Les tokens piégés et les honeypots constituent une menace fréquente pour qui investit dans des projets non vérifiés ; cet article propose une méthode complète et pédagogique pour les repérer, les tester et s’en prémunir.
Points Clés
- Identifier les signaux : vérifier la vérification du contrat, la concentration des holders et la lock de la liquidity avant d’investir.
- Tester avant d’exposer : effectuer un buy/sell témoin avec un wallet secondaire et un faible montant pour vérifier la vendabilité.
- Utiliser les bons outils : combiner Etherscan/BscScan, DEXTools, honeypot.is, Tenderly et Revoke.cash pour analyser et limiter les risques.
- Limiter les autorisations : privilégier des approvals limitées et révoquer les allowances inutiles pour protéger ses fonds.
- Prudence sociale : se méfier du marketing agressif, des comptes d’influence douteux et des volumes artificiels.
- Actions en cas d’incident : collecter preuves, révoquer approvals, signaler via internet-signalement.gouv.fr et consulter des experts en sécurité si nécessaire.
Qu’est‑ce qu’un honeypot ou token piégé ?
Un honeypot est un token dont le smart contract permet l’achat mais empêche — partiellement ou totalement — la revente pour la plupart des détenteurs, piégeant ainsi les acheteurs après avoir fait monter le prix.
Les tokens piégés peuvent prendre plusieurs formes techniques : des frais de vente extrêmement élevés, des fonctions de blacklist, des limitations temporaires de vente, ou du code qui bloque explicitement certaines adresses ou types de transactions.
Ils apparaissent souvent sur des chaînes populaires comme Ethereum, Binance Smart Chain (BSC) ou Polygon, et sont promus via les réseaux sociaux, des canaux Telegram ou des listings sur des DEX faiblement surveillés.
Pourquoi ces arnaques existent‑elles ?
Le modèle open‑source et permissionless des blockchains facilite la création de tokens sans contrôle centralisé, ce qui attire les acteurs malveillants.
- Faible barrière à l’entrée : créer un token ERC‑20 ou BEP‑20 ne requiert pas forcément une expertise approfondie.
- Anonymat : les créateurs peuvent opérer sous pseudonyme et dissoudre la liquidité ou modifier le contrat.
- Psychologie FOMO : la peur de rater une opportunité pousse des investisseurs à agir rapidement sans vérifications.
Mécanismes techniques courants derrière les tokens piégés
Connaître les patterns contractuels courants aide à repérer des signaux d’alerte. Voici les mécanismes les plus fréquents.
Frais abusifs ou dynamiques
Le contrat peut appliquer des taxes automatiques sur chaque transfert, souvent plus élevées lors d’une vente (tax on sell), parfois jusqu’à des pourcentages punitifs rendant la revente non rentable.
Blacklist / whitelist
Des mappings internes au contrat peuvent permettre au propriétaire de blacklister des adresses ou de limiter les ventes à une whitelist. Cette technique est directe et souvent catastrophique pour les détenteurs non listés.
Limitations par wallet et anti‑whale
Variables comme maxTxAmount ou maxWallet restreignent la taille des transactions ou la quantité détenue par une adresse ; elles peuvent être légitimes, mais si modifiables par l’owner, elles deviennent un vecteur d’abus.
Fonctions de pause et ownership
La présence d’une fonction pause (pausable) ou d’un owner capable de modifier des paramètres critiques est un point d’attention : la renonciation d’ownership effective (irreversible) est un élément de confiance. Une renonciation simulée n’offre pas de garantie.
SwapAndLiquify et routes de taxation
Certaines fonctions convertissent automatiquement une portion des tokens en ETH/BNB ou les envoient vers une adresse centrale (wallet marketing). Si ces mécanismes servent à siphonner la liquidité au moment des ventes, ils peuvent cacher une arnaque.
Signes avant‑coureurs observables
Avant d’investir, il est conseillé de vérifier ces éléments visibles sans interaction complexe :
- Liquidité initiale : qui a ajouté la liquidité et a‑t‑elle été lockée via un service reconnu (ex. Unicrypt) ?
- Concentration des holders : une grande part du supply détenue par peu d’adresses est suspecte.
- Propriétaire du contrat : l’adresse owner est‑elle active, a‑t‑elle des transferts inhabituels ?
