Що таке крипто-шахрайство Honeypot? Посібник зі смарт-контрактів Ethereum
Уявіть собі магазин. Невеликий. Він бере ваші гроші, дає вам чек, посміхається. Потім тихо зачиняє вихід. Технічно все на полицях ваше. Ви просто не можете піти з цим нічого. Це крипто-афера з honeypot, як на одному зображенні. А в 2025 році десятки тисяч таких оманливих схем працювали в будь-який момент часу в мережі, розкидані по децентралізованих біржах, заховані всередині шкідливого коду смарт-контракту, який ніхто не читає.
Можливо, ви раніше не чули цього терміна. Чудово. Як тільки ви його вивчите, ви помітите його всюди. Токен, який прокачується на 400% у випадкову середу з 2000 покупцями та жодним продавцем. Гаманець, про який хтось пише вам в особистих повідомленнях: «Чи можете ви допомогти мені вивести ці гроші?». Монета, яку знаменитість щойно написала у твіттері приблизно за 10 секунд до того, як графік став вертикальним. Деякі з них є приманками. Деякі – ні. Мета цього посібника – навчити вас, як розпізнати це, не потребуючи досвіду розробника.
Спочатку перевірте масштаб. У звіті Chainalysis про криптозлочинність за 2026 рік йдеться, що незаконні криптоадреси принесли 154 мільярди доларів у 2025 році, що на 162% більше, ніж минулого року. У звіті ФБР про інтернет-злочинність за 2025 рік шахрайство в криптовалюті оцінюється в 11,366 мільярда доларів, з яких 7,2 мільярда доларів – це інвестиційні афери. «Ханіпоти» – це суттєва частина обох показників. На Ethereum, Base та BNB Chain вони є щоденним явищем. Тож дозвольте мені розповісти вам, де насправді криється ця пастка, і яка базова перевірка допоможе вам її уникнути.
Що таке honeypot у криптовалюті? Погляд новачка
«Ханіпот» – це будь-яка крипто-пастка, яка виглядає як звичайна можливість, але розроблена таким чином, щоб ви не могли вивести свої гроші. Назва походить від ідеї чогось солодкого, залишеного на відкритому повітрі, щоб привабити мух. У криптовалюті солодкою річчю зазвичай є гарячий токен, гаманець, який нібито містить безкоштовні кошти, або веб-сайт, що обіцяє надмірну прибутковість.
Ось важлива відмінність. Honeypot не краде ваші монети, зламуючи вас. Він не виснажує ваш гаманець ззовні. Він дозволяє вам власними руками надіслати певну суму криптовалюти на контракт, який не має шляху виходу. Як тільки гроші потрапляють, шахрай контролює їх. Ви – ні.
Типовий он-чейн-хоп-от виглядає так: новий токен з'являється на Uniswap або PancakeSwap, або іншій децентралізованій фінансовій платформі, яка обіцяє децентралізувати торгівлю токенами. Графік показує його зростання. Люди купують токен. Ви також купуєте токени. Ваш гаманець тепер показує баланс. Ви намагаєтеся продати. Транзакція скасовується, не вдається або завершується зі 100% високою комісією за продаж, яка залишає вас ні з чим. Ваш баланс все ще там. Він просто не може рухатися. Ви залишаєтеся з нічого не вартими токенами та чекаєте на двері, які ніколи не відчиняться, що ускладнює навіть класифікацію як злом, оскільки жодного експлойту безпосередньо проти вас не було.
Звідки взявся термін «honeypot»
Це слово старше за криптовалюту. Набагато старше. Назва «honeypot» згадується в книзі Кліффорда Столла 1989 року «Яйце зозулі» . Столл був системним адміністратором у лабораторії Берклі. Він помітив бухгалтерську помилку в 75 центів, виправдав її і зрештою переслідував хакера, пов'язаного з КДБ, через військові мережі. Фальшиві файли, які він створив, щоб зайняти хакера? Це були перші honeypots. Хороші хлопці з технологій.
Криптовалюта взяла слово і перевернула ціль. Сорок років по тому, мед спрямований на звичайних користувачів криптовалюти. Не на зловмисників. Тепер ви муха. Та сама структура пастки, протилежна мораль. Коли хтось у криптовалюті каже: «цей токен — приманка», він має на увазі, що код підтасований проти того, хто його купує, зазвичай через приховані обмеження, заховані в логіці контракту, які ніхто не читає.
