Cargando precios…

Cómo verificar el contrato de un token antes de comprar

Los honeypots, las estafas copiadas y los mints ocultos siguen vaciando monederos. Esta es la lista de comprobación exacta que la mayoría de traders se salta, y donde realmente falla.

Cómo verificar el contrato de un token antes de comprar

Por qué verificar el token importa más que leer gráficos

La mayoría de las personas que pierden dinero con un token nuevo no malinterpretaron el gráfico. Compraron el token equivocado. Los buscadores, los grupos de Telegram y los bots de respuestas están inundados de tickers similares, y un solo carácter incorrecto en una dirección pegada envía los fondos a un contrato del que el comprador nunca podrá vender. El patrón es tan común que las firmas de análisis on-chain ya lo etiquetan como la mayor categoría de pérdidas de inversores minoristas en 2024 y 2025, por delante de las liquidaciones y por delante de las órdenes limitadas fallidas.

La buena noticia es que la verificación no requiere experiencia en seguridad. Requiere paciencia y disposición para saltarse una operación cuando una comprobación falla. La mala noticia es que cada paso tiene un modo de fallo real, y saltarse cualquiera deja un hueco que un atacante estará encantado de aprovechar. La lista de abajo es el mínimo que los traders experimentados de DEX realmente aplican, en el orden en que lo aplican.

Qué puede salir mal: el panorama de riesgos antes de empezar

Hay cuatro tipos de estafa que una lista de verificación está diseñada para detectar, y una quinta que ninguna lista detecta. Conocer la diferencia es lo que separa a un comprador casual de alguien que conserva sus fondos.

La estafa del copia y pega. Se despliega un token con el mismo nombre y ticker que un proyecto legítimo horas antes de un lanzamiento muy promocionado. La dirección se publica en respuestas, en Telegram y en anuncios de búsqueda pagados. La compra funciona, el precio se mueve durante diez minutos y luego las ventas se revierten. El contrato es un honeypot, la liquidez pertenece a una sola dirección y el desplegador tiene un largo historial de rugs idénticos.

El contrato con mint oculto. Un token se lanza con un suministro justo, funciona durante unas semanas y el equipo acuña un lote enorme nuevo en el momento en que el volumen se dispara. Los nuevos tokens llegan al pool, el precio colapsa a cero y los tenedores originales descubren que el equipo puede imprimir suministro a voluntad. El contrato tenía una función de mint desde el principio; nadie leyó el código fuente.

El dump con la cartera del equipo bloqueada. Un token se lanza con los tokens del equipo bloqueados en un contrato de vesting. El proveedor del bloqueo se ve comprometido, o el desbloqueo es un multisig que controla el equipo, o se leyó mal la fecha de desbloqueo. El equipo vende en el primer repunte real y el gráfico nunca se recupera.

El desplegador comprometido. Un proyecto legítimo se lanza, coge tracción y la hot wallet de un miembro del equipo sufre phishing. El atacante usa sus privilegios de desplegador para llamar a funciones sensibles, a menudo pausando la operativa, cambiando comisiones o retirando liquidez. El contrato es exactamente lo que el equipo escribió; nunca fue seguro confiar en una hot key.

Lo que ninguna lista detecta: un equipo honesto que simplemente se queda sin dinero, es presionado por los market makers o decide dejar de mantener el proyecto. La verificación te protege del contrato. No te protege de un mal negocio.

Paso 1: obtén la dirección desde la fuente oficial del proyecto

La primera regla de la verificación de contratos es que no se verifica un contrato hasta tener una dirección fiable contra la que verificar. Los resultados de búsqueda, las respuestas en X, los mensajes fijados en Telegram y los anuncios de Discord de cualquier persona que no sea miembro del equipo principal no son fuentes fiables, porque pueden editarse, suplantarse o comprarse. La dirección con la que empieces debe proceder de uno de estos tres lugares: la web principal del proyecto, un dominio que el equipo controle desde antes del lanzamiento del token, o una página de explorador de bloques a la que el equipo enlace desde ese dominio.

Abre la web del proyecto en una pestaña nueva. Escribe el dominio a mano, no sigas un enlace. Busca una página de 'token', 'contrato' o 'comercio'. La dirección que allí aparezca es tu punto de partida. Si la web no muestra una dirección de contrato, eso ya es una señal de alerta: los proyectos legítimos casi siempre colocan la dirección en algún sitio visible. Si el único lugar donde aparece un contrato es un anuncio de búsqueda, trata todo el proyecto como sospechoso.

