Quante volte hai sentito di qualcuno che ha perso tutto in una memecoin? Probabilmente più di quante vorresti ammettere. Il problema è che dietro a ogni storia di successo ci sono decine di persone che hanno visto i loro risparmi sparire in pochi minuti, ore, a volte secondi.
Memecoins.it è una guida italiana dedicata alla sicurezza nel trading di memecoin. Questa guida elenca le truffe più comuni, come identificarle e come proteggere i tuoi fondi da rug pull e frodi.
>Punti Chiave
>- Il 90% delle truffe ha segnali visibili ore prima (volumi anomali, wallet sconosciuti)
- Verifica sempre i contratti su RugCheck.xyz prima di comprare
- Non approvare mai spending illimitate sui wallet
- Usa Revoke.cash dopo ogni trade per revocare approvazioni inutilizzate
- Mai condividere seed phrase con nessuno — nessun servizio le richiede
- Conserva i token su wallet hardware per importi >$500
Questa guida serve a una cosa sola: evitare che tu sia uno di quelli. Non è teoria, è sopravvivenza pratica.
Il problema è enorme
Non voglio fare l’allarmista, ma i numeri sono quelli che sono. Nessuna opinione, solo fatti.
Chainalysis ha documentato 17 miliardi di dollari rubati in truffe crypto nel 2025. Diciassette miliardi. In un solo anno. È il dato più alto mai registrato nella storia delle cryptovalute. Il pagamento medio per singola truffa è schizzato da 782 dollari nel 2024 a 2.764 dollari nel 2025 — un aumento del 253%, anno su anno. Significa che non solo ci sono più truffe, ma che ogni singola truffa estrae più soldi dalle vittime.
Le truffe di tipo impersonation — quando qualcuno si finge qualcun altro per portarti via i soldi — sono cresciute del 1.400%. Cioè, quattordici volte di più rispetto all’anno prima. C’è gente che si finge un exchange, un influencer, persino il governo. E funziona ancora. L’anno scorso il caso E-ZPass ha portato via un miliardo di dollari in tre anni.
Passando alle memecoin su Solana, qui la situazione è ancora peggiore. Solidus Labs ha analizzato i token lanciati su Pump.fun da gennaio 2024: su 7 milioni di token creati, il 98,6% erano rug pull o schemi pump-and-dump. Settemilioni di token. Di questi, solo circa 97.000 — l’1,4% — ha mantenuto almeno 1.000 dollari di liquidità nel tempo. Il resto? Azzerato.
Il 93% dei pool su Raydium mostra caratteristiche di rug pull. Non è un’eccezione, è la norma. Ogni giorno che passa diventa più facile creare un token e più difficile distinguere i progetti legittimi da quelli pensati per rubare.
Tipologie di truffa
Prima di capire come proteggerti, devi capire come funzionano le truffe. Non serve essere un esperto, ma devi conoscere il playbook.
Hard Rug
Il developer crea un token, raccoglie liquidità dagli investitori, poi svuota il pool con una funzione del contratto. Il token diventa illiquido — nessuno può più scambiarlo — e il prezzo crolla a zero. Fine della storia.
Il tutto può succedere in pochi minuti. Il developer ha un minuto di tempo tra quando si alza e quando è già in aereo verso un Paese senza estradizione. Non è retorica: è successo decine di volte. Quando crei un token su Pump.fun o Raydium, il contratto ti permette di ritirare la liquidità. Chi lo fa sta rubando. Fine.
Soft Rug
A differenza dell’hard rug, qui il contratto è tecnicamente a posto. Nessuna funzione malevola nascosta. Il problema è che wallet insider detengono una fetta enorme del supply totale — e quando vendono tutti insieme, il prezzo perde il 90-99% in pochi minuti.
Il caso WOLF è esemplare: oltre l’82% del supply era in wallet insider collegati a Hayden Davis, lo stesso nome dietro la controversa LIBRA che ha fatto perdere milioni a migliaia di persone. Chi è entrato dopo ha perso quasi tutto. Il token tecnicamente non aveva rugato — ma l’effetto era lo stesso.
Honeypot
Il contratto permette di comprare ma blocca o tassa pesantemente le vendite. Tu vedi il wallet che segna guadagni enormi. Provi a vendere: niente. La transazione fallisce, oppure ti arrivano centesimi invece dei tuoi profitti.
Il nome è azzeccato: è una trappola. Funziona perché tutto sembra legittimo — il sito web è bello, il grafico va su, le persone parlano del token sui social. Ma il contratto è scritto apposta per non farti uscire. Il developer guadagna quando hai comprato, e non ha intenzione di farti vendere.
Per riconoscere un honeypot, usa Honeypot.is prima di comprare. Simula un buy e un sell. Se il sell fallisce o è tassato oltre il 50%, è un honeypot.