Як працює шахрайство з меденною скринькою крок за кроком
Більшість шахрайських схем з використанням honeypot дотримуються одного й того ж сценарію. Побачивши щось один раз, ви помічаєте нові варіанти за лічені хвилини.
Все починається з того, що шахрай пише смарт-контракт. На перший погляд, він виглядає як стандартний токен. Функція купівлі працює. Розгорніть його на Ethereum, Base, BNB Chain або Solana. Поки що все нормально.
Потім пастка. Десь у логіці продажу, обмеження. Можливо, чорний список, який непомітно додає кожного нового покупця. Можливо, 100% податок на продаж. Можливо, функція, яку може викликати лише власник. Можливо, окремий допоміжний контракт, який фактично контролює перекази. Покупці можуть надсилати токени, а висилати їх може лише шахрай. Той самий результат, багато форм.
Далі йде етап розробки. Шахраї створюють пул ліквідності на децентралізованій біржі. Токен виглядає торгуваним. Вони «промивають» торгівлю за допомогою власних гаманців та одного-двох третіх гаманців, щоб намалювати графік, який виглядає живим. Зелені свічки, зростаючий обсяг. Telegram починає заповнюватися питаннями «як мені купити».
Потім просування на платформах соціальних мереж. Іноді платні лідери думок. Іноді якийсь відомий проєкт, що видає себе за когось. Іноді новинна подія, як $SQUID, що захопився хайпом навколо гри Squid Game на Netflix у 2021 році. Telegram, X, TikTok. Завжди з терміновістю: «можна випустити лише 1000 гаманців», «токен запускається за 2 години», «ціна вже зросла на 300%».
Фінальний етап завжди однаковий. Жертви намагаються продати. Ці транзакції продажу повертаються, зазнають невдачі або перенаправляють все до гаманця шахрая. На той час, як чат Telegram розбирається, шахрай вже виснажив пул або перевів кошти на третій контракт. Мертвий контракт назавжди залишається в блокчейні, як пам'ятник пастці.
Типи медових горщиків, з якими ви насправді зустрінетеся
Honeypots бувають більш різноманітними, ніж очікує більшість новачків. Це основні типи honeypots, з якими люди стикаються у 2025 році.
- Пастки смарт-контракту «не може продавати». Контракт відхиляє будь-яку транзакцію продажу з адреси, яка не внесена до білого списку. Ви бачите свої токени у своєму гаманці та ніколи їх не перемістите.
- Приховані пастки чорного списку. Кожен новий покупець непомітно додається до чорного списку під час покупки. Купівля працює; продаж зазнає невдачі назавжди після цього.
- Пастки зі 100% податку на продаж. Контракт спрямовує 100% будь-якого продажу на "казначейський" гаманець (шахрая). Технічно ви продаєте, але не отримуєте нічого.
- Пастки ліквідності. Пул ліквідності є одностороннім або контролюється розгортачем. Ордери на продаж не виконуються, тому що на іншому боці книги немає нічого, або шахрай витягує ліквідність на свій розсуд.
- Пастки, пов'язані з функціями власника. Приховані функції, доступні лише власнику, дозволяють шахраю призупинити торгівлю, створити необмежену пропозицію або змінити податки після запуску. Навіть «чесний запуск» може перетворитися на приманку через годину.
- Пастки гаманця / "безкоштовного ETH". Зовсім не токен. Шахрай публікує гаманець з видимими токенами в ланцюжку та поширює основну фразу. Коли ви намагаєтеся вивести токени, вам потрібен газ. Ви надсилаєте газ. Бот-підмітач одразу ж його вичищає. Ви нічого не отримуєте. MetaMask спеціально попереджає про цей варіант.
- Фальшиві пастки "підтримки" Etherscan. Хтось відповідає на ваш коментар щодо Etherscan, пропонуючи допомогу. Він радить вам надіслати невелику суму ETH на "розворотний" контракт. Цей контракт є ще одним приманкою, яка зберігає ваш ETH.
