Saltar al contenido principal

Cómo identificar tokens fraudulentos

Editar página (opens in a new tab)

Uno de los usos más comunes de Ethereum es que un grupo cree un token negociable, en cierto sentido, su propia moneda. Estos tokens suelen seguir un estándar, ERC-20. Sin embargo, dondequiera que haya casos de uso legítimos que aporten valor, también hay delincuentes que intentan robar ese valor para sí mismos.

Hay dos formas en las que es probable que te engañen:

  • Vendiéndote un token fraudulento, que puede parecerse al token legítimo que deseas comprar, pero que es emitido por los estafadores y no vale nada.
  • Engañándote para firmar transacciones maliciosas, generalmente dirigiéndote a su propia interfaz de usuario. Podrían intentar que le des a sus contratos una asignación sobre tus tokens ERC-20, exponiendo información confidencial que les da acceso a tus activos, etc. Estas interfaces de usuario pueden ser clones casi perfectos de sitios honestos, pero con trampas ocultas.

Para ilustrar qué son los tokens fraudulentos y cómo identificarlos, vamos a ver un ejemplo de uno: wARB (opens in a new tab). Este token intenta parecerse al token legítimo ARB (opens in a new tab).

Arbitrum es una organización que desarrolla y gestiona rollups optimistas. Inicialmente, Arbitrum se organizó como una empresa con fines de lucro, pero luego tomó medidas para descentralizarse. Como parte de ese proceso, emitieron un token de gobernanza negociable.

Existe una convención en Ethereum de que cuando un activo no es compatible con ERC-20, creamos una versión "envuelta" (wrapped) del mismo con un nombre que comienza con "w". Así, por ejemplo, tenemos wBTC para Bitcoin y wETH para ether.

No tiene sentido crear una versión envuelta de un token ERC-20 que ya está en Ethereum, pero los estafadores se basan en la apariencia de legitimidad en lugar de la realidad subyacente.

¿Cómo funcionan los tokens fraudulentos?

El objetivo principal de Ethereum es la descentralización. Esto significa que no hay una autoridad central que pueda confiscar tus activos o impedirte desplegar un contrato inteligente. Pero también significa que los estafadores pueden desplegar cualquier contrato inteligente que deseen.

Los contratos inteligentes son los programas que se ejecutan sobre la cadena de bloques de Ethereum. Cada token ERC-20, por ejemplo, se implementa como un contrato inteligente.

Específicamente, Arbitrum desplegó un contrato que usa el símbolo ARB. Pero eso no impide que otras personas también desplieguen un contrato que use exactamente el mismo símbolo, o uno similar. Quien escribe el contrato es quien establece lo que hará el contrato.

Aparentar legitimidad

Hay varios trucos que los creadores de tokens fraudulentos utilizan para aparentar legitimidad.

  • Nombre y símbolo legítimos. Como se mencionó anteriormente, los contratos ERC-20 pueden tener el mismo símbolo y nombre que otros contratos ERC-20. No puedes confiar en esos campos para tu seguridad.

  • Propietarios legítimos. Los tokens fraudulentos a menudo hacen airdrop de saldos significativos a direcciones que se esperaría que fueran titulares legítimos del token real.

    Por ejemplo, veamos wARB de nuevo. Alrededor del 16 % de los tokens (opens in a new tab) están en manos de una dirección cuya etiqueta pública es Arbitrum Foundation: Deployer (opens in a new tab). Esta no es una dirección falsa, realmente es la dirección que desplegó el contrato ARB real en la red principal de Ethereum (opens in a new tab).

    Debido a que el saldo ERC-20 de una dirección es parte del almacenamiento del contrato ERC-20, el contrato puede especificar que sea lo que el desarrollador del contrato desee. También es posible que un contrato prohíba las transferencias para que los usuarios legítimos no puedan deshacerse de esos tokens fraudulentos.

  • Transferencias legítimas. Los propietarios legítimos no pagarían por transferir un token fraudulento a otros, así que si hay transferencias debe ser legítimo, ¿verdad? Falso. Los eventos Transfer son producidos por el contrato ERC-20. Un estafador puede escribir fácilmente el contrato de tal manera que produzca esas acciones.

Sitios web fraudulentos

Los estafadores también pueden crear sitios web muy convincentes, a veces incluso clones precisos de sitios auténticos con interfaces de usuario idénticas, pero con trampas sutiles. Algunos ejemplos podrían ser enlaces externos que parecen legítimos pero que en realidad envían al usuario a un sitio fraudulento externo, o instrucciones incorrectas que guían al usuario a exponer sus claves o enviar fondos a la dirección de un atacante.

La mejor práctica para evitar esto es verificar cuidadosamente la URL de los sitios que visitas y guardar las direcciones de los sitios auténticos conocidos en tus marcadores. Luego, puedes acceder al sitio real a través de tus marcadores sin cometer errores ortográficos accidentalmente ni depender de enlaces externos.

¿Cómo puedes protegerte?

  1. Verifica la dirección del contrato. Los tokens legítimos provienen de organizaciones legítimas, y puedes ver las direcciones de los contratos en el sitio web de la organización. Por ejemplo, para ARB puedes ver las direcciones legítimas aquí (opens in a new tab).

  2. Los tokens reales tienen liquidez. Otra opción es observar el tamaño del fondo de liquidez en Uniswap (opens in a new tab), uno de los protocolos de intercambio de tokens más comunes. Este protocolo funciona utilizando fondos de liquidez, en los que los inversores depositan sus tokens con la esperanza de obtener un rendimiento de las tarifas de negociación.

Los tokens fraudulentos suelen tener fondos de liquidez diminutos, si es que tienen alguno, porque los estafadores no quieren arriesgar activos reales. Por ejemplo, el fondo de liquidez de Uniswap de ARB/ETH contiene alrededor de un millón de dólares (consulta aquí el valor actualizado (opens in a new tab)) y comprar o vender una pequeña cantidad no va a cambiar el precio:

Buying a legitimate token

Pero cuando intentas comprar el token fraudulento wARB, incluso una compra diminuta cambiaría el precio en más del 90 %:

Buying a scam token

Esta es otra prueba que nos demuestra que es poco probable que wARB sea un token legítimo.

  1. Busca en Etherscan. Muchos tokens fraudulentos ya han sido identificados y reportados por la comunidad. Dichos tokens están marcados en Etherscan (opens in a new tab). Si bien Etherscan no es una fuente de verdad autorizada (es la naturaleza de las redes descentralizadas que no pueda haber una fuente autorizada de legitimidad), es probable que los tokens identificados por Etherscan como estafas lo sean.

    Scam token in Etherscan

Conclusión

Mientras haya valor en el mundo, habrá estafadores que intenten robarlo para sí mismos, y en un mundo descentralizado no hay nadie que te proteja excepto tú mismo. Con suerte, recordarás estos puntos para ayudarte a distinguir los tokens legítimos de las estafas:

  • Los tokens fraudulentos se hacen pasar por tokens legítimos, pueden usar el mismo nombre, símbolo, etc.
  • Los tokens fraudulentos no pueden usar la misma dirección de contrato.
  • La mejor fuente para obtener la dirección del token legítimo es la organización a la que pertenece el token.
  • En su defecto, puedes usar aplicaciones populares y confiables como Uniswap (opens in a new tab) y Blockscout (opens in a new tab).

Última actualización de la página: 6 de junio de 2026

MGETHM (opens in a new tab)
mdqstm (opens in a new tab)
corwintinesc (opens in a new tab)
+9