Ci sono diverse tecniche che possono far capire che un token sia scam. Ovviamente anche qualora non ci sia nessuna di questa caratteristica non è detto che lo smart contract sia legit però sicuramente è più difficile da attaccare. Vediamo alcuni campanelli d'allarme.
Qui puoi trovare alcuni codici Rug Pulls ed Exploit per riconoscerli:
RugdocUn altro tool online che può aiutarci a stabilire se un token potrebbe essere legit o meno è (bisogna inserire il contract del token):
TokenSniffer
AUDIT E TIMELOCK
Una delle funzioni più importanti di una piattaforma e di un token sono gli audit che verificano errori, bug e vulnerabilità degli smart contract, potenziale front running, etc Tra le verifiche più importanti c'è quello del timelock di un certo numero di ore (di solito 72). Sostanzialmente se il proprietario dello smart contract vuole modificare qualcosa, prima che queste modifiche diventino attive, devono passare tot ore. Il timelock mette queste modifiche in una transazione in coda e devono passare almeno 72 ore prima di essere eseguite. E' una delle protezioni maggiori per i Rug Pulls.
CONTRATTO OFFUSCATO
Un classico esempio di contratto nascosto è questo: 0xaeea725528c8fcfcb7b5214b4226bba7ba1a4d71
Nota le differenze con questo: 0xCa3F508B8e4Dd382eE878A314789373D80A5190A
"0x" è l'iniziale di tutti i token di Ethereum e di quelli compatibili con esso (ad esempio la Binance Smart Chain). Nel primo contratto si vede una lunga serie di lettere senza alcun numero (che arriva solo alla settima lettera) che impediscono di leggere il contratto e il proprietario dello stesso.
Risulta quindi impossibile vedere i token posseduti dal dev team.
CONTRATTO MODIFICATO
Ci sono anche altre varianti con contratti modificati (ad esempio se si guarda questo 0x02f92a9c381bdea49bde29a8277666c73e60c88d e si prova a leggere il contratto otterrò questo 0x0000000000000000000000000000000000000000).
PROPRIETARIO CHE NON RINUNCIA ALLO SMART CONTRACT (OWNERSHIP NOT RENOUNCED)
Riguarda la decentralizzazione e la rinuncia alla proprietà dello stesso. Bruciando la maggior parte dei propri token e rinunciando alla maggior parte dell'influenza sugli stessi, il token diventa di proprietà del mercato stesso. Il team che non rinuncia al contratto potrebbe modificare commissioni, coniare nuovi token (mint), impedire la vendita degli stessi, etc
TOP HOLDERS
Oltre alla quantità posseduta dal dev team, è anche importante controllare i top holders (che possono essere verificati su Etherscan o Bscscan scrivendo nome o contratto del token) andando su holders.
Chiaramente grosse quantità superiori al 5% sono un grosso campanello d'allarme. Avere il 10% di supply di un token con 30 milioni di dollari di market cap (ovvero comunque una market cap bassissima) vuol dire che qualcuno possiede a grandi linee 3 milioni di dollari di quel token quindi il rischio grosso
dump è una red flag.
LIQUIDITA' NON BLOCCATA
Se la liquidità (LP) non viene bloccata c'è il rischio di
Rug Pulls (rimozione di tutta la liquidità da un dex). Anche qualora LP token venisse burnato (quindi liquidità locked) ed inviato ad un address morto, la liquidità potrebbe essere comprata da altri wallet "vergini". Da Poocoin ad esempio per BSC, posso verificare con quale coppia di scambio è stata caricata (ad esempio su PancakeSwap).
