تابع `_transfer` یا در یک ماژول هوشمند مشکوک جداگانه که توکن اصلی از طریق یک آدرس کمکی فراخوانی می‌شود، پنهان شده است.

شیک‌ترین نسخه، ترفند مالیات فروش است. قرارداد متغیری به نام `sellTax` دارد. در زمان راه‌اندازی، این مقدار ۵٪ است که طبیعی است. ده دقیقه پس از راه‌اندازی، مالک `setSellTax(100)` را فراخوانی می‌کند. اکنون هر فروشی، هر توکن را به خزانه ارسال می‌کند. خرید هنوز هم کار می‌کند، زیرا خریدها از طریق یک تابع متفاوت انجام می‌شوند. مگر اینکه بفهمید در کد چه می‌خوانید، می‌توانید به قرارداد خیره شوید و تله را نبینید، زیرا از بیرون مانند هر توکن Web3 ERC-20 دیگری به نظر می‌رسد.

به همین دلیل است که خواندن کد قرارداد هوشمند توسط خودتان به عنوان یک مبتدی غیرقابل اعتماد است. شما یا به یک شبیه‌سازی نیاز دارید (یک فروش آزمایشی اجرا کنید و ببینید آیا موفق می‌شود یا خیر) یا به ابزاری که از قبل این الگوها را می‌شناسد. Honeypot.is، Token Sniffer، De.Fi Scanner، QuillCheck و GoPlus Security همگی نوعی از این تحلیل را اجرا می‌کنند. هیچ‌کدام بی‌عیب و نقص نیستند. سازندگان Honeypot در سال ۲۰۲۵ از قراردادهای پروکسی قابل ارتقا و محرک‌های با تأخیر زمانی به طور خاص برای غلبه بر اسکنرهای استاتیک استفاده می‌کنند، بنابراین هرگونه تلاشی برای سوءاستفاده از یک قرارداد جدید به بیش از یک ابزار نیاز دارد.

هانی‌پات‌های کیف پول: تله عبارت بازیابی

نوع کیف پول ارزش توضیح جداگانه‌ای دارد زیرا اصلاً شامل هیچ قرارداد توکنی نمی‌شود. متامسک (MetaMask) یک هشدار رسمی در مورد آن منتشر می‌کند، ترزور (Trezor) و لجر (Ledger) نیز همین کار را می‌کنند.

این وضعیت بی‌خطر به نظر می‌رسد. یک غریبه در تلگرام، دیسکورد یا توییتر ادعا می‌کند که در حوزه ارزهای دیجیتال تازه‌کار است و نمی‌تواند بفهمد چگونه وجوه را از کیف پول خارج کند. او عبارت بازیابی (بله، واقعاً) را به اشتراک می‌گذارد و توضیح می‌دهد که کیف پول "قفل شده" است زیرا توکن‌هایی در آن وجود دارد اما بنزین ندارد. او می‌پرسد که آیا می‌تواند کمک کند و پیشنهاد می‌دهد هر چه داخل کیف پول است را تقسیم کند.

شما کیف پول را در متامسک بارگذاری می‌کنید. موجودی واقعی را می‌بینید: مقداری USDT، شاید چند توکن تصادفی. سعی می‌کنید USDT را برای خودتان ارسال کنید. نمی‌توانید، زیرا کیف پول هیچ ETH برای گس ندارد. بنابراین کمی ETH از کیف پول خودتان ارسال می‌کنید تا کارمزد تراکنش را پوشش دهد.

به محض رسیدن اتریوم، یک ربات سوییپر که برای رصد آن آدرس برنامه‌ریزی شده است، هر وی ورودی را به کیف پول واقعی کلاهبردار منتقل می‌کند. بنزین شما تمام شده است. توکن‌هایی که فکر می‌کردید به نجات آنها کمک می‌کنید، از همان ابتدا هرگز قابل بازیابی نبودند. آنها یا به دلیل محدودیت‌های قرارداد قفل شده‌اند، یا توسط تتر مسدود شده‌اند زیرا آدرس از قبل علامت‌گذاری شده بود.