Solidus Labs каталогізувала 98 442 контракти honeypot у блокчейні, розділені на варіанти зовнішніх контрактів, блоків ліквідності та блок-листів. Token Sniffer відстежує понад 47,9 мільйона токенів у 15 блокчейнах та позначає понад шість мільйонів з них як шахрайські. Цифри не малі.
Розумні контрактні приманки та трюк із податком на продаж
З усіх різновидів, найпоширенішими є honeypots на основі смарт-контрактів у блокчейнах типу Ethereum. Смарт-контракти Ethereum та їхні клони на блокчейні Ethereum забезпечують роботу більшості цих пасток, і ця закономірність також ілюструє, чому «код є публічним» не є тим захисним щитом, яким його вважають багато новачків.
Розумний контракт honeypot ззовні виглядає нудним. Він успадковує стандартну бібліотеку OpenZeppelin ERC-20. Він має назву, символ та запас. Якщо переглянути код його розумного контракту в оглядачі блоків, такому як Etherscan або BscScan, можна побачити сотні рядків. Більшість з них нешкідливі. Пастка зазвичай ховається всередині функції `_transfer` або в окремому підозрілому розумному модулі, який головний токен викликає через допоміжну адресу.
Найелегантніший варіант — це трюк із податком на продаж. Контракт має змінну під назвою `sellTax`. Під час запуску вона становить 5%, що є нормальним явищем. Через десять хвилин після запуску власник викликає `setSellTax(100)`. Тепер кожен продаж надсилає кожен токен до скарбниці. Купівля все ще працює, тому що купівля проходить через іншу функцію. Якщо ви не розумієте, що читаєте в коді, ви можете дивитися на контракт і не бачити пастки, оскільки ззовні він виглядає як будь-який інший токен Web3 ERC-20.
Ось чому самостійне читання коду смарт-контракту новачкові ненадійне. Вам потрібна або симуляція (запустіть тестовий продаж і перевірте, чи вдасться він), або інструмент, який вже знає ці закономірності. Honeypot.is, Token Sniffer, De.Fi Scanner, QuillCheck та GoPlus Security – всі вони виконують певну форму такого аналізу. Жоден з них не є надійним. Розробники Honeypot у 2025 році використовують оновлювані проксі-контракти та тригери із затримкою часу спеціально для того, щоб обіграти статичні сканери, тому будь-яка спроба використати новий контракт потребує більше одного інструменту.
Гаманці-приманки: пастка з початковими фразами
Варіант з гаманцем вартий окремого пояснення, оскільки він взагалі не передбачає жодного токен-контракту. MetaMask публікує офіційне попередження про це, як і Trezor та Ledger.
Система виглядає невинно. Незнайомець у Telegram, Discord або Twitter стверджує, що він новачок у криптовалюті та не може зрозуміти, як вивести кошти з гаманця. Він поширює основну фразу (так, справді) та пояснює, що гаманець «заблоковано», оскільки в ньому є токени, але немає газу. Він запитує, чи можете ви допомогти, і пропонує розділити те, що всередині.
Ви завантажуєте гаманець у MetaMask. Ви бачите реальний баланс: трохи USDT, можливо, кілька випадкових токенів. Ви намагаєтеся надіслати USDT собі. Ви не можете, бо в гаманці нуль ETH для газу. Тож ви надсилаєте трохи ETH зі свого власного гаманця, щоб покрити комісію за транзакцію.
Щойно ETH надходить, бот-підбирач, запрограмований на спостереження за цією адресою, переміщує кожен вхідний токен до справжнього гаманця шахрая. Ваш газ зник. Токени, які, як ви думали, допомагали врятувати, так і не були повернуті. Вони були або заблоковані обмеженнями контракту, або заморожені Tether у USDT, оскільки адреса вже була позначена.
Правило, яке запобігає цьому, дуже просте: ніколи, ніколи не довіряйте гаманцю, порожню фразу якого вам надав хтось інший. Якби він справді володів ним, він би сам надіслав кошти. Ця пастка — один із найпростіших способів, якими шахраї користуються для крадіжки грошей у новачків, і вона розроблена, щоб заманити в пастку будь-кого, хто достатньо новачок, щоб думати, що «безкоштовні гроші» справді безкоштовні.
Відомі шахрайські схеми з використанням хонепотів: SQUID, HAWK, LIBRA
Реальні випадки допомагають це зрозуміти.
