Zum Hauptinhalt springen

Wie man Scam-Token erkennt

Eine der häufigsten Anwendungen für Ethereum ist, dass eine Gruppe einen handelbaren Token erstellt, gewissermaßen ihre eigene Währung. Diese Token folgen typischerweise einem Standard, ERC-20. Wo es jedoch legitime Anwendungsfälle gibt, die Wert schaffen, gibt es auch Kriminelle, die versuchen, diesen Wert für sich selbst zu stehlen.

Es gibt zwei wahrscheinliche Wege, auf denen sie versuchen, Sie zu täuschen:

  • Ihnen einen Scam-Token verkaufen, der wie der legitime Token aussehen mag, den Sie kaufen möchten, aber von den Betrügern herausgegeben wird und wertlos ist.
  • Sie dazu bringen, bösartige Transaktionen zu signieren, meistens indem sie Sie auf ihre eigene Benutzeroberfläche leiten. Sie könnten versuchen, Sie dazu zu bringen, ihren Verträgen einen Freigabebetrag für Ihre ERC-20-Token zu erteilen, sensible Informationen preiszugeben, die ihnen Zugriff auf Ihre Vermögenswerte geben, usw. Diese Benutzeroberflächen können nahezu perfekte Klone ehrlicher Websites sein, jedoch mit versteckten Tricks.

Um zu veranschaulichen, was Scam-Token sind und wie man sie erkennt, sehen wir uns ein Beispiel an: wARB (opens in a new tab). Dieser Token versucht, wie der legitime ARB (opens in a new tab)-Token auszusehen.

Arbitrum ist eine Organisation, die Optimistic Rollups entwickelt und verwaltet. Ursprünglich war Arbitrum als gewinnorientiertes Unternehmen organisiert, unternahm dann aber Schritte, um dezentral zu werden. Als Teil dieses Prozesses gaben sie einen handelbaren Governance-Token heraus.

Es gibt in Ethereum die Konvention, dass wir, wenn ein Vermögenswert nicht ERC-20-konform ist, eine "Wrapped"-Version (eingepackte Version) davon erstellen, deren Name mit "w" beginnt. So haben wir zum Beispiel wBTC für Bitcoin und wETH für Ether.

Es macht keinen Sinn, eine Wrapped-Version eines ERC-20-Tokens zu erstellen, der sich bereits auf Ethereum befindet, aber Betrüger verlassen sich eher auf den Anschein von Legitimität als auf die zugrunde liegende Realität.

Wie funktionieren Scam-Token?

Der ganze Sinn von Ethereum ist die Dezentralisierung. Das bedeutet, dass es keine zentrale Autorität gibt, die Ihre Vermögenswerte beschlagnahmen oder Sie daran hindern kann, einen Smart Contract bereitzustellen. Es bedeutet aber auch, dass Betrüger jeden beliebigen Smart Contract bereitstellen können, den sie möchten.

Smart Contracts sind die Programme, die auf der Ethereum-Blockchain ausgeführt werden. Jeder ERC-20-Token ist beispielsweise als Smart Contract implementiert.

Konkret hat Arbitrum einen Vertrag bereitgestellt, der das Symbol ARB verwendet. Das hindert andere Personen jedoch nicht daran, ebenfalls einen Vertrag bereitzustellen, der genau dasselbe oder ein ähnliches Symbol verwendet. Wer auch immer den Vertrag schreibt, kann festlegen, was der Vertrag tun wird.

Legitim erscheinen

Es gibt verschiedene Tricks, die Ersteller von Scam-Token anwenden, um legitim zu erscheinen.

  • Legitimer Name und Symbol. Wie bereits erwähnt, können ERC-20-Verträge dasselbe Symbol und denselben Namen wie andere ERC-20-Verträge haben. Sie können sich bei der Sicherheit nicht auf diese Felder verlassen.

  • Legitime Eigentümer. Scam-Token führen oft einen Airdrop von beträchtlichen Guthaben an Adressen durch, von denen erwartet werden kann, dass sie legitime Inhaber des echten Tokens sind.

    Schauen wir uns zum Beispiel noch einmal wARB an. Etwa 16 % der Token (opens in a new tab) werden von einer Adresse gehalten, deren öffentliches Tag Arbitrum Foundation: Deployer (opens in a new tab) lautet. Dies ist keine gefälschte Adresse, es ist tatsächlich die Adresse, die den echten ARB-Vertrag im Ethereum Mainnet bereitgestellt hat (opens in a new tab).

