Qué es una estafa cripto honeypot

16 Mar, 2024 | Actualizado 3 Abr, 2025

Una estafa cripto honeypot (honeypot crypto scam) hace uso de un contrato inteligente malintencionado para engañar a víctimas desprevenidas con la promesa de rendimientos o recompensas sustanciales. La intención final de este método es hacerse con los fondos de la víctima.

¿Qué es una estafa cripto honeypot?

En una estafa de cripto honeypot (honeypot crypto scam), el atacante usa un contrato inteligente, un token o una billetera cripto con el fin de engañar a usuarios desprevenidos para que inviertan, transfieran o intercambien tokens cripto.

Las estafas honeypot suelen atraer a los inversores con un atractivo monto de criptodivisas o con la promesa de importantes ganancias. Los estafadores pueden hacerse pasar por usuarios novatos que buscan ayuda o por empresas legítimas que quieren recompensar a los usuarios. Las personas que caen en estos engaños invierten o transfieren criptodivisas a la billetera del estafador. Más tarde, se dan cuenta de que se trataba de una artimaña y de que han sido víctimas de una estafa.

¿Cómo funciona?

Las estafas honeypot se desarrollan en tres fases. En la primera, la parte malintencionada implementa un contrato inteligente que parece tener un fallo de diseño que permite a cualquier usuario extraer los tokens del contrato. Este es el «honeypot», el señuelo que se aprovecha de la codicia instintiva de los usuarios. ¿Cuál es la trampa? Primero, el usuario debe enviar una cantidad concreta de criptodivisas al contrato.

Después, la víctima transfiere el depósito de criptodivisa exigido e intenta aprovechar la vulnerabilidad para convertir los tokens en efectivo. Sin embargo, una segunda vulnerabilidad impide que las víctimas retiren el depósito inicial y los fondos del contrato. Por último, el atacante convierte en efectivo todos los fondos del contrato, incluidos los depósitos de las víctimas.

Por ejemplo, Dechat publicó por error un enlace a un contrato inteligente honeypot el 26 de febrero de 2024 en sus redes sociales, lo que expuso a los usuarios a pérdidas económicas. Sin embargo, el protocolo enmendó su error de inmediato.

Otras veces, el atacante comienza poniéndose en contacto con otros usuarios de cripto en las redes sociales. Se hace pasar por un usuario novato que tiene una cantidad considerable de activos cripto y necesita ayuda para convertirlos en efectivo o transferirlos. La parte malintencionada promete a la víctima una parte de dichos tokens e incluso le proporciona las claves privadas para fingir ingenuidad y ganarse la confianza de la víctima.

Aunque la víctima comprueba que hay una considerable cantidad de tokens con un valor significativo, estos no se pueden usar para cubrir los costes de la transacción. Por ello, para retirar los tokens, la víctima se ve obligada a depositar el token nativo de la blockchain en la que opera la billetera. El problema es que, en cuanto los fondos llegan a la billetera, se redirigen al instante a otra billetera por medio de scripts automatizados.