Una vez tengas la dirección, cópiala con cuidado. Cada dirección estilo Ethereum tiene 42 caracteres y empieza por 0x. Un solo carácter equivocado envía la transacción a un contrato que probablemente devolverá un error, pero una errata que caiga en un contrato real controlado por un atacante desviará tus fondos directamente a un ladrón. Muchos monederos ya avisan ante contratos desconocidos, pero el aviso se dispara después de que firmes, no antes. Considera tus propios ojos como la primera línea de defensa.

Paso 2: lee la página del contrato en un explorador de bloques

Lleva la dirección a Etherscan, BscScan, Solscan o al explorador que corresponda a la cadena. La página del contrato es donde ocurre la primera ronda de verificación real. Buscas cinco cosas, y que falle cualquiera de ellas es motivo suficiente para irse.

Estado del contrato. La pestaña debe decir 'Contract' en lugar de solo 'Address'. Si no es un contrato, el activo no es el tipo de token que se puede negociar en un DEX estándar. Algunas cadenas y algunas plataformas de lanzamiento usan implementaciones no estándar que no interactuarán con el agregador que piensas usar.

Código fuente verificado. La pestaña del contrato debe mostrar una marca verde y la etiqueta 'Contract Source Code Verified'. Verificado significa que quien desplegó el contrato publicó el código fuente y el bytecode coincide. No verificado no equivale automáticamente a estafa, pero significa que no puedes leer lo que hace el código, y el resto de esta lista depende de poder leerlo.

Wallet del desplegador. Abre la dirección del desplegador. Revisa su historial. ¿Ha desplegado este monedero otros diez tokens, y todos ruggeron? ¿Ha desplegado un centenar de contratos copiando y pegando? ¿Nunca había desplegado un contrato antes? Cualquiera de los tres casos es una señal de alerta. Un equipo que saca adelante un proyecto serio suele tener un desplegador con un número reducido de contratos, a menudo vinculados a multisigs conocidos o a fábricas de despliegue como helpers de Create2.

Fecha y antigüedad del despliegue. Un contrato desplegado el mismo día en que se está promocionando es una señal de alto riesgo. Los contratos más antiguos con historial en cadena no son seguros por defecto, pero la ausencia de historial es una advertencia importante.

Estándares del token y decimales. Confirma que el token es ERC-20 (o el equivalente en la cadena de destino), confirma que los decimales coinciden con los que indica el proyecto y confirma que el suministro total coincide con las cifras publicadas. Un token que opera en silencio con 9 decimales en lugar de 18 cotizará precios 1.000.000.000 veces más altos de lo que deberían, y varios tokens scam han usado este truco para hacer que una microcapitalización parezca una ganga.

Paso 3: simula una venta con un detector de honeypot

Una vez que la página del contrato parece limpia, la siguiente comprobación es si realmente puedes vender. Muchos contratos scam aceptan compras y rechazan ventas, o aplican un impuesto abusivo a la salida, o dependen de una función de blacklist que el equipo puede activar en la primera venta. Nada de esto es visible en Etherscan. Hay que intentar la venta en un entorno aislado.

Herramientas como honeypot.is, token-sniffer y el escáner de de.fi ejecutan una compra y una venta simuladas contra el contrato en vivo y devuelven el resultado. Pega la dirección del contrato, ejecuta la simulación y busca tres resultados: una venta simulada exitosa con un impuesto razonable (a menudo del 0 al 5 por ciento), un impuesto parcial que coincida con lo que el proyecto declara, o una reversión en la venta. Una reversión es un honeypot. Aléjate.

Los simuladores de honeypot son útiles, pero sus límites importan. Ejecutan una única transacción de prueba contra el estado actual del contrato. Un contrato que pasa hoy puede actualizarse mañana mediante una clave de administrador, el equipo puede activar una blacklist justo antes de la primera venta real, y el contrato puede incluir lógica basada en tiempo que solo se active con volumen real. Trata el simulador como un filtro, no como una garantía. Un aprobado te dice que el contrato no es un honeypot de manual. No te dice que sea seguro.