Nell'esempio di sotto vediamo che la coppia di scambio è con Bnb:
Sotto in rosso, già il sito mi avverte che c'è qualcosa che non fa. Effettivamente se schiaccio su Holders (qui sono state fatte due versioni del token, le somme che leggo ovvero 4,000 e 2,700 dollari sono basse perchè poi è avvenuto l'exit scam), posso vedere Fries/Bnb (LP). E noto che la liquidità (98,67%) non è bloccata e prelevabile dal pool di liquidità:
Notiamo la differenza con questo token (chiaramente non vuol dire che questo sia 100% sicuro) però vediamo che in questo caso il 99.54% della supply caricata è stata bloccata nel pool (teoricamente non può essere rimossa):
Quando si analizza un token (indipendentemente dalla blockchain usata), devo fare attenzione a:
-volumi scambiati
-numero di transazioni (se sono basse e poche al giorno, si tratta di uno scam, a maggior ragione se il token esiste da tempo)
-Holders unici (se sono pochi, si tratta molto probabilmente di uno scam o di un token appena avviato che ovviamente presenta rischi)
BURN
Come sappiamo molti token implementano funzioni di burn: bruciano parte della supply (a seguito di transazioni o compravendita). Spesso può capitare che i quantitativi promessi non vengano effettivamente bruciati. Anche LP token dovrebbe essere burnato. I burn avvengono a questi indirizzi: 0x000000000000000000000000000000000000dead
Qui possiamo vedere (sempre in un LP di un token), se vengono effettivamente bruciati (il meccanismo è sempre trovare LP del token sul dex):
Per approfondire:
MARKET CAP
Un parametro a cui spesso si dà grande importanza è quello della market cap. La market cap è una metrica importantissima per le criptovalute per provare a predire il loro andamento futuro. Essa è banalmente il prodotto tra supply e prezzo del singolo token. Più bassa è la market cap e maggiore è il potenziale di crescita (questa cosa va presa con le pinze perchè dipende dalla tokenomics e dal progetto se è legit, se avrà successo, hype, etc). Tuttavia essa può essere facilmente manipolata, se un token non è listato su grossi exchange ma solo su quelli piccoli (con poca liquidità) o dex. Perchè? Se io posseggo 3 miliardi di token e carico solo 10 milioni di token su Pancake dandogli 1 $ di valore, chiaramente risulterà una market cap fittizia di 3 miliardi di dollari. Ricordo che nei pools di liquidità, si carica il proprio token (50%) e lo si mette in coppa con ETH (se su Ethereum), BNB (se su BSC), etc ETH o BNB rappresenteranno il 50% del pool. Se per semplicità ipotizziamo di mettere 10 milioni di USDC in coppia con 10 milioni del mio token, sto dando 1 $ di valore ad ogni singolo token. Visto che tutta la supply rimanente è in mio possesso avrò 3 miliardi di market cap (su solo 10 milioni "reali").
HONEYPOT
Si tratta di token con difetti di programmazione, messi di proposito all'interno. Quando gli aggressori cercano di sfruttare questo bug, vengono a loro volta attaccati.
Potrebbe essere inteso anche come l' l'impossibilità di vendere un token. E' possibile comprarlo ma non venderlo. A parte il dev team ovviamente (come se l'indirizzo fosse whitelistato) che può venderlo come e quando vuole quindi prima di comprare un token è sempre utile controllare se ci sono tante transazioni anche in uscita.
In realtà l'honeypot è un termine abbastanza generico ed ha anche altre applicazioni (qui per approfondire in un altro contesto, anche se sempre informatico
Cosa Sono Gli HoneyPot Fisici e Virtuali: Trappole Per Hacker e Criminali). Si tratta di "esche" (trappole). Per curiosità riporto alcuni episodi che sono successi in cui ad essere truffati...sono stati i truffatori stessi. Basta creare un wallet con un token che non può essere prelevato se non pagando le fee. Pensate ad un qualsiasi Bep20 o soprattutto Erc20 (che necessitano di Bnb ed Eth come gas per spostare i token). Praticamente questo wallet contiene un token, senza gas per spostarlo. Poi basta postare la propria chiave privata (o il seed) dandola ad un truffatore che ovviamente vi entrerà nel wallet, trovando magari migliaia di dollari (pensate a Minereum che viene airdroppato free di tanto in tanto su Ethereum). A quel punto cosa farà? Invierà Ethereum a quell'indirizzo.
Da qui in poi scatta la trappola: uno smart contract devia automaticamente ad un altro wallet tutte le transazioni di Ethereum arrivate su quel wallet esca.
In questo modo le persone poco oneste vengono, a loro volta, truffate. Gli Eth destinati a pagare le fee per spostare i token presenti nel wallet non arriveranno mai. Il "vasetto di miele" (Honeypot) usato per attrarre le api è servito (ricordo che Minereum è un token senza valore che non può essere scambiato nè venduto, anche se si legge un saldo di migliaia di dollari). Puoi verificarli qui:
Honeypot Detector
ALTRI CONSIGLI
-Copia il contract del token (che puoi trovare su CMC, Coingeko o sul sito del progetto del token) ed incollalo su Google (leggi in giro se qualcuno ne parla negativamente o magari ti rimanda a Twitter)
-Vai su Etherscan (o gli altri explorer), incolla il contract del token e in contract leggi il codice. Una prima occhiata puoi averla subito a priva vista: se sta la spunta "verde" vuol dire che il contratto è verificato. Se non sta, potrebbe essere uno scam
-Sempre su Etherscan, leggi la sezione "comments", se molti scrivono che è uno scam molto probabilmente lo è
-Controlla la blacklist di DappRadar (se il contract è presente, si tratta di uno scam):
BlackList (DappRadar)-Controlla se è presente nell'explorer di DappRadar:
Explorer (DappRadar). Se è presente e leggi notifiche simili, procedi con attenzione: