Para verificar la dirección del contrato de un token, cópiala desde el sitio web oficial del proyecto o sus canales sociales verificados, luego pégala en un explorador de bloques como Etherscan, Solscan o BscScan y confirma que el contrato desplegado, el monedero del desplegador y el nombre del token coincidan con lo que anuncia el proyecto. Pasa la dirección por escáneres de honeypot como TokenSniffer o GoPlus, y solo después de todo eso haz una prueba de intercambio con una cantidad mínima antes de comprometer capital real.
Puntos clave
- Obtén siempre la dirección del contrato desde el sitio web real del proyecto, nunca desde un anuncio de Google, un tuit promocionado de pago o un enlace de un grupo de Telegram.
- Una marca verde de "verificado" en Etherscan solo significa que el código fuente es público, no que el token sea seguro para comprar.
- TokenSniffer, GoPlus y la simulación de operaciones en cadena de DexScreener muestran los patrones de honeypot más comunes antes de que firmes un intercambio.
- Un monedero desplegador recién creado, un fondo de liquidez diminuto y un contrato donde la venta está bloqueada son las tres señales de alerta que detectan la mayoría de los tokens imitadores y fraudulentos.
Por qué verificar la dirección del contrato es el hábito más importante en DeFi
Si solo aprendes un hábito defensivo antes de operar con tokens en un exchange descentralizado, que sea este: nunca confíes en una dirección de contrato que te haya dado alguien distinto al propio proyecto, y nunca confíes en un proyecto que no publique una. Cada otra comprobación de esta guía es un refinamiento de esa regla.
El motivo por el que esto importa tanto es que los intercambios de tokens en un DEX son definitivos. Una vez que una transacción se confirma en cadena, la red no la revertirá, el exchange no reembolsará nada y el canal de soporte del proyecto no te ayudará. No hay servicio de atención al cliente a nivel de protocolo. Lo que firmas es lo que recibes, y lo que envías es lo que otro se queda. Ese es todo el diseño de una blockchain sin permisos, y es exactamente por lo que los estafadores la adoran.
Casi todos los incidentes de vaciado de monederos importantes reportados en 2023 y 2024 empezaron con un único clic equivocado. Un operador buscó un token meme popular en Google, hizo clic en un anuncio de pago, cayó en un clon casi perfecto del sitio real del proyecto, copió una dirección de contrato que el estafador había desplegado discretamente y la pegó en su monedero. El intercambio se completó. Los tokens aparecieron. Entonces la función oculta del contrato bloqueó la venta al usuario, o se retiró la liquidez, o una comisión de transferencia desvió el noventa por ciento de la entrada al monedero del desplegador. Los fondos del operador desaparecieron en un solo bloque.
La buena noticia es que casi todas estas trampas dejan huellas. Un contrato desplegado minutos antes de que lo buscaras, un monedero desplegador sin historial, un nombre de token escrito casi correctamente con un carácter Unicode similar, un fondo de liquidez del orden de unos cientos de dólares y una negativa total a dejar vender a los titulares son cosas visibles en cadena antes de que firmes nada. El flujo de verificación de cinco minutos que sigue a continuación muestra todas ellas.
Los riesgos reales de confiar en la dirección equivocada
La trampa más común es el token imitador, a veces llamado token homoglyph o suplantador. Los estafadores despliegan un nuevo contrato que copia el nombre, el ticker y el logo de un proyecto popular y luego lo promocionan con anuncios de búsqueda de pago, cuentas de respuesta automática en X y canales de Telegram alquilados a bots. El gráfico de precios puede incluso parecer saludable durante unas horas, porque el estafador compra su propio token con monederos nuevos para fabricar la ilusión de demanda. Cuando llegan compradores reales y la liquidez es lo bastante profunda, el desplegador drena el fondo. Este patrón se conoce a veces como rug pull, y representa la mayoría de las pérdidas con nuevos tokens en Uniswap, Raydium y PancakeSwap.
