Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Honeypot-токен в DeFi: механика мошенничества и способы проверки перед покупкой

Honeypot («горшок с мёдом») — мошеннический токен, смарт-контракт которого позволяет купить актив, но блокирует его продажу: встроенный код отклоняет транзакции продажи или устанавливает комиссию в 99–100%, делая выход невозможным. Инвестор видит растущую цену, покупает токен, но не может его реализовать. Проверка токена до покупки через специализированные инструменты занимает менее минуты и выявляет большинство известных схем — но не все, так как мошенники постоянно совершенствуют методы обхода детекторов.

Автор: ~8 мин

Как технически реализован honeypot в смарт-контракте?

Honeypot реализуется несколькими способами: функция transfer или approve содержит условие, блокирующее продажу для всех адресов кроме deployer; функция _beforeTokenTransfer проверяет адрес и разрешает продажу только внесённым в whitelist; комиссия на продажу (sell tax) установлена в 99–100% в коде, но не отображается в интерфейсе. Иногда ограничение активируется не сразу, а по команде владельца контракта через скрытую admin-функцию. Риск: не все honeypot-паттерны выявляются автоматическими детекторами — новые схемы появляются регулярно.

Источник: ЦБ РФ

Какие инструменты проверяют токен на honeypot?

Основные инструменты: honeypot.is — симулирует покупку и продажу токена через Uniswap и показывает реальную комиссию и возможность продажи; DEXScreener и DEXTools отображают предупреждения о подозрительных контрактах при анализе пула; GoPlus Security (gopluslabs.io) предоставляет детальный анализ: is_honeypot, sell_tax, buy_tax, owner_address, mint_function. Для проверки достаточно вставить адрес контракта токена. Риск: инструменты анализируют известные паттерны — нестандартные honeypot могут пройти проверку; всегда проверяйте несколькими инструментами.

Как отличить honeypot от легитимного токена с высокой комиссией?

Легитимные токены с налогом на транзакции (tokenomics tax) открыто декларируют комиссию в документации и на сайте — обычно 1–10% на покупку и продажу для финансирования ликвидности или buyback. Honeypot скрывает реальную комиссию: в интерфейсе отображается 0–5%, но в коде зашита 99%. Проверка: введите адрес контракта в GoPlus Security — поля buy_tax и sell_tax покажут реальные значения. Риск: sell_tax в 15–25% — это уже пограничный случай, где легитимность сомнительна даже при декларировании; такие токены крайне сложно продать без значительных потерь.

Может ли honeypot быть задержанным — то есть активироваться не сразу?

Да, это распространённая схема. Контракт содержит admin-функцию (обычно с именем вроде setFee, setTax, enableTrading или аналогичной), которую владелец вызывает после набора достаточного объёма покупок. До активации токен торгуется нормально — детекторы показывают зелёный статус. После активации продажи блокируются или облагаются 100% комиссией. Признак: наличие в верифицированном коде функций, позволяющих владельцу изменять комиссию без ограничений сверху. Риск: задержанные honeypot выявляются только при ручном анализе кода.

Как проверить код контракта вручную на Etherscan, не зная Solidity?

Даже без знания программирования можно выявить признаки honeypot: откройте контракт на etherscan.io → вкладка Contract → Read Contract. Проверьте: есть ли функции с именами setFee, setTax, blacklist, whitelist, excludeFromFee — их наличие означает, что владелец может изменить правила торговли. Во вкладке Write Contract найдите, может ли owner вызвать функцию, изменяющую комиссию. Риск: код может быть не верифицирован (закрытый контракт) — торговля с невейрифицированным контрактом крайне опасна; это само по себе красный флаг.

Источник: ЦБ РФ

Что делать, если средства уже заблокированы в honeypot-токене?

Если токен не продаётся стандартным способом — варианты крайне ограничены. Проверьте: существуют ли другие DEX или агрегаторы (1inch, Paraswap), через которые продажа возможна с меньшими ограничениями. Иногда помогает попытка продать через прямое взаимодействие с контрактом пула в Etherscan (Write Contract). Шансы на возврат средств через суд или полицию практически нулевые при анонимной команде и иностранной юрисдикции. Зафиксируйте все данные транзакций — они понадобятся при подаче заявления в полицию по ст. 159 УК РФ.

Источник: ЦБ РФ

Можно ли потерять деньги в легитимном токене так же необратимо, как в honeypot?

Да. Легитимный токен может обесцениться до нуля из-за провала проекта, рыночной волатильности или взлома протокола — и продажа в этот момент принесёт те же потери. Разница: в honeypot вы теряете возможность продать в принципе; в легитимном токене вы сохраняете право выбора момента выхода, пусть и с убытком.