- Audit : un audit par une firme réputée (CertiK, PeckShield…) réduit le risque mais n’élimine pas les vulnérabilités.
- Code vérifié : le contrat est‑il publié sur Etherscan ou BscScan et lisible ?
Outils indispensables pour analyser un token
Plusieurs outils gratuits et payants aident à repérer des patterns suspects. Ils ne remplacent pas l’analyse humaine mais accélèrent les vérifications.
- honeypot.is — vérifie si le token peut être vendu après l’achat.
- DEXTools — suivi des paires, liquidité, gros wallets et historique des transactions.
- Etherscan / BscScan — explorer le smart contract, lire les fonctions publiques et inspecter les holders.
- Token Sniffer — analyse automatique et scoring des risques.
- Tenderly — simulation de transaction et debugging de smart contracts.
- Poocoin — charting et transactions en temps réel sur BSC.
- Unicrypt — service de lock des LP tokens pour prouver que la liquidité ne sera pas retirée immédiatement.
- Revoke.cash — révoquer des allowances / autorisations accordées aux contrats.
- CertiK et PeckShield — réalité des audits : vérifier la présence et la portée des rapports.
Procédure pratique : test buy/sell pas à pas
La méthode la plus fiable pour vérifier si un token est vendable consiste à effectuer un test d’achat et une tentative de revente avec un petit montant. La procédure ci‑dessous protège l’investisseur et limite les pertes potentielles.
Préparatifs
L’investisseur doit :
- Créer ou utiliser un wallet secondaire avec une somme minimale (par ex. 1–5 € en BNB/ETH selon la chaîne) pour limiter les pertes si le token est piégé.
- Configurer MetaMask ou un wallet compatible pour la chaîne concernée et vérifier l’heure et le nonce des transactions si nécessaire.
- Préparer un petit budget d’essai (0,5–2 €) en tenant compte du coût du gas.
Étape 1 — Vérifications avant achat
Avant d’effectuer le swap :
- Ouvrir la page du contrat sur Etherscan/BscScan et vérifier si le code est vérifié (tab « Contract ») et si des fonctions suspectes existent (blacklist, owner variables modifiables).
- Consulter l’onglet « Holders » pour repérer une concentration extrême (ex. > 50 % du supply détenu par 1–3 adresses).
- Vérifier la liquidité : qui a ajouté la LP, les LP tokens sont‑ils lockés (vérifier via Unicrypt ou le contrat LP lui‑même) ?
- Regarder l’historique des transactions sur DEXTools/Poocoin : volume naturel ou patterns d’achat/vente synchronisés (wash trading) ?
Étape 2 — Acheter un petit montant
Pendant l’achat :
- Définir une slippage initiale basse (1–3 %) et l’augmenter uniquement si la transaction reste bloquée pour des raisons compréhensibles.
- Limiter l’autorisation d’allowance si le wallet le permet (autoriser exactement le montant nécessaire plutôt qu’un infinite approve).
- Confirmer la transaction, noter le tx hash et le montant de tokens reçus pour pouvoir comparer lors de la vente.
Étape 3 — Tenter la vente rapide
Après réception :
- Tenter de revendre immédiatement la même petite quantité sur le même DEX avec une slippage identique à l’achat.
- Si la vente passe et que le montant reçu est proche de l’attendu, le risque que le token soit un honeypot est réduit.
- Si la vente échoue ou si une taxe excessive (> 50 %) s’applique, il s’agit d’un signal fort d’alerte.
Étape 4 — En cas d’échec de vente
En cas de vente bloquée :
- Ne pas tenter immédiatement d’augmenter la slippage sans comprendre la cause — cela peut aggraver la perte.
- Rechercher la transaction sur Etherscan/BscScan pour analyser le revert, le gas consommé et la raison de l’échec.
- Utiliser des outils de simulation comme Tenderly pour reproduire la transaction et identifier la logique du contrat provoquant l’échec.
- Révoquer les approbations si nécessaire via Revoke.cash pour empêcher le contrat de dépenser d’autres fonds du wallet.
Analyser les taxes et modèles de frais
Les frais intégrés peuvent servir des usages légitimes (marketing, liquidity pool, burn), mais ils peuvent aussi bloquer la revente ou siphonner la valeur.
