Vous trouvez un token sur Uniswap ou PancakeSwap. Le prix monte en flèche. Vous achetez. Et quand vous essayez de revendre, rien ne se passe. La transaction échoue, ou les frais de vente sont de 99%. Vos fonds sont piégés. C'est un honeypot.
Les honeypots sont des smart contracts conçus pour vous laisser acheter mais pas vendre. C'est l'arnaque DeFi la plus basique, et pourtant elle continue de faire des victimes chaque jour. En 2025, des milliers de honeypots ont été déployés sur Ethereum, BSC et Solana. La plupart ont une durée de vie de quelques heures à quelques jours avant que les fonds soient retirés.
Comment fonctionne un honeypot
Le créateur déploie un smart contract avec une fonction de transfert modifiée. Quand vous achetez le token, la transaction passe normalement. Quand vous essayez de vendre, le contrat bloque la transaction ou prélève des frais astronomiques (90-99%). Certains honeypots plus sophistiqués autorisent les ventes pendant les premières heures pour créer de la confiance, puis activent le blocage.
D'autres variantes incluent des mécanismes de "cooldown" qui imposent un délai de vente très long, ou des listes blanches qui n'autorisent que certaines adresses (celles du créateur) à vendre. Le code du contrat est souvent volontairement complexe pour dissimuler ces mécanismes.
Les signaux d'alerte avant d'acheter
Le token n'existe que depuis quelques heures. La liquidité est faible (moins de 10 000$ dans le pool). Le créateur du contrat détient une grande partie de l'offre. Il n'y a pas de site web, ou le site est une page basique créée en 5 minutes. Le contrat n'est pas vérifié sur Etherscan ou BscScan.
Regardez aussi l'historique des transactions. Si vous voyez beaucoup d'achats mais très peu de ventes, c'est un signal d'alarme fort. Un token légitime a un flux équilibré d'achats et de ventes.
Et méfiez-vous des tokens qui apparaissent spontanément dans votre wallet. C'est une variante de l'arnaque où l'interaction avec le token (même pour le vendre) peut donner des autorisations malveillantes à votre wallet.
Les outils pour détecter un honeypot
Plusieurs outils gratuits analysent les smart contracts et détectent les mécanismes de honeypot. Token Sniffer (tokensniffer.com) analyse le code du contrat et attribue un score de risque. Honeypot.is simule une transaction d'achat et de vente pour vérifier si le token est vendable. De.Fi Scanner vérifie les autorisations et les risques du contrat.
Sur Solana, RugCheck (rugcheck.xyz) fait un travail similaire pour les tokens SPL. Il vérifie si la liquidité est verrouillée, si l'autorité de mint est révoquée, et si le contrat contient des fonctions suspectes.
Ces outils ne sont pas infaillibles. Un honeypot bien codé peut passer sous le radar. Mais ils attrapent la grande majorité des pièges courants et prennent 30 secondes à utiliser. Il n'y a aucune raison de ne pas vérifier avant d'acheter un token inconnu.
La liquidité verrouillée ne garantit rien
Beaucoup de projets mettent en avant le fait que leur liquidité est "verrouillée". Ça signifie que le créateur ne peut pas retirer les fonds du pool de liquidité pendant une période donnée. C'est mieux que rien, mais ça ne protège pas contre un honeypot.
Un token peut avoir sa liquidité verrouillée pendant un an tout en étant un honeypot. Le créateur n'a pas besoin de retirer la liquidité : il lui suffit de détenir une grande quantité de tokens qu'il peut vendre (lui, parce que son adresse est sur la liste blanche) en faisant monter le prix artificiellement avec de faux achats.
Que faire si vous êtes piégé
Si vous avez acheté un honeypot, vos fonds sont probablement perdus. Le smart contract est conçu pour que vous ne puissiez pas vendre, et il n'y a pas de "service client" à contacter. La blockchain est immuable : personne ne peut annuler la transaction.
Ce que vous pouvez faire : vérifier sur revoke.cash que le token n'a pas obtenu des autorisations supplémentaires sur votre wallet. Si c'est le cas, révoquez-les immédiatement. Transférez vos autres tokens vers un nouveau wallet propre si vous avez un doute sur la sécurité du wallet compromis.
Et tirez la leçon : ne mettez jamais d'argent significatif dans un token que vous n'avez pas vérifié avec les outils mentionnés ci-dessus. Les gains potentiels d'un shitcoin qui "x100" ne valent pas le risque de tout perdre dans un honeypot.
Pour une protection plus large contre les arnaques crypto courantes, consultez notre guide dédié. Et sécurisez correctement vos comptes avant d'interagir avec la DeFi.