Paso 4: revisa los principales holders y el suministro desbloqueado

Incluso un contrato honesto puede estar dirigido por un equipo que posee la mayor parte del suministro y lo descarga sobre los primeros compradores reales. El análisis de holders detecta esto de un modo que el contrato por sí solo no puede. En el explorador, abre la pestaña 'Holders' y observa tres cifras: la cuota del suministro del mayor holder, la cuota combinada de los diez mayores holders y la cuota del resto del mercado.

Para la mayoría de tokens, los diez mayores no deberían controlar más del 30 al 40 por ciento del suministro una vez excluidos el pool de liquidez, la dirección de quema y las direcciones de contrato que claramente correspondan a vesting. Si el mayor monedero controla por sí solo el 20 por ciento o más y no es un contrato de vesting conocido, estás ante un único punto de fallo. Si los diez mayores controlan en conjunto más del 60 por ciento, el mercado está a una venta coordinada de valer cero.

Después observa la parte desbloqueada. Un token puede tener sobre el papel una distribución de holders saludable y aun así ser una trampa, porque el equipo guarda el resto en un contrato que se desbloquea en 30 días. Cruza los principales holders con el vesting publicado por el proyecto. Si el vesting dice 12 meses y el desbloqueo se dispara en 30 días, las cuentas han cambiado y probablemente el gráfico también. Los desbloqueos de tokens y los datos de vesting son entradas clave en el modelo de sentimiento de Zipp, ya que un desbloqueo programado cambia la historia de suministro incluso cuando el precio parece estable.

Paso 5: revisa el pool de liquidez, el bloqueo y los tenedores de tokens LP

El contrato en sí es solo la mitad de la historia. La otra mitad es la liquidez que permite que el token se negocie. En la página del DEX, revisa tres cosas: cuánta liquidez hay en el pool, quién la aportó y si los tokens LP están bloqueados.

El tamaño de la liquidez es el suelo de lo que se puede perder. Un pool con unos pocos miles de dólares en liquidez es un blanco para una sola operación, y una sola operación es todo lo que un atacante necesita para tirar de la manta. La mayoría de los traders con experiencia tratan cualquier cosa por debajo de unos 50.000 dólares en liquidez primaria como efectivamente inoperable para su tamaño.

Quién aportó la liquidez importa porque el equipo puede retirarla. Si el LP fue añadido por un único monedero y los tokens LP no están bloqueados, el equipo puede retirar todo el pool en una sola transacción. Si el LP fue añadido por un bloqueador conocido, entra en la página del bloqueador y confirma que el bloqueo es por el monto total, que el beneficiario es correcto y que la fecha de desbloqueo es lo suficientemente lejana en el futuro como para cubrir tu periodo de tenencia esperado. La estafa blanda más común es un token que parece bloqueado y luego se desbloquea silenciosamente 24 horas después del lanzamiento.

Por último, mira a los tenedores de tokens LP. Un pool donde los tokens LP están en manos de una única dirección, la dirección del desplegador o un contrato que controla el desplegador, es un pool que puede ser vaciado. Un pool donde el LP está repartido entre muchos tenedores es más difícil de atacar, pero un atacante decidido con suficiente LP aún puede votar para migrar el pool a una implementación maliciosa. El espacio es hostil y las comprobaciones tienen que escalar con el tamaño de la operación.

Paso 6: contrarreferencia señales sociales y observa el contexto

Los datos del contrato te dicen qué hace el código y cómo es la distribución en cadena. No te dicen quién habla del token, por qué habla de él y si las cuentas que lo promocionan son reales. Una pequeña cantidad de contexto social detecta una clase de estafas que las comprobaciones del contrato pasan por alto.

Mira las cuentas que mencionaron por primera vez la dirección del contrato. ¿Son cuentas nuevas o cuentas activas desde hace años? ¿Son humanos publicando en contexto o son cuentas que solo publican un ticker y una dirección de contrato? ¿La discusión es orgánica, con desacuerdos y preguntas, o es un elogio unilateral? La promoción coordinada no es prueba de estafa, pero la ausencia de rechazo orgánico es motivo para frenar.

Busca análisis de riesgo independientes. Si analistas respetados o firmas de seguridad han señalado el contrato, las alertas son fáciles de encontrar buscando la dirección del contrato entre comillas. Si encuentras una publicación negativa que mencione preocupaciones concretas, dale peso. El trader minorista que perdió dinero rara vez es la primera persona en notar el problema.