Identifier les variables de taxe
Sur Etherscan/BscScan, la lecture du code vérifié permet d’identifier des variables communes comme _taxFee, taxOnSell, _redisFee ou des fonctions de transfert personnalisées qui appliquent une logique différente selon que la transaction est un buy, sell ou transfert.
Taxes dynamiques et conditions cachées
Certains contrats appliquent des taxes plus élevées pendant une période initiale, ou différencient la taxe selon la paire (si le destinataire est le contrat de la paire DEX). C’est pourquoi la simulation real‑time est utile.
Calculer l’impact réel
L’essai buy/sell montre la taxe effective. L’investisseur peut également calculer l’impact en observant le flux des tokens dans la transaction et l’adresse qui reçoit les fonds (marketing, owner, burn).
Anti‑whale et antibot : protection ou piège ?
Les mécanismes anti‑whale et antibot peuvent être bénéfiques mais aussi servir d’outils d’exclusion.
Anti‑whale
Les limites de transaction empêchent les gros mouvements de marché, mais si l’owner peut modifier ces paramètres, il peut bloquer la majorité des ventes.
Antibot / cooldown
Les cooldowns imposent un délai entre deux transactions d’une adresse et peuvent freiner les bots, mais s’ils ciblent spécifiquement les sells, ils deviennent malveillants.
Comment vérifier l’intention
Il faut chercher si les paramètres sont modifiables par onlyOwner, et si des adresses spécifiques bénéficient d’exemptions de taxes ou de limites.
Différence entre honeypot et rug pull
Comprendre la différence aide à mieux réagir :
- Honeypot : l’acheteur peut acheter mais ne peut pas vendre (ou subit une taxe excessive). Le contrat bloque les exits.
- Rug pull : les créateurs retirent la liquidité du pool (burn des LP ou transfert des LP non lockés), rendant le token pratiquement sans valeur. Souvent la vente est possible mais il n’y a plus de liquidité.
Dans les deux cas, la vérification de la lock de LP et des mouvements de l’owner est essentielle pour distinguer les scénarios.
Simuler une transaction avec Tenderly et autres méthodes avancées
La simulation permet d’exécuter virtuellement une vente sans risque pour observer le comportement interne du contrat.
- Tenderly : il offre la possibilité de simuler une transaction en fournissant l’appel (to, data, value) et d’examiner les events, les logs et le revert reason si la transaction échoue.
- Forker la blockchain localement (Hardhat/Foundry) : pour des utilisateurs avancés, forker l’état mainnet et exécuter la transaction dans un environnement contrôlé permet d’observer le résultat sans engager de fonds réels.
- Utiliser l’onglet « Read Contract » et « Write Contract » sur Etherscan/BscScan pour voir quelles fonctions sont publiques et quelles variables peuvent être modifiées.
Révoquer des approvals et limiter le risque opérationnel
Accorder une autorisation infinie à un contrat représente un risque : si le contrat est malveillant, il peut vider le wallet.
- Utiliser Revoke.cash ou l’interface d’Etherscan/BscScan pour révoquer des allowances inutiles.
- Privilégier des approvals limitées au montant de l’achat plutôt qu’une autorisation infinie.
- Si une interaction suspecte a déjà eu lieu, révoquer l’autorisation immédiatement et déplacer les fonds non engagés vers un autre wallet.
Signaux sociaux et marketing à examiner
La communication autour d’un projet peut donner des indices :
- Promotions agressives : campagnes massives, faux comptes influents, promesses irréalistes sont des signaux d’alerte.
- Transparence de l’équipe : une équipe anonyme n’est pas forcément frauduleuse, mais l’absence totale de profils vérifiables augmente le risque.
- Discord/Telegram : inspecter les canaux officiels pour repérer des bots, des messages automatisés ou des dénégations d’audit.
Que faire en cas de token piégé ?
Si l’investisseur découvre que ses tokens sont piégés, il doit garder son calme et suivre des étapes rationnelles :
- Ne pas exécuter d’autres transactions risquées sans compréhension du contrat.
- Collecter tous les éléments de preuve : tx hashes, captures d’écran, liens vers le contrat et le site officiel.
- Révoquer les approvals via Revoke.cash pour limiter l’impact sur d’autres fonds.
- Signaler l’arnaque sur les plateformes communautaires (Discord, Telegram) et via les canaux officiels français : le site PHAROS, et contacter l’Autorité des marchés financiers (AMF) pour informations et assistance si besoin.