    Da das ERC-20-Guthaben einer Adresse Teil des Speichers des ERC-20-Vertrags ist, kann es durch den Vertrag so festgelegt werden, wie es der Vertragsentwickler wünscht. Es ist auch möglich, dass ein Vertrag Transfers verbietet, sodass die legitimen Benutzer diese Scam-Token nicht loswerden können.

  • Legitime Transfers. Legitime Eigentümer würden nicht dafür bezahlen, einen Scam-Token an andere zu transferieren. Wenn es also Transfers gibt, muss er legitim sein, oder? Falsch. Transfer-Ereignisse werden vom ERC-20-Vertrag erzeugt. Ein Betrüger kann den Vertrag leicht so schreiben, dass er diese Aktionen erzeugt.

Betrügerische Websites

Betrüger können auch sehr überzeugende Websites erstellen, manchmal sogar exakte Klone authentischer Websites mit identischen Benutzeroberflächen, aber mit subtilen Tricks. Beispiele hierfür könnten externe Links sein, die legitim erscheinen, den Benutzer aber tatsächlich auf eine externe Betrugsseite leiten, oder falsche Anweisungen, die den Benutzer dazu verleiten, seine Schlüssel preiszugeben oder Gelder an die Adresse eines Angreifers zu senden.

Die beste Methode, um dies zu vermeiden, besteht darin, die URL der von Ihnen besuchten Websites sorgfältig zu überprüfen und Adressen bekannter authentischer Websites in Ihren Lesezeichen zu speichern. Dann können Sie über Ihre Lesezeichen auf die echte Website zugreifen, ohne versehentlich Tippfehler zu machen oder sich auf externe Links verlassen zu müssen.

Wie können Sie sich schützen?

  1. Überprüfen Sie die Vertragsadresse. Legitime Token stammen von legitimen Organisationen, und Sie können die Vertragsadressen auf der Website der Organisation einsehen. Zum Beispiel können Sie für ARB die legitimen Adressen hier sehen (opens in a new tab).

  2. Echte Token haben Liquidität. Eine weitere Möglichkeit besteht darin, sich die Größe des Liquiditätspools auf Uniswap (opens in a new tab) anzusehen, einem der gängigsten Token-Swapping-Protokolle. Dieses Protokoll funktioniert mit Liquiditätspools, in die Investoren ihre Token in der Hoffnung auf eine Rendite aus Handelsgebühren einzahlen.

Scam-Token haben in der Regel winzige Liquiditätspools, wenn überhaupt, da die Betrüger keine echten Vermögenswerte riskieren wollen. Zum Beispiel hält der ARB/ETH Uniswap-Pool etwa eine Million Dollar (siehe hier für den aktuellen Wert (opens in a new tab)) und der Kauf oder Verkauf eines kleinen Betrags wird den Preis nicht verändern:

Buying a legitimate token

Wenn Sie jedoch versuchen, den Scam-Token wARB zu kaufen, würde selbst ein winziger Kauf den Preis um über 90 % verändern:

Buying a scam token

Dies ist ein weiterer Beweis, der uns zeigt, dass wARB wahrscheinlich kein legitimer Token ist.

  1. Suchen Sie in Etherscan. Viele Scam-Token wurden bereits von der Community identifiziert und gemeldet. Solche Token sind in Etherscan markiert (opens in a new tab). Obwohl Etherscan keine maßgebliche Quelle der Wahrheit ist (es liegt in der Natur dezentraler Netzwerke, dass es keine maßgebliche Quelle für Legitimität geben kann), sind Token, die von Etherscan als Betrug identifiziert werden, wahrscheinlich auch Betrug.

    Scam token in Etherscan

Fazit

Solange es Werte auf der Welt gibt, wird es Betrüger geben, die versuchen, diese für sich selbst zu stehlen, und in einer dezentralen Welt gibt es niemanden, der Sie schützt, außer Ihnen selbst. Hoffentlich erinnern Sie sich an diese Punkte, um legitime Token von Betrug zu unterscheiden:

  • Scam-Token geben sich als legitime Token aus, sie können denselben Namen, dasselbe Symbol usw. verwenden.
  • Scam-Token können nicht dieselbe Vertragsadresse verwenden.
  • Die beste Quelle für die Adresse des legitimen Tokens ist die Organisation, deren Token es ist.
  • Andernfalls können Sie beliebte, vertrauenswürdige Anwendungen wie Uniswap (opens in a new tab) und Blockscout (opens in a new tab) verwenden.