Los Honeypots, o Tarros de Miel, son contratos inteligentes que aparentan darle al usuario una cierta cantidad de criptomonedas si depositan un monto específico, para atraer a la víctima y luego robarle sus fondos.
El crecimiento de la popularidad de las criptomonedas ha atraído muchas personas a este ecosistema. Sin embargo, esto también ha generado varias consecuencias que están relacionadas con las actividades criminales.
Una de ellas son los honeypot, que son más fáciles de entender y explicar si analizamos primero lo que son los contratos inteligentes y como se relacionan estos con esta nueva forma de estafa.
Al final no solo podrás conocer que son estas trampas, sino también como descubrir una y proteger así tu inversión en cryptos.
Contenido
¿Qué son los contratos inteligentes?
Antes de entender como es que funcionan los honeypot, es necesario que veamos el concepto de contrato inteligente. Una especie de herramienta que sirve para automatizar los contratos en las cadenas de bloques.
Un contrato inteligente es una pieza de software que corre sobre una blockchain y que se ejecuta cuando se han reunido ciertas condiciones establecidas de ante mano por el desarrollar.
Por ejemplo, un cliente podría enviar automáticamente el dinero por la compra de un producto cuando el proveedor los ha enviado. Simplemente, este contrato inteligente debería tener un mecanismo para determinar cuando este evento ha sucedido y así enviar las criptomonedas al destinatario.
Esta es una evolución muy querida por la comunidad, ya que aporta a cadenas de bloques como Ethereum de una potente herramienta para crear muchas soluciones
Sin embargo, este ingenioso desarrollo también presenta algunas complicaciones.
Y es que un desarrollar con grandes conocimientos puede diseñar uno de estos contratos de tal forma que engañe a la persona para robarle sus fondos. Algo que consigue debido a que los mismos pueden volverse muy complicados. Y aunque tenga ciertos conocimientos en la programación de uno, puede verse engañado gracias a distintas artimañas.
Ejemplo: La primera estafa Honeypot
Para continuar en nuestro viaje por entender a estas estafas, lo mejor es ver un ejemplo con la primera estafa de este tipo en la historia de las criptomonedas.
Era el año 2018, y un criminal ideo una forma bastante inteligente de obtener criptomonedas de personas menos experimentadas.
Para eso, el usuario creo una dirección donde coloco $5.000 en MNE (Minereum). Aquí es necesario entender que la crypto en sí no es tan importante, sino saber que se trata de un token basado en Ethereum.
Luego de los preparativos, lo que hizo es compartir la clave privada en un chat público. Así es que atrajo la atención de muchas personas, y de ahí su nombre.
Honeypot en la palabra en inglés para tarros de miel, y si alguna vez has visto una película de Winnie the Pooh, sabrás que esté en algunas ocasiones ha quedado atrapado en uno intentando obtener la miel. También es una analogía que nos habla de atraer mosca a algo dulce.
De esta manera, muchos usuarios se apresuraron a extraer las monedas, ya que pensaban que estaban obteniendo dinero fácil. Lo que no sabían, era que detrás de esa dirección había un contrato inteligente con determinadas características.
Los aspectos técnicos son bastantes complejos, pero en definitiva el proceso era el siguiente:
- Los usuarios conectaban sus monederos al sitio web e intentaban extraer las monedas.
- Antes de aprobar la transacción, los usuarios necesitaban confirmar las comisiones de gas de la operación.
- Ya que esta suelen ser bastantes altas en la red de Ethereum, el usuario entendía que debería pagar bastante para poder extraer las criptomonedas.
- El usuario quizás estaba pagando $100, pero a cambio creía que iba a conseguir $5.000, por lo que las cuentas le cerraban.
- Aquí es donde comenzaba el problema para el usuario, ya que el contrato inteligente estaba preparado para tomar las comisiones y moverlas a una segunda dirección.
- Al final, la transacción fallaba porque el sistema detectaba que no había ningún fondo para las comisiones de gas. De esta forma nadie podía extraer los $5.000, pero perdían dinero intentándolo.
Tipos de Honeypot
Claro que la forma en la que estos contratos inteligentes se han ido creando con el paso del tiempo ha evolucionado. Lo que nos permite ahora diferenciar tres grandes grupos.
Máquina Virtual de Ethereum (EVM)
En este tipo de honeypot el usuario piensa que ha encontrado una vulnerabilidad en un contrato inteligente.
Pero cuando intenta explotarla se da cuenta de que el contrato no corre como imaginaba y que su dinero es enviado a otro lugar donde no lo puede recuperar.
Esto ocurre porque el código se encuentra escrito de tal manera que se presta a la confusión. Algo que es aprovechado por los atacantes.
Compilador de Solidity
Solidity es el lenguaje de programación que se utiliza mayoritariamente en Ethereum para desarrollar los contratos inteligentes.
Si bien es un lenguaje muy bien documentado y que se han descubierto muchos bugs (errores) que son conocidos. También existen otros que no lo son tanto o que solo un grupo de personas descubrió.
Este tipo de ataques es complejo, porque hay que hacer un análisis muy minucioso del contrato inteligente para determinar que algo malo podría ocurrir. En especial, es necesario un testing con condiciones reales para descubrir algún problema.
Blockchain de Etherscan
El sitio web de Etherscan es un explorador muy famoso de la cadena de bloques de Ethereum, el cual puede ser usado por los criminales.
Para muchas personas la información que hay en este sitio web es la completa. Sin embargo, la realidad es que no.
Así, un grupo de criminales pueden explotar la falta de información de esta web para ocultar transacciones secundarías en el sistema y engañar a las víctimas.
¿Cómo identificar honeypot?
Mientras que los criminales tienen muchas herramientas para engañar a los usuarios, y cada día crean más, estos últimos tienen menos armas para enfrentar a ellos.
Pero no pierdas la esperanza, existen algunas acciones que podemos tomar para prevenirlos. En especial sí nos concentramos en informarnos mejor.
Además de la educación, que siempre es un buen consejo para cualquier aspecto de la vida., también se está investigando y desarrollando diferentes herramientas para detectar estas estafas. No solo las podemos utilizarlas nosotros para revisar las direcciones en busca de indicios, sino que los mismos proyectos pueden usarlas para demostrar la integridad del mismo.
Luego podemos analizar ciertas señales obvias, como que una persona comparta su clave privada regalando sus fondos porque sí. También debemos hacer un trabajo de investigación como sucede con cualquier cosa en este ambiente.
Por último, podemos evitar los proyectos más nuevos. En especial aquellos que no han provisto de una cierta cantidad de certificaciones relacionadas con sus contratos inteligentes.
Herramientas para detectar un honeypot
Algunas de las herramientas que nos servirán para analizar los contratos y detectar indicios de honeypot son básicamente dos. Existen más, pero estas son muy útiles.
Token Sniffer
Estamos ante un recurso muy interesante para descubrir honeypots en las criptomonedas. En especial porque cuenta con un auditor automático de contratos que podemos consultar ingresando la dirección en el buscador.
Si el resultado de la auditoria nos da alguna alerta, lo mejor es evitar completamente el proyecto. Puede que arroje algún falso positivo, pero mejor ser precavidos.
PooCoin
También hay una opción para aquellos proyectos que funciona sobre la cadena de bloques de Binance. Aquí de nuevo debemos ingresar la dirección y mirar el resultado.
Eso si, estas herramientas no remplazan el análisis que podamos haber realizado. Ya que aunque hacen una buena tarea, nunca serán capaces de descubrir el 100% de los honeypots.
Agrega un Comentario