SQUID (1 листопада 2021 р.). Це класний приклад для початківців. Токен підскочив на популярність серіалу Squid Game від Netflix. Купівля спрацювала та виглядала вибухонебезпечно. Ціна зросла з приблизно 0,01 долара до приблизно 2861 долара, настільки різке зростання, що про це висвітлили Washington Post та BBC. Власники намагалися продати, але не змогли. Потім розробники вичерпали приблизно 3,38 мільйона доларів з пулу ліквідності та зникли. Токен обвалився більш ніж на 99,99% менш ніж за п'ять хвилин. Чистий honeypot, чиста афера з виходом.
HAWK (4 грудня 2024 р.). Не класичний honeypot на основі смарт-контрактів, але відповідає тій самій ментальній моделі. Запущений Халі "Hawk Tuah" Велч, токен досяг ринкової капіталізації в 500 мільйонів доларів у день запуску. Аналіз блокчейну, проведений Halborn, показав, що 96% пропозиції зберігалося в інсайдерських гаманцях. Коли інсайдери продали токени, ціна впала більш ніж на 95% того ж дня. Покупці залишилися з токенами, які технічно все ще торгуються і технічно все ще нічого не варті.
LIBRA (14 лютого 2025 р.). Президент Аргентини Хав'єр Мілей опублікував інформацію про токен через кілька хвилин після запуску. Ціна знизилася майже з нуля до $5,20 за 40 хвилин. Інсайдери володіли 70% пропозиції та скинули її у роздрібний ринок. Було втрачено приблизно 251 мільйон доларів. Ця справа зараз є предметом федерального розслідування та одним із найяскравіших прикладів того, як політичне схвалення плюс швидка ліквідність плюс інсайдерська пропозиція призводять до результату, схожого на «принадний горщик», навіть без пасток на замовлення.
Dechat (26 лютого 2024 р.). Один слідчий відстежив близько 3,2 мільйона доларів, викрадених через дев'ять пов'язаних контрактів на використання honeypot одним зловмисником, який використовував скомпрометовані соціальні канали Dechat для поширення шкідливого посилання. Нагадування про те, що навіть реальні проекти можуть випадково просувати honeypot, якщо їхні облікові записи викрадено.
Honeypot проти ковдри проти інших крипто-шахрайств
Початківці часто використовують ці терміни як взаємозамінні. Це різні пастки. Шахрайство з використанням ханіпотів у криптовалюті спеціально зосереджене на блокуванні виходів; інші категорії працюють по-різному, хоча всі шахрайства функціонують на одному й тому ж базовому емоційному важелі терміновості та ажіотажу.
| Тип шахрайства | Що відбувається | Виявляється перед покупкою? |
|---|---|---|
| Honeypot (розумний контракт) | Контрактні блоки продаються за дизайном з першого дня | Так, імітувати продаж |
| Тяга килима | Команда залучає кошти або забезпечує ліквідність, а потім вилучає їх | Частково, слідкуйте за статусом блокування LP та прозорістю команди |
| Насосно-скидний насос | Інсайдерські гаманці скидають кошти з роздрібної торгівлі після хвилі ажіотажу | Складно, вимагає аналізу поставок у мережі |
| Фішинг | Шкідливе посилання викрадає ваш закритий ключ або початкову фразу | Так, перевірка URL-адрес, апаратний гаманець, обмін порожнім кодом відсутній |
| Фальшивий обмін | Вебсайт приймає депозити, але блокує виведення коштів | Так, зареєстрована організація, вік домену, відгуки спільноти |
| Підмітач гаманця | Шахрай дає вам ключову фразу; бензин, який ви вносите, крадеться | Так, ніколи не використовуйте гаманець, початкову фразу якого надав хтось інший. |
«Приманка» — це та пастка, де пастка вбудовується в код ще до вашого приходу. Вилучення килимів вимагають від команди певних дій після цього. «Приманки» працюють автоматично, тому вони так легко масштабуються; після розгортання шахраю майже не потрібно з’являтися.