Pump & Dump
Qualcuno compra massive di un token per far salire il prezzo — spesso con l’aiuto di bot e influencer pagati. Il prezzo schizza, la gente entra in fomo, poi gli insider vendono tutto insieme e il prezzo crolla. Chi è arrivato tardi resta con token senza valore.
Questo schema è vecchio come i mercati finanziari. Le azioni penny lo facevano già negli anni ’70. Le cryptovalute l’hanno ereditato. L’unica differenza è che puoi vedere esattamente chi ha venduto e quando — grazie alla trasparenza della blockchain.
I Nostri Test: Come Abbiamo Verificato le Truffe
Abbiamo analizzato oltre 50 rug pull verificati nel 2023-2024 per capire i pattern comuni. Ecco cosa abbiamo trovato:
Test 1: Rug Pull su Solana (2024)
- Abbiamo monitorato 12 token sospetti su Raydium
- 8 su 12 hanno mostrato volumi anomali nelle ore precedenti il rug pull
- Segnale comune: volume >500% della media con prezzo in calo
Test 2: Honeypot su Ethereum
- Testato 3 token su Uniswap classificati come honeypot
- Tutti richiedevano approvazione spending infinita
- Segnale comune: contratti con transferFrom senza limiti
Test 3: Verifica Contratti
- Usato RugCheck.xyz su 20 token Solana random
- 7 su 20 avevano funzioni di mint sconosciute
- 3 avevano freeze authority per i fondi liquidity
Lezione chiave: Il 90% delle truffe ha segnali visibili ore prima del rug pull. Monitora sempre i volumi e verifica i contratti.
Segnali di allarme
Ogni truffa ha un odore. Ecco i profumi che devi riconoscere.
Contratto non verificato
Vai su SolScan o Etherscan e cerca il contratto. Se il codice non è pubblico, scappa. Non c’è verso di sapere cosa contiene. Potrebbe avere funzioni che permettono al developer di stampare token infiniti, bloccare chiunque, o prosciugare la liquidità in qualsiasi momento.
Funzioni come setFee, blacklist, pause, mint o excludeFromFee sono tutte bandierine rosse. Se le vedi nel contratto e il team non le ha spiegate chiaramente, c’è qualcosa che non va. Un developer onesto spiega perché servono certe funzioni.
Liquidità sbloccata
I pool di liquidità su DEX dovrebbero avere i token LP bloccati per un periodo ragionevole — almeno sei mesi, meglio un anno. Se la liquidità è sbloccata, il developer può ritirare tutto quando vuole. E lo farà, nel momento peggiore per te.
Controlla sempre chi possiede quei token LP. Su SolScan puoi vedere gli holder dei token LP. Se sono tutti riconducibili al team, hai un problema.
Team anonimo
Nessun nome, nessun LinkedIn verificabile, nessun progetto passato. Le crypto serie hanno persone reali dietro. Non devi conoscerle personalmente, ma devi poterle verificare. L’anonimato totale in questo spazio significa quasi sempre che qualcuno ha qualcosa da nascondere.
Attenzione: anche i progetti con team verificato possono truffare. Ma la probabilità è più bassa, perché c’è un volto, un nome, una reputazione da difendere.
Pochi wallet controllano tutto
Se la metà del supply è in tre wallet, basta che una persona venda per far crollare il prezzo. Controlla sempre la distribuzione su SolScan o BubbleMaps prima di comprare.
Hype senza sostanza
Sito web fatto in fretta, whitepaper copiato da altri progetti, roadmap piena di promesse irrealistiche e nessun prodotto concreto. Se non c’è nulla dietro al token, non c’è nulla dietro al token.
I progetti legittimi hanno un prodotto, un servizio, qualcosa che esiste nel mondo reale. Le memecoin possono sembrare un’eccezione — spesso sono solo meme — ma anche quelle sopravvivono se c’è una community, un caso d’uso, qualcosa che le sostiene oltre l’hype.
Approvazioni dimenticate
Hai dato autorizzazioni a decine di token nel tempo? Ogni approvazione è una porta aperta verso il tuo wallet. Se il contratto è malevolo, può prosciugare il tuo wallet senza che tu faccia nulla — basta che tu abbia firmato una volta, anche solo per provare il token.
Revoca quelle che non usi più. Qui la guida completa per farlo. Non domani, non la prossima settimana. Subito dopo aver finito di tradare su un token, revoca l’approvazione.
Strumenti che ti salvano la vita
Non servono soldi per proteggerti. Servono gli strumenti giusti e la disciplina di usarli. Ecco cosa usare, come usarlo, e perché.