قانونی که از این مورد جلوگیری می‌کند بسیار ساده است: هرگز، هرگز به کیف پولی که عبارت بازیابی آن را شخص دیگری به شما داده است، اعتماد نکنید. اگر واقعاً صاحب آن کیف پول بودند، خودشان وجوه را ارسال می‌کردند. این تله یکی از ساده‌ترین راه‌هایی است که کلاهبرداران برای دزدیدن بنزین از مبتدیان استفاده می‌کنند و به گونه‌ای طراحی شده است که هر کسی را که به اندازه کافی تازه‌کار است و فکر می‌کند «پول مفت» واقعاً مفت است، به دام بیندازد.

کلاهبرداری‌های معروف هانی‌پات: SQUID، HAWK، LIBRA

موارد واقعی به درک این موضوع کمک می‌کنند.

SQUID (اول نوامبر ۲۰۲۱). این مثال، نمونه‌ی اولیه و ابتدایی است. این توکن از محبوبیت بازی Squid نتفلیکس بهره برد. خرید آن جواب داد و انفجاری به نظر می‌رسید. قیمت از حدود ۰.۰۱ دلار به تقریباً ۲۸۶۱ دلار افزایش یافت، افزایشی چنان چشمگیر که واشنگتن پست و بی‌بی‌سی آن را پوشش دادند. دارندگان سعی کردند بفروشند. اما نتوانستند. سپس توسعه‌دهندگان تقریباً ۳.۳۸ میلیون دلار از نقدینگی را تخلیه کردند و ناپدید شدند. این توکن در کمتر از پنج دقیقه بیش از ۹۹.۹۹٪ سقوط کرد. یک هانی‌پات خالص، یک کلاهبرداری خروج خالص.

HAWK (4 دسامبر 2024). یک هانی‌پات کلاسیک قرارداد هوشمند نیست، اما با همان مدل ذهنی مطابقت دارد. این توکن که توسط هالی "هاوک توآ" ولچ عرضه شد، در روز عرضه به ارزش بازار 500 میلیون دلار رسید. تجزیه و تحلیل درون زنجیره‌ای توسط هالبورن نشان داد که 96٪ از عرضه در کیف پول‌های داخلی نگهداری می‌شود. وقتی داخلی‌ها سهام را رها کردند، قیمت در همان روز بیش از 95٪ کاهش یافت. خریداران با توکن‌هایی مواجه شدند که از نظر فنی هنوز معامله می‌شوند و از نظر فنی هنوز بی‌ارزش هستند.

لیبرا (۱۴ فوریه ۲۰۲۵). خاویر مایلی، رئیس جمهور آرژانتین، چند دقیقه پس از عرضه، در مورد این توکن پستی منتشر کرد. قیمت آن در عرض ۴۰ دقیقه از نزدیک به صفر به ۵.۲۰ دلار رسید. افراد داخلی ۷۰٪ از عرضه را در اختیار داشتند و در جریان خرده‌فروشی‌ها به فروش رساندند. تقریباً ۲۵۱ میلیون دلار از دست رفت. این پرونده اکنون یک تحقیق فدرال است و یکی از واضح‌ترین نمونه‌هایی است که نشان می‌دهد چگونه حمایت سیاسی به همراه نقدینگی سریع به همراه عرضه داخلی، حتی بدون تله‌های قراردادهای سفارشی، نتیجه‌ای شبیه به هانی‌پات ایجاد می‌کند.

دچات (۲۶ فوریه ۲۰۲۴). یکی از محققان حدود ۳.۲ میلیون دلار سرقت شده در ۹ قرارداد هانی‌پات مرتبط را توسط یک مهاجم ردیابی کرد که از کانال‌های اجتماعی هک شده دچات برای توزیع لینک مخرب استفاده می‌کرد. یادآوری اینکه حتی پروژه‌های واقعی نیز می‌توانند در صورت ربوده شدن حساب‌هایشان، به طور تصادفی یک هانی‌پات را تبلیغ کنند.