Эксклюзив от ИнвестХомяка

Параметры анализа токена в GoPlus Security: что означает каждый показатель

Параметр GoPlusЗначениеКрасный флаг
is_honeypot0 = нет признаков, 1 = обнаружен honeypotЗначение 1 — не покупать
sell_taxРеальная комиссия при продаже в процентахБолее 10% — высокий риск; более 50% — заблокировано
can_take_back_ownershipВозможность возврата ownership создателемЗначение 1 — владелец может вернуть контроль в любой момент
is_mintableНаличие функции неограниченного выпуска токеновЗначение 1 без ограничений — риск инфляции и обесценения

Honeypot-токен против легитимного токена с налогом: сравнение признаков

КритерийHoneypotЛегитимный токен с tax
Декларирование комиссииСкрыта или занижена в интерфейсеОткрыто указана в документации и на сайте
Реальная sell_tax по данным GoPlus50–100%Соответствует задекларированной (обычно 1–10%)
Верификация контракта на EtherscanЧасто не верифицированВерифицирован, код открыт
Возможность изменения комиссии владельцемЕсть, без ограничения максимумаОтсутствует или ограничена смарт-контрактом
Реакция детекторов (honeypot.is)Предупреждение или ошибка симуляции продажиПродажа симулируется успешно с корректной комиссией

Как проверить токен на honeypot за 5 минут: пошаговый алгоритм

  1. Получить официальный адрес контракта

    Найдите адрес контракта токена на официальном сайте проекта или CoinGecko — никогда не берите адрес из Telegram-чатов или комментариев в соцсетях. Скопируйте адрес полностью (42 символа, начинается с 0x).

  2. Проверить на honeypot.is

    Вставьте адрес контракта на honeypot.is, выберите нужную сеть (Ethereum, BSC, Arbitrum и т.д.) и нажмите Simulate. Сервис покажет: возможна ли продажа, реальные комиссии на покупку и продажу, предупреждения об опасных функциях.

  3. Проверить на GoPlus Security

    Введите адрес на gopluslabs.io → Token Security. Изучите параметры: is_honeypot, sell_tax, buy_tax, is_mintable, can_take_back_ownership, is_blacklisted. Любой из красных флагов — достаточное основание отказаться от покупки.

  4. Верифицировать контракт на Etherscan

    Откройте etherscan.io, найдите контракт по адресу. Убедитесь в наличии метки Verified и изучите вкладку Contract → Read Contract. Ищите функции setFee, setTax, blacklist — их наличие означает, что владелец может изменить правила торговли.

  5. Проверить концентрацию токенов и историю deployer

    На Etherscan перейдите во вкладку Token Holders — если топ-5 адресов держат более 30–40% supply (исключая контракты пулов), риск dump высок. Проверьте deployer-адрес: посмотрите историю транзакций — создавал ли он другие токены, которые упали до нуля.

Частые вопросы

Можно ли потерять деньги в легитимном токене так же необратимо, как в honeypot?

Да. Легитимный токен может обесцениться до нуля из-за провала проекта, рыночной волатильности или взлома протокола — и продажа в этот момент принесёт те же потери. Разница: в honeypot вы теряете возможность продать в принципе; в легитимном токене вы сохраняете право выбора момента выхода, пусть и с убытком.

Работают ли honeypot-детекторы на всех блокчейнах?

Основные инструменты (GoPlus, honeypot.is) поддерживают Ethereum, BSC, Arbitrum, Polygon, Base и ряд других EVM-совместимых сетей. Для non-EVM сетей (Solana, TON) используются специализированные инструменты: RugCheck (rugcheck.xyz) для Solana. Всегда проверяйте, поддерживает ли выбранный детектор нужную сеть.

Как honeypot обходит проверки автоматических детекторов?

Мошенники используют несколько методов: условный код, активируемый только по команде владельца (detectors не могут предсказать будущий вызов admin-функции); обфусцированный код в невейрифицированном контракте (детектор не может прочитать логику); proxy-контракт, за которым скрыта реальная логика. Поэтому ручная проверка кода и отзывы проверенных аудиторов важнее автоматических детекторов для подозрительных проектов.

Нужно ли отзывать approve после неудачной попытки продать honeypot-токен?

Да, обязательно. Если вы дали approve контракту на доступ к вашему кошельку в процессе попытки покупки или продажи, этот approve остаётся активным. Зайдите на revoke.cash, подключите кошелёк и отзовите все разрешения от подозрительного контракта. Это защитит от дальнейшего несанкционированного списания других токенов с вашего кошелька.

Облагаются ли налогом потери от honeypot в РФ?

Потери от мошенничества не уменьшают налоговую базу по НДФЛ автоматически — для этого требуется подтверждённый факт хищения (постановление о возбуждении уголовного дела). Сама по себе покупка honeypot-токена и последующая «продажа» по нулевой цене формирует убыток, который теоретически может учитываться при расчёте налоговой базы, но практика ФНС по DeFi-операциям остаётся неопределённой. Рекомендуется консультация с налоговым специалистом.

Похожие материалы

Источники