Jak rozpoznat podvodné tokeny

Jedním z nejčastějších způsobů využití Etherea je vytvoření obchodovatelného tokenu určitou skupinou, v podstatě jejich vlastní měny. Tyto tokeny obvykle dodržují standard ERC-20. Nicméně všude tam, kde existují legitimní případy užití přinášející hodnotu, se najdou i zločinci, kteří se tuto hodnotu snaží ukrást pro sebe.

Existují dva pravděpodobné způsoby, jakými se vás pokusí oklamat:

• Prodejem podvodného tokenu, který může vypadat jako legitimní token, jenž si chcete koupit, ale je vydán podvodníky a nemá žádnou hodnotu.
• Oklamáním, abyste podepsali škodlivé transakce, obvykle tím, že vás přesměrují do svého vlastního uživatelského rozhraní. Mohou se vás pokusit přimět, abyste jejich kontraktům udělili povolený limit na vaše ERC-20 tokeny, odhalili citlivé informace, které jim poskytnou přístup k vašim aktivům, atd. Tato uživatelská rozhraní mohou být téměř dokonalými klony poctivých stránek, ale se skrytými triky.

Abychom si ukázali, co jsou podvodné tokeny a jak je rozpoznat, podíváme se na jeden příklad: wARB (opens in a new tab). Tento token se snaží vypadat jako legitimní token ARB (opens in a new tab).

Jak fungují podvodné tokeny?

Celým smyslem Etherea je decentralizace. To znamená, že neexistuje žádná centrální autorita, která by vám mohla zabavit vaše aktiva nebo vám zabránit nasadit chytrý kontrakt. Znamená to ale také, že podvodníci mohou nasadit jakýkoli chytrý kontrakt, který si přejí.

Konkrétně Arbitrum nasadilo kontrakt, který používá symbol ARB. To ale nebrání ostatním lidem, aby také nasadili kontrakt, který používá naprosto stejný nebo podobný symbol. Ten, kdo kontrakt napíše, může určit, co bude kontrakt dělat.

Zdání legitimity

Existuje několik triků, které tvůrci podvodných tokenů používají, aby působili legitimně.

• Legitimní název a symbol. Jak již bylo zmíněno, ERC-20 kontrakty mohou mít stejný symbol a název jako jiné ERC-20 kontrakty. Na tato pole se z hlediska bezpečnosti nemůžete spoléhat.

• Legitimní vlastníci. Podvodné tokeny často provádějí airdrop významných zůstatků na adresy, u kterých se dá očekávat, že jsou legitimními držiteli skutečného tokenu.

  Podívejme se například znovu na wARB. Asi 16 % tokenů (opens in a new tab) drží adresa, jejíž veřejná značka je Arbitrum Foundation: Deployer (opens in a new tab). Toto není falešná adresa, je to skutečně adresa, která nasadila skutečný kontrakt ARB na Ethereum Mainnet (opens in a new tab).

  Protože ERC-20 zůstatek adresy je součástí úložiště ERC-20 kontraktu, může být kontraktem specifikován na jakoukoli hodnotu, kterou si vývojář kontraktu přeje. Je také možné, aby kontrakt zakázal převody, takže se legitimní uživatelé nebudou moci těchto podvodných tokenů zbavit.

• Legitimní převody. Legitimní vlastníci by neplatili za převod podvodného tokenu jiným osobám, takže pokud dochází k převodům, musí to být legitimní, že? Omyl. Události Transfer jsou produkovány ERC-20 kontraktem. Podvodník může snadno napsat kontrakt takovým způsobem, že bude tyto akce produkovat.

Podvodné webové stránky

Podvodníci mohou také vytvořit velmi přesvědčivé webové stránky, někdy dokonce přesné klony autentických stránek s identickým uživatelským rozhraním, ale s nenápadnými triky. Příkladem mohou být externí odkazy, které se zdají být legitimní, ale ve skutečnosti uživatele přesměrují na externí podvodnou stránku, nebo nesprávné pokyny, které uživatele navedou k odhalení jeho klíčů nebo odeslání prostředků na adresu útočníka.

Nejlepším postupem, jak se tomu vyhnout, je pečlivě kontrolovat URL adresy navštěvovaných stránek a ukládat si adresy známých autentických stránek do záložek. Poté můžete na skutečnou stránku přistupovat přes své záložky, aniž byste omylem udělali překlep nebo se spoléhali na externí odkazy.

Jak se můžete chránit?

1. Zkontrolujte adresu kontraktu. Legitimní tokeny pocházejí od legitimních organizací a adresy kontraktů můžete najít na webových stránkách dané organizace. Například pro ARB můžete vidět legitimní adresy zde (opens in a new tab).

2. Skutečné tokeny mají likviditu. Další možností je podívat se na velikost fondu likvidity na Uniswapu (opens in a new tab), jednom z nejběžnějších protokolů pro směnu tokenů. Tento protokol funguje pomocí fondů likvidity, do kterých investoři vkládají své tokeny v naději na výnos z poplatků za obchodování.

Podvodné tokeny mají obvykle nepatrné fondy likvidity, pokud vůbec nějaké, protože podvodníci nechtějí riskovat skutečná aktiva. Například fond ARB/ETH na Uniswapu drží zhruba milion dolarů (aktuální hodnotu najdete zde (opens in a new tab)) a nákup nebo prodej malého množství nezmění cenu:

Když se ale pokusíte koupit podvodný token wARB, i nepatrný nákup by změnil cenu o více než 90 %:

To je další důkaz, který nám ukazuje, že wARB pravděpodobně není legitimní token.

3. Podívejte se na Etherscan. Mnoho podvodných tokenů již bylo komunitou identifikováno a nahlášeno. Takové tokeny jsou označeny na Etherscanu (opens in a new tab). Ačkoli Etherscan není autoritativním zdrojem pravdy (je přirozeností decentralizovaných sítí, že nemůže existovat autoritativní zdroj legitimity), tokeny, které Etherscan identifikuje jako podvody, jimi pravděpodobně skutečně jsou.

   

Závěr

Dokud bude na světě existovat hodnota, budou existovat i podvodníci, kteří se ji pokusí ukrást pro sebe, a v decentralizovaném světě není nikdo, kdo by vás ochránil, kromě vás samotných. Doufejme, že si zapamatujete tyto body, které vám pomohou rozeznat legitimní tokeny od těch podvodných:

• Podvodné tokeny se vydávají za legitimní tokeny, mohou používat stejný název, symbol atd.
• Podvodné tokeny nemohou používat stejnou adresu kontraktu.
• Nejlepším zdrojem adresy legitimního tokenu je organizace, které token patří.
• Pokud to není možné, můžete použít populární a důvěryhodné aplikace, jako jsou Uniswap (opens in a new tab) a Blockscout (opens in a new tab).