هانی‌پات در مقابل روگ‌پول در مقابل سایر کلاهبرداری‌های کریپتو

مبتدیان اغلب این اصطلاحات را به جای یکدیگر استفاده می‌کنند. آنها تله‌های متفاوتی هستند. کلاهبرداری‌های هانی‌پات در کریپتو به طور خاص بر مسدود کردن خروجی‌ها تمرکز دارند؛ دسته‌های دیگر به طور متفاوتی عمل می‌کنند، اگرچه همه کلاهبرداری‌ها بر اساس همان اهرم احساسی اساسی فوریت و هیاهو عمل می‌کنند.

هانی‌پات جایی است که تله قبل از رسیدن شما در کد تعبیه شده است. در راگ‌پول‌ها (Rug Pulls) تیم باید بعداً کاری انجام دهد. هانی‌پات‌ها به طور خودکار کار می‌کنند، به همین دلیل است که به راحتی قابل گسترش هستند. پس از استقرار، کلاهبردار به ندرت ظاهر می‌شود.

نحوه‌ی عملکرد کلاهبرداری هانی‌پات با سکه‌های میم تغییر می‌کند

سکه‌های میم، به ویژه در سولانا، جایی هستند که تاکتیک‌های مجاور هانی‌پات (honeypot) به شدت رواج یافته‌اند. گزارش Solidus Labs که ژانویه ۲۰۲۴ تا مارس ۲۰۲۵ را پوشش می‌دهد، ۹۸.۶٪ از کل توکن‌های Pump.fun را به عنوان پامپ و دامپ یا حذف ناگهانی قیمت (rug pull) علامت‌گذاری کرده است. Pump.fun به تنهایی بیش از ۱۱.۹ میلیون توکن ضرب کرده است و مرتباً تقریباً ۷۱٪ از کل عرضه‌های توکن سولانا را در یک روز مشخص تشکیل می‌دهد. این کلاهبرداری‌ها شامل همان اهرم‌های مهندسی اجتماعی مانند هانی‌پات‌های کلاسیک هستند که برای مخاطبان میم کوین دوباره بسته‌بندی شده‌اند. ترس از دست دادن، بقیه کار را انجام می‌دهد.

دلیلش ساختاری است. Pump.fun به هر کسی اجازه می‌دهد در عرض چند ثانیه و تقریباً بدون هیچ سرمایه‌ای، یک توکن ایجاد کند. یک توکن راه‌اندازی کنید، چند صد دلار اول را خودتان بخرید، آن را در X تبلیغ کنید و منتظر بمانید. اگر خریداران آمدند، آن را رها کنید. اگر نیامدند، توکن را رها می‌کنید و به سراغ کار دیگری می‌روید. این را در یک میلیون کیف پول ضرب کنید و به اکوسیستمی می‌رسید که در آن خرید هر کوین میم جدید بیشتر شبیه استفاده از دستگاه اسلات است تا سرمایه‌گذاری.

هر کوین میم به معنای «قابل فروش نیست» یک هانی‌پات نیست. اما ساختار هزینه، حجم را بر کیفیت ترجیح می‌دهد. همان تحقیقات Solidus Labs نشان داد که ۹۳٪ از ۳۸۸۰۰۰ استخر نقدینگی Raydium که آنها تجزیه و تحلیل کردند، رفتار نرم و انعطاف‌ناپذیری را نشان دادند. از تقریباً ۷ میلیون توکن میم Solana با هرگونه سابقه معاملاتی، تنها حدود ۹۷۰۰۰ تا از آنها نقدینگی بالای ۱۰۰۰ دلار را حفظ کرده‌اند. اعدادی مانند این باید فرضیات ریسک شما را تغییر دهند.

حسابرسی قراردادهای هوشمند و تشخیص هانی‌پات

ممیزی‌های قرارداد، مثل آدم‌های بالغِ کسل‌کننده هستند. یک ممیزی مناسب قرارداد هوشمند توسط شرکتی مانند Halborn، CertiK، PeckShield، Trail of Bits یا SlowMist، کد را خط به خط می‌خواند، موارد حاشیه‌ای را شبیه‌سازی می‌کند و قرارداد را تأیید (یا رد) می‌کند. ممیزی‌ها ایمنی را تضمین نمی‌کنند، اما این ممیزی‌های قرارداد، خام‌ترین هانی‌پات‌ها را به سرعت فیلتر می‌کنند.

