Ir al contenido principal

Última actualización de la página: 19 de enero de 2024

Cómo detectar los tókenes de estafa

Uno de los usos más comunes para Ethereum es que un grupo cree un token intercambiable, en cierto sentido su propia moneda. Estos tókenes suelen seguir un estándar, ERC-20. No obstante, en cualquier lugar donde haya casos de uso legítimos que aporten valor, también hay criminales que intentan robar ese valor para sí mismos.

Hay dos maneras en las que puede que intenten engañarle:

  • Vendiéndole un token estafa, que puede parecer el token legítimo que quiere comprar, pero que lo emiten los estafadores y, por tanto, no vale nada.
  • Engañándole para que firme malas transacciones, generalmente dirigiéndole a su propia interfaz de usuario. Podrían intentar que le dé a sus contratos una asignación en sus tókenes ERC-20, exponiendo información confidencial que les dé acceso a sus activos, etc. Estas interfaces de usuario podrían ser clones casi perfectos de sitios honestos, pero con trucos ocultos.

Para ilustrar lo que son los tókenes estafa y cómo identificarlos, vamos a ver un ejemplo de uno: wARB(opens in a new tab). Este token intenta parecerse al token legítimo ARB(opens in a new tab).

¿Cómo funcionan los tókenes estafa?

La finalidad última de Ethereum es la descentralización. Esto significa que no hay una autoridad central que pueda confiscar sus activos ni impedirle implementar un contrato inteligente. Aunque también significa que los estafadores pueden desplegar cualquier contrato inteligente que deseen.

Específicamente, Arbitrum desplegó un contrato que utiliza el símbolo ARB. Pero eso no impide que otras personas también desplieguen un contrato que utiliza exactamente el mismo símbolo, o uno similar. Quienquiera que escriba el contrato puede establecer lo que hará el contrato.

Apariencia legítima

Hay varios trucos que los creadores de tókenes estafa hacen para que parezcan legítimos.

  • Nombre y símbolo legítimos. Como se mencionó anteriormente, los contratos ERC-20 pueden tener el mismo símbolo y nombre que otros contratos ERC-20. Con respecto a la seguridad, no puede contar con esos campos.

  • Propietarios legítimos. Los tokens estafa a menudo regalan saldos significativos a direcciones que se puede esperar que sean titulares legítimos del token real.

    Por ejemplo, retomemos el wARB de nuevo. Alrededor del 16 % de los tókenes(opens in a new tab) están en manos de una dirección cuya nombre público es Arbitrum Foundation: Deployer(opens in a new tab). Esta no es una dirección falsa, realmente es la dirección que desplegó el contrato ARB real en la red principal de Ethereum(opens in a new tab).

    Debido a que el saldo ERC-20 de una dirección es parte del almacenamiento del contrato ERC-20, se puede especificar en el contrato para que sea lo que el desarrollador del contrato desee. También es posible que un contrato prohíba las transferencias para que los usuarios legítimos no puedan deshacerse de esos tókenes estafa.

  • Transferencias legítimas. Los propietarios legítimos no pagarían por transferir un token estafa a otros, por lo que si hay transferencias, debería ser legítimo, ¿no? Incorrecto. Los eventos transacción los produce el contrato ERC-20. Un estafador puede escribir fácilmente el contrato de tal manera que produzca esas acciones.

Sitios web fraudulentos

Los estafadores también pueden producir sitios web muy convincentes, a veces incluso clones precisos de sitios auténticos con interfaces de usuario idénticas, pero con trucos sutiles. Los ejemplos podrían ser enlaces externos que parecen legítimos remitiendo al usuario a un sitio de estafa externo, o instrucciones incorrectas que guían al usuario a exponer sus claves o enviar fondos a la dirección de un atacante.

La mejor práctica para evitar esto es comprobar cuidadosamente la URL de los sitios que visita y guardar las direcciones de los sitios auténticos conocidos en sus marcadores. Luego, puede acceder al sitio real a través de sus marcadores sin cometer accidentalmente errores ortográficos ni depender de enlaces externos.

¿Cómo puede protegerse a sí mismo?

  1. Compruebe la dirección del contrato. Los tókenes legítimos provienen de organizaciones legítimas, y puede ver las direcciones del contrato en el sitio web de la organización. Por ejemplo, para ARB puede ver las direcciones legítimas aquí(opens in a new tab).

  2. Los tókenes reales tienen liquidez. Otra opción es mirar el tamaño del grupo de liquidez en Uniswap(opens in a new tab), uno de los protocolos de intercambio de tókenes más comunes. Este protocolo funciona utilizando fondos de liquidez, en los que los inversores depositan sus tókenes con la esperanza de obtener la devolución de las comisiones de transacciones.

Los tókenes estafa suelen tener pequeños fondos de liquidez, si los hay, porque los estafadores no quieren arriesgar activos reales. Por ejemplo, el fondo ARB/ETH Uniswap tiene alrededor de un millón de dólares (ver aquí el valor actualizado(opens in a new tab)) y comprar o vender una pequeña cantidad no va a cambiar el precio:

Comprar un token legítimo

Pero cuando intente comprar el token estafa wARB, incluso una pequeña compra cambiaría el precio en más del 90 %:

Comprar un token estafa

Esta es otra prueba que nos muestra que wARB no es probable que sea un token legítimo.

  1. Consulte en Etherscan. La comunidad ya ha identificado y denunciado muchos tókenes estafa. Dichos tókenes están marcados en Etherscan(opens in a new tab). Si bien Etherscan no es una fuente autorizada «oficial»( la naturaleza de las redes descentralizadas impide que haya una fuente autorizada de legitimidad), los tókenes que Etherscan identifica como estafas es probable que sean estafas.

    Token estafa en Etherscan

Conclusión

Mientras haya valor en el mundo, va a haber estafadores que intenten robarlo para su beneficio, y en un mundo descentralizado no hay nadie que le proteja excepto usted mismo. Esperamos que recuerde estos puntos para ayudar a distinguir los tókenes legítimos de las estafas:

  • Los tókenes estafa se hacen pasar por tókenes legítimos, pueden usar el mismo nombre, símbolo, etc.
  • Los tókenes estafa _no pueden_usar la misma dirección del contrato.
  • La mejor fuente para la dirección del token legítimo es la organización propietaria del token.
  • De lo contrario, puede usar aplicaciones populares y de confianza como Uniswap(opens in a new tab) y Etherscan(opens in a new tab).

¿Le ha resultado útil este artículo?