La segunda trampa es el honeypot. Un honeypot es un token cuyo contrato te deja comprar pero bloquea, grava o envía a una dirección muerta en silencio la función de venta. Ves cómo sube el precio en tu monedero, intentas salir y la transacción se revierte o solo devuelve una fracción de lo que pusiste. Peor aún, los contratos honeypot modernos pueden permitir que una venta pequeña de prueba funcione, para que el usuario se confíe y añada más capital, y solo falla la venta mayor posterior. Las herramientas de análisis estático pueden detectar las variantes más comunes, pero una prueba de intercambio pequeña sigue siendo la única comprobación totalmente fiable.
La tercera trampa es el soft rug, donde el contrato no es malicioso en sentido técnico, pero el equipo simplemente lo abandona. La liquidez se drena poco a poco a través de funciones administrativas legítimas, los canales sociales del proyecto se quedan en silencio y los titulares se quedan con un token que solo cotiza contra un fondo que desaparece. No hay un fallo explotable que encontrar aquí, por lo que las señales humanas (reputación del desplegador, transparencia del equipo, liquidez bloqueada) importan tanto como las comprobaciones a nivel de código.
Por último, está la variante de envenenamiento de dirección, en la que un estafador te envía una transferencia pequeña desde una dirección que parece una que ya has usado, con la esperanza de que copies la equivocada desde tu historial de transacciones. Esto no implica directamente al token que estás a punto de comprar, pero recuerda que el propio portapapeles es una superficie de ataque. Cada vez que estés a punto de pegar una dirección de contrato, ve despacio y lee la cadena completa carácter por carácter.
El flujo de verificación de cinco minutos, paso a paso
Los mismos cinco pasos funcionan para prácticamente cualquier token en cualquier cadena EVM y en Solana, con solo el cambio de los nombres de las herramientas. Trata esto como una lista de comprobación que ejecutas con cada token nuevo, cada vez, sin importar cómo te haya llegado la dirección.
Paso 1: Obtén la dirección desde el sitio web real del proyecto
Abre una pestaña nueva del navegador y escribe el nombre del proyecto directamente en la barra de direcciones, o sigue un enlace de confianza, como un marcador que guardaste antes o un mensaje fijado en el Discord verificado del proyecto. No hagas clic en un anuncio de Google. No hagas clic en un enlace de un resultado de búsqueda a menos que hayas confirmado por tu cuenta que el dominio es el real. Los estafadores compran habitualmente el primer espacio patrocinado para nombres de tokens populares, y la página de destino es un clon idéntico al sitio real con un único cambio: una dirección de contrato diferente.
Una vez que estés en el sitio real, busca una sección explícita de dirección de contrato. Los proyectos reputados publican su contrato en una página dedicada, a menudo con un botón de copiar y una advertencia de que esta es la única dirección que publicarán jamás. Compara la misma dirección en dos lugares, por ejemplo la página de documentación del proyecto y su cuenta oficial de X, antes de confiar en ella. Si las dos fuentes no coinciden, trata ambas como sospechosas y pregunta en el canal comunitario verificado del proyecto.
Paso 2: Pega la dirección en un explorador de bloques
Para un token EVM, pega la dirección en Etherscan, BscScan, PolygonScan o en el explorador de la cadena en la que el proyecto asegura vivir. Para un token de Solana, usa Solscan. Lo primero que hay que comprobar son los aspectos básicos: ¿existe el contrato?, ¿cuándo se desplegó?, ¿cuál es la wallet del desplegador? y ¿qué nombre y símbolo de token reporta el contrato?
La fecha de despliegue es un filtro muy potente. Si el proyecto lleva meses en marcha, tiene un Discord con miles de miembros y el contrato se desplegó ayer, algo va mal. Del mismo modo, compara el nombre y el símbolo del token que muestra el explorador con lo que anuncia el proyecto. Los estafadores suelen usar caracteres Unicode visualmente parecidos, como una а cirílica en lugar de una a latina, para colarse en una revisión rápida. La vista de texto plano del explorador muestra los caracteres reales.
Paso 3: Inspecciona la wallet del desplegador
Haz clic en la dirección del desplegador en el explorador. Si la wallet ha desplegado docenas de tokens, varios de los cuales ya han sido marcados como estafas en sitios comunitarios, el proyecto que tienes delante es probablemente el siguiente de la serie. Un equipo legítimo con un proyecto serio desplegará desde una wallet nueva y la publicará como la wallet oficial del desplegador, o desplegará desde una wallet con un largo historial vinculado a miembros públicos del equipo. Un desplegador anónimo con una alta velocidad de lanzamientos con poca liquidez es la firma de un estafador en serie.
Paso 4: Pasa la dirección por escáneres de honeypot y de riesgo
Copia la dirección del contrato y pégala en TokenSniffer, GoPlus, De.Fi Shield y en el panel de simulación de operaciones de DexScreener. Cada herramienta analiza el contrato desde un ángulo ligeramente diferente. TokenSniffer se centra en patrones del código fuente y en la similitud con estafas históricas. GoPlus realiza un análisis en vivo de los impuestos de transferencia, las funciones de lista negra y la renuncia de la propiedad. La pestaña de simulación de DexScreener intenta una compra y una venta simuladas contra la liquidez actual, para que puedas ver de antemano si la venta se revertirá o se llevará la mayor parte de tu inversión en comisiones.
Lee los resultados como una lista de comprobación. Una única advertencia no es necesariamente fatal: muchos proyectos legítimos cobran un pequeño impuesto de transferencia, y algunos no renuncian a la propiedad porque la necesitan para gestionar el pool de liquidez. Lo que buscas es un patrón. Un impuesto por encima del veinte por ciento, una función de lista negra que apunte a los principales holders, una función exclusiva del propietario que pueda pausar todas las transferencias y una llamada externa dentro de la lógica de transferencia que envíe tokens a una wallet no relacionada son la combinación que dice aléjate.
Paso 5: Haz un swap de prueba con una cantidad pequeña antes de aumentar el tamaño
Incluso después de todo lo anterior, haz tu primera operación pequeña. Cinco dólares bastan para saber si el contrato te deja vender de vuelta, si el impacto en el precio es razonable y si los tokens realmente llegan a tu wallet. Si la venta de prueba funciona y las cifras coinciden con lo que predijeron el explorador y el escáner, puedes escalar a una posición mayor en una segunda transacción. Si algo no encaja, has perdido cinco dólares y has aprendido una lección, no cinco mil dólares sin haber aprendido nada.
Lo que significa realmente "verificado" en un explorador de bloques
Uno de los errores más comunes de los principiantes es tratar la marca de verificación verde en Etherscan como un aval de seguridad. No lo es. La insignia de código verificado en Etherscan solo significa que el código fuente del contrato se ha subido y coincide con el bytecode desplegado. No significa que el código esté bien escrito, auditado o que sea honesto.
Hay multitud de contratos verificados que contienen lógica de honeypot explícita y legible. El propietario puede llamar a una función que fija el impuesto global de venta en el cien por cien, y mientras esa función esté en el código fuente verificado, la insignia seguirá verde. La verificación es una herramienta de transparencia, no una certificación de seguridad. Trátala como el suelo de la diligencia debida, no como el techo.
Para proyectos con más en juego, profundiza un nivel más. Una auditoría real de una firma reputada (Certik, Trail of Bits, OpenZeppelin, Spearbit) es una señal más sólida, pero incluso las auditorías no son garantía. Las auditorías son revisiones de un momento concreto, y el equipo puede desplegar un contrato nuevo y no auditado después de que la auditoría haya terminado. Los proyectos más creíbles publican el informe de auditoría, el hash del commit revisado y un programa de recompensas por errores con fondos todavía disponibles.
Cómo funcionan las mismas comprobaciones en Solana
Los tokens de Solana viven en un modelo de programa diferente, pero el flujo de verificación es estructuralmente idéntico. Pega la dirección de mint en Solscan, comprueba la fecha de despliegue y la autoridad de actualización, y luego pasa el mint por RugCheck, un escáner de honeypot creado por la comunidad que analiza las extensiones del token, la autoridad de congelación, la autoridad de mint y la concentración de holders. Las dos señales que más importan en Solana son la autoridad de congelación y la autoridad de mint. Si alguna sigue activa y en manos de una sola wallet, esa wallet puede congelar tu saldo o acuñar nuevo suministro y diluirte. Un proyecto serio renunciará a ambas autoridades o las cederá a un multisig con una lista pública de firmantes.
Para la liquidez, Birdeye y DexScreener muestran la profundidad del pool y el porcentaje del suministro en manos de los diez principales holders. Un token en el que el noventa por ciento del suministro está en una sola wallet, y el resto de holders se reparten el diez por ciento restante, está a estructuralmente una transacción de un rug. El gráfico de distribución de holders en Solscan vale los diez segundos que lleva leerlo.
Un ejemplo práctico: detectar un $WIF falso
Imagina que ves $WIF en tendencia en un feed social y quieres comprar algo. El token real de dogwifhat se lanzó en Solana a finales de 2023 y tiene una dirección de mint publicada en los canales oficiales del proyecto. Un estafador, en cambio, ha desplegado un nuevo mint llamado $WIF con autoridad de congelación, un impuesto de venta del cien por cien y una wallet de despliegue que ya ha lanzado otros tres tokens, todos los cuales hicieron rug en menos de cuarenta y ocho horas.
El paso uno detectaría el cambio si la地址 viniera del lugar equivocado. Buscar en Google y hacer clic en el primer enlace patrocinado te llevaría a un sitio clonado que muestra el mint del estafador. Ir al sitio real de dogwifhat, o al post fijado del proyecto en X, te habría dado el mint real, y los dos no coincidirían.
Si hubieras ido directamente a DexScreener y hubieras buscado $WIF sin una dirección, el listado habría mostrado múltiples pares y el nuevo mint se habría visto claramente recién creado con un pool diminuto. Al seleccionarlo se habría revelado la wallet del desplegador, que en Solscan mostraría una ristra de lanzamientos idénticos. Pasar el mint por RugCheck habría marcado la autoridad de congelación y la concentración sospechosa de los principales holders. Hacer un swap de prueba con unos pocos dólares habría revertido la venta o habría enviado silenciosamente la mayor parte de la inversión a una wallet que no reconoces.
Cualquiera de esas comprobaciones habría salvado la operación. Combinadas, son muy difíciles de fallar. El patrón es lo importante: una señal puede ser ruido, pero un desplegador con historial, una autoridad de congelación, un mint de un día y una venta que revierte silenciosamente no son cuatro observaciones independientes. Son la misma historia contada de cuatro maneras distintas.
Convertir esto en un hábito repetible
La verificación no es una habilidad de una sola vez. Cada trimestre aparecen nuevas cadenas, nuevos patrones de estafa y nuevas herramientas de detección, y el flujo de verificación tiene que evolucionar con ellas. Un hábito práctico es mantener una única nota en tu teléfono con las URL de los exploradores y escáneres en los que confías, marcadas con la cadena ya en la ruta, para poder abrirlos con dos toques sin necesidad de buscar. La fricción de un flujo limpio y con marcadores es lo que te impide recortar pasos en una operación que se siente urgente.
También ayuda presupuestar una cantidad fija de tiempo, digamos cinco minutos, como el coste de entrada para cualquier token nuevo. Las mejores oportunidades seguirán ahí en cinco minutos. Las malas, por definición, son las que te presionan para saltarte la comprobación. Si un contacto de Telegram dice que el contrato va a ser listado en un exchange importante y tienes que comprar en los próximos sesenta segundos, esa es una señal de venta más fuerte que cualquier gráfico.
Cómo seguir los lanzamientos de nuevos tokens de forma inteligente
Cada minuto se lanzan nuevos tokens en Ethereum, Solana, BNB Chain, Base y una creciente lista de L2, y los titulares a su alrededor son aún más ruidosos que los propios lanzamientos. La pregunta interesante no es qué token es tendencia, sino qué dirección de contrato detrás de esa tendencia es la real y cuál es una copia. Zippfeed presenta noticias de lanzamientos de tokens con puntuación de sentimiento (alcista, neutral o bajista) y una calificación de importancia, para que puedas ver la historia, la huella on-chain y el estado de ánimo del público en una sola vista antes de abrir tu wallet.