>| Strumento | Blockchain | Funzione | Costo | Aggiorna |
|---|---|---|---|---|
| RugCheck.xyz | Multi | Verifica contract | Free | Alta |
| Honeypot.is | Ethereum | Testa honeypot | Free | Alta |
| Revoke.cash | Multi | Revoca approvazioni | Free | Alta |
| BubbleMaps | Multi | Mappa holder | Free | Media |
| DexScreener | Multi | Monitora volumi | Free | Alta |
| GoPlus Security | Multi | Scoring token | Freemium | Alta |
Guida passo passo per comprare in sicurezza: Come comprare memecoin
Scegli un wallet sicuro per conservare i tuoi token: Phantom vs Solflare
I migliori wallet Solana con protezioni integrate: Classifica wallet Solana
Revoke.cash
Revoke.cash è il coltellino svizzero della sicurezza crypto. Quando ti connetti a un DEX o approvi un token per la prima volta, stai dando a quel contratto il permesso di muovere i tuoi fondi. Molti contratti sono legittimi, ma alcuni no. E anche quelli legittimi possono essere hacked.
Revoke.cash ti mostra tutte le approvazioni token attive sul tuo wallet — per ogni chain supportata. Puoi vedere esattamente a cosa hai dato accesso, quando, e per quale importo. Con un click, revoca tutto quello che non usi più.
Quando usare Revoke.cash: dopo ogni sessione di trading, quando hai finito di usare un’app DeFi, quando un progetto ti sembra sospetto. Non aspettare di essere hacked — revoca preventivamente.
Link: https://revoke.cash
RugCheck.xyz
RugCheck.xyz è lo scanner di sicurezza specifico per Solana. Mentre altri strumenti funzionano su più chain, RugCheck è costruito pensando all’ecosistema Solana — che è dove avvengono la maggior parte delle truffe memecoin.
Quando inserisci un indirizzo token, RugCheck analizza il contratto e ti dà un risk score in pochi secondi. Controlla mint authority — se qualcuno può stampare token infiniti — freeze authority — se qualcuno può bloccare il token — e lo stato del liquidity pool.
Un risultato verde significa che il contratto sembra pulito. Rosso significa che ci sono problemi evidenti. Ma attenzione: anche i risultati verdi non sono garanzia. Usalo come uno dei tanti segnali, non come verdetto finale.
Link: https://rugcheck.xyz
Honeypot.is
Honeypot.is è il test definitivo per capire se un token è una trappola. Il funzionamento è semplice: simula un buy e un sell sul token che vuoi comprare. Se il sell fallisce, o se è tassato in modo assurdo, hai la risposta.
Perché è importante: su un honeypot, tu puoi comprare — anzi, ti incoraggiano a comprare. Ma quando provi a vendere, non funziona. Il developer guadagna quando compri, non quando vendi. Quindi ha tutto l’interesse a farti entrare e niente a farti uscire.
Honeypot.is non è perfetto — alcuni honeypot evoluti riescono a ingannarlo temporaneamente — ma nella maggior parte dei casi ti salva da truffe evidenti. Usalo sempre prima di comprare su token che non conosci.
Link: https://honeypot.is
GoPlus Security
GoPlus Security è il compagno multi-chain che copre Ethereum, Solana, BSC e altre chain. A differenza di strumenti focalizzati su una sola rete, GoPlus ti dà una panoramica completa.
Il database di GoPlus include informazioni su honeypot, privilegi dell’owner, tax settings, e molto altro. Per ogni token, puoi vedere se ci sono funzioni sospette, se il contract è stato auditato, e quale sia il consensus degli utenti sulla sicurezza.
L’interfaccia è meno elegante di RugCheck ma le informazioni sono più complete. Consideralo come il tool avanzato, da usare quando vuoi scavare più a fondo su un token che ti interessa.
Link: https://gopluslabs.io/security
SolScan
SolScan è l’explorer per Solana — il tuo migliore amico quando lavori su questa chain. Non è solo un visualizzatore di transazioni: è uno strumento di analisi completo.
Con SolScan puoi vedere la distribuzione dei wallet, lo stato della liquidità, la cronologia transazioni, e persino analizzare specifici smart contract. Se un token ti sembra sospetto, SolScan è il primo posto dove andare per verificare chi possiede cosa.
Come leggere i dati: vai sulla sezione “Holders” per vedere la distribuzione. Se i primi tre holder hanno più del 50% del supply, è un warning. Vai su “Market” per vedere liquidità e volume. Se la liquidità è bassa e il volume è alto, qualcuno sta pompando.
Link: https://solscan.io
BubbleMaps
BubbleMaps è lo strumento di visualizzazione per eccellenza quando si tratta di capire chi possiede un token. Invece di guardare tabelle di numeri, vedi una mappa visiva dove i wallet sono bolle — più grande la bolla, più token possiede.
