Rilevatore di Honeypot & Verificatore di Rug Pull

Capire gli Honeypot, i Rug Pull e i Rischi dei Contratti Intelligenti

Ogni giorno vengono lanciati centinaia di nuovi token su Ethereum, BNB Smart Chain, Base e altre blockchain EVM. Sebbene molti siano progetti legittimi, un numero significativo contiene codice malevolo progettato per rubare i fondi degli investitori. I token honeypot, i rug pull e i contratti truffa rimangono le minacce più comuni nella finanza decentralizzata (DeFi), causando miliardi di perdite ogni anno.

Un token honeypot è un contratto intelligente progettato per consentire agli investitori di acquistare ma impedire loro di vendere. Il codice del contratto contiene funzioni nascoste che bloccano le transazioni di vendita, impongono commissioni del 100% sui trasferimenti o limitano la vendita solo agli indirizzi autorizzati. Dall'esterno, il token sembra essere scambiato normalmente sugli exchange decentralizzati, ma chiunque acquisti scopre che i propri token sono permanentemente bloccati.

Tecniche Comuni di Honeypot nel Codice Solidity

Gli sviluppatori di truffe utilizzano metodi sempre più sofisticati per nascondere logica malevola all'interno dei contratti intelligenti. Le tecniche di honeypot più comuni includono:

• Blacklist di trasferimento — Il contratto mantiene una mappatura nascosta degli indirizzi. Una volta acquistato, il tuo indirizzo viene silenziosamente aggiunto a una blacklist che blocca tutti i trasferimenti in uscita.
• Manipolazione dinamica delle commissioni — La commissione di vendita inizia allo 0% per sembrare sicura, ma il proprietario chiama una funzione dopo il lancio per impostarla al 99% o 100%, rendendo la vendita inutile.
• Limiti massimi di transazione — Il contratto imposta un importo massimo di vendita estremamente basso (o pari a zero), impedendo di fatto qualsiasi transazione di vendita significativa.
• Dirottamento delle approvazioni — Il contratto sovrascrive la funzione di approvazione standard ERC-20 per revocare o reindirizzare silenziosamente le approvazioni dei token, interrompendo la funzionalità di vendita sui DEX.
• Bombe logiche condizionali — Le restrizioni di vendita si attivano solo dopo un determinato numero di blocco, timestamp o numero di detentori, facendo sembrare sicuri i test iniziali.

Come Funzionano i Rug Pull: Cosa Cercare

Un rug pull è più ampio di un honeypot. Si riferisce a qualsiasi meccanismo che consenta al distributore del contratto di drenare il valore degli investitori. A differenza degli honeypot, che intrappolano i token nei portafogli, i rug pull estraggono attivamente la liquidità o fanno crollare il prezzo del token. Gli indicatori chiave nel codice del contratto intelligente includono:

• Proprietà non rinunciata — Se il proprietario del contratto non ha rinunciato alla proprietà, mantiene funzioni di amministrazione che possono modificare le commissioni, sospendere il trading, inserire indirizzi in blacklist o prelevare fondi in qualsiasi momento.
• Funzioni di conio nascoste — Funzioni che consentono al proprietario di creare token illimitati. Quando eseguite, l'aumento massiccio dell'offerta fa crollare il prezzo a quasi zero.
• Liquidità sbloccata — Se i token del pool di liquidità (LP) non sono bloccati in un contratto con timelock, il distributore può ritirare istantaneamente tutta la liquidità dalla coppia DEX, rendendo il token non scambiabile.
• Pattern di proxy aggiornabili — I contratti proxy aggiornabili consentono allo sviluppatore di sostituire completamente la logica del contratto dopo il lancio. Un contratto apparentemente sicuro può diventare malevolo con una singola transazione.
• Dipendenze da chiamate esterne — Il contratto chiama un indirizzo esterno controllato dallo sviluppatore. Questo contratto esterno può restituire valori diversi nel tempo, modificando silenziosamente il comportamento del token.

Perché il Pattern Matching Fallisce contro le Truffe Moderne

Gli scanner di token tradizionali si basano sul pattern matching: confrontano il codice del contratto con un database di pattern malevoli conosciuti. Sebbene questo rilevi le truffe basilari, gli sviluppatori di truffe moderni scrivono specificamente il loro codice per aggirare questi controlli. Rinominano le funzioni, distribuiscono la logica malevola su più chiamate interne, usano blocchi assembly per nascondere le operazioni e offuscano i nomi delle variabili.

L'analisi con IA funzione per funzione risolve questo problema leggendo e comprendendo realmente cosa fa ogni funzione, indipendentemente da come è scritto il codice. Invece di verificare "il nome di questa funzione corrisponde a un pattern di truffa conosciuto?", chiede "cosa fa realmente questa funzione quando viene eseguita?". Questo rileva tecniche di exploit inedite, logica offuscata e backdoor personalizzate che nessun database di pattern ha mai visto. Scopri come funziona il nostro scanner.

Capire i Punteggi del Tuo Report di Audit

Ogni audit di contratto intelligente genera quattro punteggi chiave su una scala da 1 a 10:

• Punteggio di Sicurezza — Misura la sicurezza complessiva del contratto: privilegi di amministrazione, controlli di accesso, validazione degli input e protezione contro vettori di attacco comuni come reentrancy e overflow di interi.
• Punteggio di Tokenomics — Valuta il design economico del token: strutture delle commissioni, meccaniche di offerta, equità della distribuzione e se il modello tokenomico è sostenibile o progettato per avvantaggiare gli insider.
• Punteggio di Liquidità — Valuta la salute della liquidità: dimensione del pool rispetto alla capitalizzazione di mercato, stato di blocco della liquidità, distribuzione dei token LP e vulnerabilità agli attacchi di rimozione della liquidità.
• Punteggio di Rug Pull — Misura specificamente il rischio di rug pull: stato della proprietà, capacità di conio, funzioni di pausa, meccanismi di blacklist, pattern di proxy e qualsiasi funzione che possa drenare valore dai detentori.

Scansionare Token su Più Blockchain

Le truffe con contratti intelligenti esistono su tutte le blockchain compatibili EVM. Sebbene Ethereum e BNB Smart Chain (BSC) registrino il volume più alto di token fraudolenti, reti più recenti come Base, Arbitrum, Blast, Scroll e Berachain sono sempre più prese di mira man mano che i loro ecosistemi DeFi crescono. Gli sviluppatori di truffe distribuiscono contratti malevoli identici su più chain simultaneamente per massimizzare la loro portata.

La scansione multi-chain è essenziale perché i pattern di truffa variano tra gli ecosistemi. Le truffe su BSC utilizzano spesso pattern honeypot più semplici rivolti a investitori meno esperti, mentre le truffe su Ethereum tendono a utilizzare tecniche più sofisticate di proxy aggiornabile e chiamate esterne. Base e le reti Layer 2 vedono un mix di entrambi, spesso con cicli di distribuzione più rapidi che danno agli investitori meno tempo per reagire.

Prima di acquistare qualsiasi token su qualsiasi blockchain, analizzare il codice del contratto intelligente è uno dei modi più efficaci per proteggere il tuo investimento. Nessuno scanner rileva il 100% delle truffe, ma l'analisi con IA funzione per funzione riduce significativamente il rischio di cadere vittima di token honeypot, rug pull e altri exploit dei contratti intelligenti. Hai domande? Consulta le nostre FAQ o contattaci.