Як змінюється робота шахрайства з хоніпотом за допомогою мем-койнів
Мем-койни, особливо на Solana, – це місце, де тактики, пов’язані з honeypot, набули розквіту. У звіті Solidus Labs за період з січня 2024 року по березень 2025 року зазначено, що 98,6% усіх токенів Pump.fun були випущені за принципом «памп-енд-дамп» або «руг-пулл». Тільки Pump.fun випустив понад 11,9 мільйона токенів і регулярно становить приблизно 71% усіх запусків токенів Solana за день. Ці шахрайські схеми використовують ті ж важелі соціальної інженерії, що й класичні honeypot, переупаковані для аудиторії мем-койнів. Страх втратити шанс робить решту роботи.
Причина структурна. Pump.fun дозволяє будь-кому створити токен за лічені секунди майже без капіталу. Запустіть токен, купіть перші кілька сотень доларів самостійно, розкрутіть його на X і чекайте. Якщо з'являються покупці, скидайте їх. Якщо ні, ви відмовляєтеся від токена та рухаєтеся далі. Помножте це на мільйон гаманців, і ви отримаєте екосистему, де купівля будь-якої нової мем-коїни ближча до того, щоб розібратися в ігровому автоматі, ніж до інвестування.
Не кожна мем-коінна монета є приманкою в чистому сенсі «не можна продати». Але структура витрат винагороджує обсяг, а не якість. Те саме дослідження Solidus Labs показало, що 93% з 388 000 проаналізованих пулів ліквідності Raydium демонстрували м'яку поведінку «ругового тяга». З приблизно 7 мільйонів мем-токенів Solana з будь-якою історією торгівлі лише близько 97 000 коли-небудь зберігали ліквідність вище 1000 доларів. Такі цифри повинні переглянути ваші припущення щодо ризику.
Аудит смарт-контрактів та виявлення honeypot
Аудит контрактів — це нудна доросла людина в кімнаті. Належний аудит смарт-контрактів, проведений такою фірмою, як Halborn, CertiK, PeckShield, Trail of Bits або SlowMist, зчитує код рядок за рядком, моделює граничні випадки та сертифікує (або не виконує) контракт. Аудит не гарантує безпеки, але цей аудит контрактів швидко відфільтровує найгрубіші приманки.
Для новачка, який розглядає новий токен, практичне питання не «чи пройшов він аудит», а «чи пройшов він аудит від авторитетної фірми, і чи охоплював аудит поточну версію контракту». Багато сумнівних токенів вказують «аудит» у своєму маркетингу та посилаються на PDF-файл від фірми, про яку ніхто не чув, або на справжній аудит, проведений на старій версії коду.
Для токенів без аудитів, яких більшість, наступним найкращим рівнем є автоматичне виявлення honeypot. Безкоштовні інструменти, які варто знати:
| Інструмент | Що це робить | Працює на |
|---|---|---|
| Honeypot.is | Імітує купівлю та продаж, позначає, якщо продаж скасовується | Етереум, ланцюг BNB, база |
| Аналізатор токенів | Сканування коду та шаблону + прапорці функції власника + оцінка ризику | 15 ланцюжків, моніторинг 47,9 млн токенів |
| Сканер De.Fi | Статичний аналіз + моделювання | Етереум, BSC, Полігон, База, Солана |
| QuillCheck | Перевірка коду та сповіщення в режимі реального часу | Ethereum, BSC, Polygon, Arbitrum |
| API безпеки GoPlus | Використовується Alchemy, 1-дюймовими гаманцями; прапори живих honeypot. | Багатоланцюговий |
| Коментарі Etherscan | Попередження спільноти від попередніх жертв, таких як користувачі Etherscan або BscScan | Етереум, Базовий, BSC |
Завжди перевіряйте токен щонайменше через два інструменти, а не лише через один. Жоден окремий сканер не виявляє всі варіанти, і автори honeypot постійно адаптуються, щоб випереджати будь-який перевірник, який став популярним минулого місяця.
Червоні прапорці, що вказують на приманку
Вам не потрібно читати Solidity, щоб розпізнати більшість ханіпотів. Ось попереджувальні знаки, які повинні вас зупинити перед покупкою.
- Токен було створено менше 24 годин тому та має менше 500 власників. Ранні токени непропорційно часто є «приманками». Перевірка історії транзакцій токена на Etherscan перед покупкою — це базова звичка, яка вражає багатьох із них.