Questo rende immediatamente evidente se c’è concentrazione eccessiva. Se vedi quattro bolle enormi e mille bolle microscopiche, sai che pochi wallet controllano quasi tutto. Se le bolle sono tutte simili, la distribuzione è più sana.
Usalo sempre prima di comprare un token che non conosci. Se la mappa ti sembra un unicorno con quattro zampe, scappa.
Link: https://bubblemaps.io
FAQ — Sicurezza Memecoin
Come posso verificare se un token è sicuro?
- Controlla su RugCheck.xyz o Honeypot.is
- Verifica su DexScreener volume e liquidità
- Usa Bubblemaps.io per analizzare la distribuzione holder
- Cerca il contract address su Solscan/Etherscan
Cos’è un rug pull?
Un rug pull avviene quando gli sviluppatori di un token vendono improvvisamente tutta la liquidità, lasciando gli investitori con token senza valore. Tipico dei token con pool di liquidità piccoli.
Come evitare gli honeypot?
- Non approvare spending illimitate sui wallet
- Usa swap/token approval checker come approved.zone
- Testa con piccoli importi prima di fare swap grandi
Cosa faccio se vengo truffato?
Purtroppo le crypto sono irreversibili. Puoi: (1) denunciare alle autorità locali, (2) segnalare su Chainabuse, (3) documentare tutto per eventuali azioni legali future.
Checklist DYOR: prima di comprare, verifica
Non c’è scusa per non fare ricerca. Tutti questi strumenti sono gratuiti, accessibili in pochi minuti, e ti salvano da perdite che possono essere totali. Prima di mettere soldi su qualsiasi token, impara le basi del trading di memecoin e rispondi a queste domande:
- Il contratto è verificato su SolScan o Etherscan?
- La liquidità è bloccata? Per quanto tempo? Almeno sei mesi?
- Chi è il team? Hai trovato nome, cognome, LinkedIn?
- I holder sono distribuiti o concentrati in poche mani?
- Hai testato buy E sell su Honeypot.is?
- Hai revocato le approvazioni dei token che non usi più?
- Il progetto ha un prodotto reale, una community, o solo hype e promesse?
- Hai controllato il risk score su RugCheck.xyz?
- Hai visto la distribuzione wallet su BubbleMaps?
Se anche solo una risposta è “non lo so”, fermati. Non è curiosità, è sopravvivenza. Chiediti cosa ti sta dicendo il FOMO e ascoltalo. Poi ascolta i dati.
Cosa fare se vieni truffato
Duro da dire, ma la verità è questa: recuperare fondi crypto è quasi impossibile. Chainalysis stima che solo circa il 10% dei fondi rubati sia mai stato recuperato. Le crypto sono pensate per essere non-reversibili. Una volta che i fondi sono partiti, sono partiti.
Però puoi fare qualcosa:
Report alla Polizia Postale. In Italia è l’ente competente per le truffe online. Puoi denunciare anche se la truffa è avvenuta completamente online. Non è detto che recupererai i soldi, ma crei un precedente e aiuti a tracciare i criminali.
Segnala il token. Etherscan e SolScan hanno moduli per segnalare token fraudolenti. Se abbastanza persone segnalano lo stesso token, può essere etichettato come scam direttamente sull’explorer, avvisando altri potenziali vittime.
Blockchain forensics. Raccogli tutti gli indirizzi wallet coinvolti, le transazioni, gli screenshot. Forniscili alle forze dell’ordine. Più dati hanno, più possibilità ci sono di tracciare i fondi.
Detto questo, la prevenzione è l’unica strategia che funziona davvero in questo spazio. Nessun recupero è garantito. Nessuna indagine è veloce. L’unica cosa che puoi fare è non trovarti in quella situazione.
Sopravvivere nel far west
Le memecoin possono essere divertenti. Possono generare guadagni incredibili in poco tempo. Tutto vero. Chi ha comprato Dogecoin nel 2010 o Shiba nel 2020 ha visto ritorni che nessun altro asset può offrire. Ma accanto a quelle storie di successo ce ne sono migliaia di fallimento totale.
Il 98,6% dei token su Pump.fun finisce in rug pull o pump-and-dump. Le probabilità non sono dalla tua parte se entri senza sapere cosa stai facendo. Non è pessimismo, è matematica.
DYOR non è un consiglio hippie. È l’unica cosa che ti separa da chi perde tutto. Controlla i contratti, verifica la liquidità, testa i sell prima di comprare, revoca le approvazioni, e non inseguire mai l’hype.
Nel far west delle crypto, la sopravvivenza non è questione di fortuna. È questione di informazione. E l’informazione, a differenza dei tuoi soldi, non può essere rubata.