- Envisager de solliciter l’avis d’équipes d’audit ou de sécurité (PeckShield, CertiK) si des montants significatifs sont concernés.
Régulation et recours en France : étapes concrètes
La régulation des actifs numériques en France progresse, mais récupérer des fonds reste difficile si l’attaquant est anonyme ou à l’étranger.
L’investisseur doit :
- Conserver toutes les preuves et remplir un signalement sur internet-signalement.gouv.fr (PHAROS) pour les atteintes aux droits sur internet, ou si l’arnaque présente un caractère pénal avéré.
- Se rapprocher de l’AMF pour obtenir des informations sur les démarches et si le projet relève d’un service d’actifs numériques (PSAN).
- Envisager une plainte judiciaire si l’identité de l’escroc est identifiable et que les montants justifient la procédure.
Bonnes pratiques opérationnelles pour limiter le risque
Des habitudes simples réduisent significativement l’exposition :
- Wallet de test : utiliser systématiquement un wallet secondaire pour tester de nouveaux tokens.
- Approvals limités : ne pas donner d’allowance infinie aux contrats inconnus.
- Hardware wallet : conserver les positions importantes sur un hardware wallet.
- Documentation : garder trace des tx hashes, des slippages et des paramètres utilisés pour une analyse ultérieure.
- Éducation continue : suivre l’actualité des vulnérabilités et des nouveaux patterns d’arnaque via des sources sûres.
Outils et services avancés pour les analystes
Pour ceux qui souhaitent approfondir les analyses :
- Dune Analytics : construire des dashboards personnalisés pour suivre les mouvements de tokens et détecter des patterns (requiert des compétences SQL).
- Tenderly : debugging détaillé des transactions et visualisation des state changes.
- Alertes : configurer des notifications sur Etherscan/BscScan pour suivre les mouvements du propriétaire du contrat et des LP tokens.
- Audits : lire les rapports d’audit de CertiK, PeckShield et autres, en se focalisant sur la portée, les issues critiques résolues ou non, et la date de l’audit.
Glossaire rapide des termes courants
Un rappel des mots fréquemment rencontrés :
- Honeypot : token achetable mais non revendable.
- Rug pull : retrait malveillant de la liquidité par les créateurs.
- LP tokens : jetons représentant la part de liquidité déposée dans une paire DEX.
- Allowances / Approvals : autorisations accordées à un contrat pour dépenser le token d’une adresse.
- Slippage : écart maximal accepté entre le prix estimé et le prix d’exécution d’un swap.
Études de cas pratiques (scénarios d’interprétation)
Quelques scénarios pour mieux comprendre comment interpréter les signes :
Cas A — Code vérifié mais owner non renoncé
Le contrat est public mais l’address owner conserve des fonctions de modification des paramètres. Interprétation : risque modéré à élevé, car l’owner peut ajuster taxes et limites à tout moment.
Cas B — LP locké mais volume suspect
La liquidité est lockée mais le volume apparaît comme provenant d’adresses nouvellement créées en séquence. Interprétation : possible wash trading visant à simuler de l’intérêt.
Cas C — Vente possible mais liquidité retirée
La vente est techniquement possible, mais la liquidité est faible et une vente importante déclenche un glissement de prix extrême. Interprétation : risque de rug pull ou de volatilité extrême ; sortir rapidement ou éviter l’achat.
Questionnaires et réflexions pour l’investisseur
Avant d’investir, l’investisseur peut se poser ces questions rapides :
- Qui a déployé le contrat et existe‑t‑il une équipe identifiable ?
- La liquidité est‑elle lockée et pour combien de temps ?
- Le code est‑il vérifié et quelles fonctions sont modifiables par l’owner ?
- Les promesses de rendement sont‑elles réalistes ou trop belles pour être vraies ?
Ces questions aident à structurer une décision rationnelle et à éviter de se fier uniquement au marketing.
Réflexion finale et appel à l’action
La prévention repose sur la combinaison d’outils techniques, de procédures pratiques (wallet de test, buy/sell témoin) et d’une lecture critique des signaux sociaux et contractuels.
Quel processus l’investisseur mettra‑t‑il en place dès aujourd’hui pour tester ses prochains achats de tokens ?