برای یک مبتدی که به دنبال یک توکن جدید است، سوال عملی این نیست که «آیا ممیزی داشته است» بلکه «آیا توسط یک شرکت معتبر ممیزی شده است و آیا این ممیزی نسخه قرارداد فعلی را پوشش می‌دهد؟» بسیاری از توکن‌های ناقص در بازاریابی خود عبارت «ممیزی» را ذکر می‌کنند و به یک فایل PDF از شرکتی که هیچ‌کس نام آن را نشنیده است، یا یک ممیزی واقعی که روی نسخه قدیمی‌تر کد انجام شده است، لینک می‌دهند.

برای توکن‌های بدون ممیزی، که اکثر آنها اینگونه هستند، بهترین لایه بعدی، تشخیص خودکار هانی‌پات است. ابزارهای رایگانی که ارزش آشنایی دارند:

همیشه یک توکن را حداقل از طریق دو ابزار، نه فقط از طریق یکی، اجرا کنید. هیچ اسکنری به تنهایی نمی‌تواند همه انواع را شناسایی کند، و نویسندگان هانی‌پات (honeypot) مدام در حال تنظیم هستند تا از هر بررسی‌کننده‌ای که ماه گذشته محبوب شد، جلوتر بمانند.

پرچم‌های قرمزی که به یک هانی‌پات اشاره دارند

برای تشخیص اکثر هانی‌پات‌ها نیازی به خواندن زبان سالیدیتی ندارید. در اینجا علائم هشدار دهنده‌ای وجود دارد که باید قبل از خرید، شما را منصرف کنند.

• این توکن کمتر از ۲۴ ساعت پیش ایجاد شده و کمتر از ۵۰۰ دارنده دارد. توکن‌های اولیه به طور نامتناسبی مثل هانی‌پات (honeypot) هستند. بررسی تاریخچه تراکنش‌های توکن در Etherscan قبل از خرید، عادتی اساسی است که بسیاری از آنها را به خود جذب می‌کند.
• فهرست دارندگان، یک کیف پول واحد را نشان می‌دهد که بیش از ۲۰٪ از عرضه را در اختیار دارد، یا دو یا سه کیف پول که روی هم رفته بیش از ۶۰٪ از عرضه را در اختیار دارند. این امضای پامپ و دامپ شماست.
• نقدینگی قفل نشده است، یا قفل به جای ماه‌ها، ظرف چند روز منقضی می‌شود. در Unicrypt یا Team Finance بررسی کنید.
• وعده‌های بازدهی بالا که بیش از حد خوب به نظر می‌رسند: «۱۰۰ برابر تا جمعه»، «۱۰ برابر تضمین شده در هفته آینده»، «فقط ۱۰۰۰ کیف پول می‌توانند پول چاپ کنند». این یک پرچم قرمز بزرگ است. فوریت، اکسیژن کلاهبردار است.
• هیچ تیم قابل حسابرسی یا سیگنال‌های مشروعیتی وجود ندارد. یک ماد تصادفی Discord، یک توسعه‌دهنده ناشناس و بدون پروفایل LinkedIn. به طور خودکار کلاهبرداری نیست، اما ارزش یک مکث چشمگیر را دارد.
• قرارداد، توابع «mint»، «pause»، «blacklist» یا «setFee» را فقط برای مالک و بدون محدودیت زمانی نگه می‌دارد. حتی بدون قصد مخرب، یک کلید لو رفته می‌تواند بعداً خریداران را فریب دهد.
• کانال تلگرام هزاران عضو دارد اما مکالمات از پیش نوشته شده به نظر می‌رسند. ربات‌های موجود در حساب‌های کاربری مختلف اغلب وعده‌های یکسانی را تکرار می‌کنند. به دنبال عبارات تکراری باشید.
• نمودار توکن‌ها تعداد زیادی خرید و تقریباً هیچ فروشی را نشان می‌دهد. توکن‌های واقعی هر دو را دارند. عدم وجود فروش اغلب واضح‌ترین نشانه‌ای است که شما در حال بررسی یک هانی‌پات (مخفف عبارت Honeypot) در لحظه هستید، زیرا این کلاهبرداری از ابتدا مانع فروش کاربران می‌شود.