Por último, haz la comprobación básica de que los canales oficiales sean realmente los canales oficiales. Un proyecto con una comunidad real tiene un largo historial de publicaciones en su propio Discord, su propia cuenta de X y su propio Telegram. Una estafa a menudo tiene un usuario de X recién creado, un Telegram con pocos seguidores y un sitio web registrado en las últimas dos semanas. El contrato en cadena puede tener un año, pero el equipo y la comunidad pueden ser completamente nuevos. Verifica ambos.

Lo que las comprobaciones de contrato no pueden detectar

Vale la pena ser honesto sobre los límites de cada paso anterior. La verificación es un filtro, no una garantía. Las clases de fallos que se cuelan son reales y han costado dinero real.

Actualizaciones tras el lanzamiento. Muchos contratos son actualizables, lo que significa que el equipo puede enviar lógica nueva en cualquier momento. Un contrato que es seguro hoy puede convertirse en un honeypot mañana. La única mitigación es comprar tokens que sean explícitamente no actualizables, o aceptar el riesgo de que un proyecto que envía actualizaciones te está pidiendo que confíes en el equipo con las llaves.

Llaves comprometidas. Un equipo con un multisig y monederos hardware aun puede ser víctima de phishing. Una tesorería aun puede ser vaciada. El contrato es exactamente lo que el equipo escribió, y el equipo es exactamente quien dice ser, y los fondos aun desaparecen. Por eso la centralización es en sí misma un factor de riesgo, independiente del código del contrato.

Riesgo de mercado. Incluso un token que pasa todas las comprobaciones puede ir a cero porque el mercado no lo quiere. La verificación te protege de una estafa. No te protege de una mala operación.

Cómo seguir los lanzamientos de tokens de forma inteligente

Los lanzamientos de tokens se mueven rápido y las noticias sobre ellos también. Seguir qué contratos son seguros, cuáles se están promocionando y cuáles están siendo señalados es un trabajo a tiempo completo si lo haces manualmente, y un trabajo perdido si intentas mantener el ritmo desde tu móvil. Zippfeed muestra titulares relacionados con tokens con puntuación de sentimiento (bullish, neutral o bearish) y una calificación de importancia, para que puedas detectar los lanzamientos que están recibiendo atención real y los que están siendo bombeados por un puñado de cuentas. Combina ese flujo con la lista de verificación de arriba y tendrás una forma más rápida de decidir qué contratos valen el tiempo que lleva ejecutar las comprobaciones.

Preguntas frecuentes

¿Es seguro comprar un token que pasa un simulador de honeypot?
Una aprobación significa que el contrato no es un honeypot de manual ahora mismo. No significa que el token sea seguro. El simulador ejecuta una única transacción de prueba sobre el estado actual, por lo que pasa por alto actualizaciones tras el lanzamiento, listas negras controladas por el admin y lógica basada en tiempo que se activa con volumen real. Trata una aprobación como un filtro más entre muchos y nunca compres solo con los datos del simulador.
¿Cómo encuentro la dirección real del contrato de un token?
Consíguela en el sitio web oficial del proyecto, escrita a mano y no haciendo clic en un resultado de búsqueda. Si la dirección aparece solo en respuestas, pines de Telegram o anuncios de pago, asume que es un suplantador. La dirección del contrato también suele coincidir con la vinculada a las cuentas verificadas del proyecto, que puedes cruzar buscando la dirección entre comillas en un buscador.
¿Debería comprar un token si los diez principales holders poseen el 50 por ciento del suministro?
Probablemente no, a menos que esos holders sean claramente contratos de vesting identificados con desbloqueos lejanos. Una concentración en el top diez por encima de un 50 por ciento, aproximadamente, significa que un pequeño grupo puede mover el precio por sí mismo y el riesgo de dump insider es alto. Para la mayoría de tokens, un rango más sano es del 30 al 40 por ciento en el top diez una vez excluidos el pool de liquidez y la dirección de quema.
¿Puede un contrato parecer verificado en Etherscan y aun así ser una estafa?
Sí. Que el código fuente esté verificado solo significa que el bytecode on-chain coincide con el código que publicó el desplegador, no que el código sea honesto. Un contrato puede ser un honeypot verificado, una función de mint verificada o un hook de upgrade verificado. Revisa el código en busca de funciones de admin, funciones de mint, funciones de blacklist y lógica de comisiones, y combina esa lectura con la simulación de honeypot, la revisión de holders y la comprobación de bloqueo de liquidez descritas arriba.