- Список власників показує, що один гаманець володіє понад 20% пропозиції, або два чи три гаманці, що разом містять понад 60%. Це ваша характеристика pump-and-dump.
- Ліквідність не заблокована, або блокування закінчується через кілька днів, а не місяців. Перевірте на Unicrypt або Team Finance.
- Обіцянки високої прибутковості, які звучать надто добре, щоб бути правдою: «100x до п’ятниці», «гарантовано 10x наступного тижня», «можна створити лише 1000 гаманців». Це серйозний тривожний сигнал. Терміновість — це кисень для шахрая.
- Жодних сигналів про команду чи легітимність, що підлягають аудиту. Випадковий мод Discord, анонімний розгортач і жодних профілів LinkedIn. Не є автоматичною аферою, але варто драматично зупинитися.
- Контракт містить функції "mint", "pause", "blacklist" або "setFee" лише для власника без часових блокувань. Навіть без злого наміру, один скомпрометований ключ може обдурити покупців пізніше.
- У Telegram-каналі тисячі учасників, але розмови виглядають як запрограмовані. Бот-ферми часто повторюють однакові обіцянки в різних акаунтах. Звертайте увагу на повторювані фрази.
- Графік токенів показує багато покупок і майже відсутність продажів. Справжні токени мають і те, й інше. Відсутність продажів часто є найяскравішим показником того, що ви маєте справу з приманкою в режимі реального часу, оскільки шахрайство навмисно блокує продажі користувачів.
Ці попереджувальні знаки допоможуть вам виявити потенційних токенів-приманок та уникнути того, щоб стати жертвою, коли нова монета в тренді.
Більшість покупців втрачають гроші на лотерейних сайтах не тому, що ознаки були непомітними, а тому, що страх упущеної можливості (FOMO) взяв гору над інтуїцією. Коли шахрай може продати, а ніхто інший — ні, швидкі рішення завжди приймає шахрай.
Якщо ви потрапили в криптовалютну халепу: що робити
Чесне перше речення тут: ваші шанси на відновлення жахливі. Для чистих приманок на основі смарт-контрактів відновлення фактично дорівнює нулю, оскільки ці шахрайства розроблені для того, щоб запобігти будь-яким слідам звичайного відшкодування. Щодо масштабніших вилучень килимків, звіт SlowMist за 2024 рік показав, що лише 8,25% від 2,013 мільярда доларів за всі інциденти безпеки було повернуто. Відновлення чистих приманок нижче навіть за цю цифру.
Однак, є практичні кроки, які варто зробити.
Припиніть взаємодію з контрактом. Не підписуйте більше жодних транзакцій, пов'язаних з ним, навіть тих, які нібито "розблоковують" ваші токени. Це майже завжди є подальшим шахрайством.
Скасуйте всі надані вами схвалення токенів. Використовуйте Revoke.cash або перевірку схвалення токенів Etherscan, щоб знайти будь-який контракт, який все ще має дозвіл на витрачання токенів з вашого гаманця. Скасуйте їх.
Документуйте все. Збережіть адресу контракту, хеші транзакцій, веб-сайт або Telegram, де ви знайшли токен, будь-які отримані повідомлення. Знімки екрана мають значення.
Подайте звіти. У США ФБР IC3 приймає скарги на шахрайство з криптовалютою. Федеральна торгова комісія (FTC) приймає звіти про шахрайство на сайті reportfraud.ftc.gov. У Великій Британії це Action Fraud. Кожна країна має свій власний орган. Також повідомте про сам токен на Etherscan або BscScan, щоб інші користувачі бачили попередження, а також на Token Sniffer, якщо його ще немає в списку. Більшість криптовалютних бірж також позначатимуть адресу на запит, якщо викрадені кошти зрештою були переведені на їхню платформу.
Не наймайте сервіс відновлення, який надсилає вам повідомлення в Telegram, Twitter, Instagram або електронною поштою. Це категорія подальшого шахрайства, і вона величезна. Законне відновлення, коли воно відбувається, здійснюється правоохоронними органами та професійними компаніями з блокчейн-форенсики (Chainalysis, TRM Labs, Elliptic), і ці фірми не розміщують рекламу у ваших особистих повідомленнях.
Публічно поділіться адресою контракту. Якщо токен є підтвердженим honeypot, то публікація цієї інформації врятує наступну особу.