این علائم هشدار دهنده به شما کمک می‌کنند تا توکن‌های بالقوه‌ی هانی‌پات را شناسایی کنید و از قربانی شدن در هنگام ترند شدن یک کوین جدید جلوگیری کنید.

بیشتر خریداران در هانی‌پات‌ها پول خود را از دست می‌دهند، نه به این دلیل که علائم نامرئی بودند، بلکه به این دلیل که ترس از دست دادن فرصت (FOMO) بر حس ششم غلبه کرده است. وقتی کلاهبردار می‌تواند بفروشد و هیچ کس دیگری نمی‌تواند، تصمیمات سریع همیشه به نفع کلاهبردار تمام می‌شود.

اگر در دام یک هانی‌پات کریپتو افتادید: چه کاری باید انجام دهید

جمله اول صادقانه اینجاست: شانس بازیابی شما بسیار کم است. برای هانی‌پات‌های صرفاً مبتنی بر قرارداد هوشمند، بازیابی عملاً صفر است زیرا این کلاهبرداری‌ها به گونه‌ای طراحی شده‌اند که از هرگونه ردی از بازپرداخت عادی جلوگیری کنند. برای کلاهبرداری‌های گسترده‌تر، گزارش SlowMist در سال ۲۰۲۴ نشان داد که تنها ۸.۲۵٪ از ۲.۰۱۳ میلیارد دلار در کل حوادث امنیتی بازگردانده شده است. بازیابی خالص هانی‌پات حتی از این عدد هم کمتر است.

با این حال، گام‌های عملی وجود دارد که ارزش برداشتن دارند.

تعامل با قرارداد را متوقف کنید. دیگر هیچ تراکنش مرتبط با آن را امضا نکنید، حتی آن‌هایی که ادعا می‌کنند توکن‌های شما را «باز» می‌کنند. این‌ها تقریباً همیشه کلاهبرداری‌های بعدی هستند.

هر تأیید توکنی را که اعطا کرده‌اید لغو کنید. از Revoke.cash یا ابزار بررسی تأیید توکن Etherscan برای یافتن هر قراردادی که هنوز اجازه خرج کردن توکن‌ها از کیف پول شما را دارد، استفاده کنید. آنها را لغو کنید.

همه چیز را مستند کنید. آدرس قرارداد، هش‌های تراکنش، وب‌سایت یا تلگرامی که توکن را در آن پیدا کرده‌اید، و هر پیامی که دریافت کرده‌اید را ذخیره کنید. اسکرین‌شات‌ها مهم هستند.

گزارش‌ها را ثبت کنید. FBI IC3 شکایات مربوط به کلاهبرداری ارز دیجیتال را در ایالات متحده بررسی می‌کند. FTC گزارش‌های کلاهبرداری را در reportfraud.ftc.gov می‌پذیرد. در بریتانیا، Action Fraud. هر کشور نهاد خاص خود را دارد. همچنین خود توکن را در Etherscan یا BscScan گزارش دهید تا سایر کاربران هشدار را ببینند، و اگر قبلاً در فهرست قرار نگرفته باشد، در Token Sniffer گزارش دهید. اکثر صرافی‌های ارز دیجیتال نیز در صورت درخواست، در صورتی که وجوه سرقت شده در نهایت به پلتفرم آنها منتقل شده باشد، آن را علامت‌گذاری می‌کنند.

از سرویس‌های بازیابی که در تلگرام، توییتر، اینستاگرام یا ایمیل به شما پیام می‌دهند، استفاده نکنید. این نوع کلاهبرداری، کلاهبرداری پس از پیگیری است و بسیار گسترده است. بازیابی قانونی، در صورت وقوع، توسط مجریان قانون و شرکت‌های حرفه‌ای جرم‌شناسی بلاکچین (Chainalysis، TRM Labs، Elliptic) انجام می‌شود و این شرکت‌ها در پیام‌های مستقیم شما تبلیغ نمی‌کنند.

آدرس قرارداد را به صورت عمومی به اشتراک بگذارید. اگر یک توکن، یک هانی‌پات تأیید شده باشد، قابل مشاهده کردن آن اطلاعات، نفر بعدی را نجات می‌دهد.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.