Comment identifier les jetons frauduleux

Ethereum est couramment utilisé par des groupes pour créer des jetons échangeables ou, dans un certain sens, leur propre monnaie. Ces jetons suivent généralement une norme, ERC-20. Cependant, partout où il existe des cas d'utilisation légitimes qui apportent de la valeur, il y a aussi des criminels qui essaient de voler cette valeur à leur profit.

Ils peuvent vous tromper de deux façons :

• Vente d'un jeton frauduleux, qui peut ressembler au jeton légitime que vous souhaitez acheter, mais qui est émis par les escrocs et ne vaut rien.
• Incitation à signer des transactions frauduleuses, généralement en vous dirigeant vers leur propre interface utilisateur. Ils pourraient essayer de vous inciter à accorder à leurs contrats une allocation de vos jetons ERC-20, à divulguer des informations sensibles qui leur donneraient accès à vos actifs, etc. Ces interfaces utilisateurs peuvent être des clones presque parfaits de sites honnêtes, mais avec des astuces cachées.

Pour illustrer ce que sont les jetons frauduleux et comment les identifier, nous allons examiner un exemple de jeton frauduleux : wARB(opens in a new tab). Ce jeton tente de ressembler au jeton ARB(opens in a new tab) légitime.

Comment fonctionnent les jetons frauduleux ?

L'objectif d'Ethereum est la décentralisation. Cela signifie qu'il n'y a pas d'autorité centrale qui puisse confisquer vos actifs ou vous empêcher de déployer un contrat intelligent. Mais cela signifie également que les escrocs peuvent déployer n'importe quel contrat intelligent.

Plus précisément, Arbitrum a déployé un contrat qui utilise le symbole ARB. Mais cela n'empêche pas d'autres personnes de déployer un contrat qui utilise exactement le même symbole, ou un symbole similaire. Quiconque rédige le contrat définit son contenu.

Paraître légitime

Les créateurs de jetons frauduleux ont recours à plusieurs astuces pour paraître légitimes.

• Nom et symbole légitimes. Comme indiqué précédemment, les contrats ERC-20 peuvent avoir le même symbole et le même nom que d'autres contrats ERC-20. Vous ne pouvez pas compter sur ces champs pour assurer votre sécurité.

• Propriétaires légitimes. Les jetons frauduleux créditent souvent des soldes importants à des adresses qui pourraient vraisemblablement détenir des jetons authentiques.

  Par exemple, regardons à nouveau wARB. Environ 16 % des jetons(opens in a new tab) sont détenus par une adresse dont la balise publique est Arbitrum Foundation: Deployer(opens in a new tab). Il ne s'agit pas d'une fausse adresse, c'est vraiment l'adresse qui a déployé le vrai contrat ARB sur Ethereum mainnet(opens in a new tab).

  Étant donné que le solde ERC-20 d'une adresse fait partie du stockage du contrat ERC-20, il peut être spécifié par le contrat comme étant ce que souhaite le développeur du contrat. Il est également possible qu'un contrat interdise les transferts afin que les utilisateurs légitimes ne puissent pas se débarrasser de ces jetons frauduleux.

• Transferts légitimes. Les propriétaires légitimes ne paieraient pas pour transférer un jeton frauduleux à d'autres, donc s'il y a des transferts, ils doivent être légitimes, n'est-ce pas ? Faux. Les événements Transfert sont produits par le contrat ERC-20. Un escroc peut facilement rédiger le contrat de manière à ce qu'il produise ces actions.

Sites web frauduleux

Les escrocs peuvent également produire des sites web très convaincants, parfois même des clones précis de sites authentiques avec des interfaces utilisateur identiques, mais avec des astuces subtiles. Il peut s'agir, par exemple, de liens externes qui semblent légitimes mais qui renvoient l'utilisateur vers un site frauduleux, ou d'instructions incorrectes qui amènent l'utilisateur à exposer ses clés ou à envoyer des fonds à l'adresse d'un pirate.

Une bonne pratique pour éviter cela est de vérifier soigneusement l'URL des sites que vous visitez et d'enregistrer les adresses de sites authentiques connus dans vos signets. Ensuite, vous pouvez accéder au site réel par le biais de vos signets sans faire accidentellement de fautes d'orthographe ou dépendre de liens externes.

Comment se protéger ?

1. Vérifier l'adresse du contrat. Les jetons légitimes proviennent d'organisations légitimes, et vous pouvez consulter les adresses des contrats sur le site web de l'organisation. Par exemple, pour ARB, vous pouvez consulter les adresses légitimes ici(opens in a new tab).

2. Les jetons réels ont de la liquidité. Une autre option consiste à examiner la quantité de liquidités disponibles sur Uniswap(opens in a new tab), l'un des protocoles d'échange de jetons les plus courants. Ce protocole utilise des pools de liquidité, dans lesquels les investisseurs déposent leurs jetons dans l'espoir d'un retour sur les frais de transaction.

Les jetons frauduleux ont généralement de minuscules réserves de liquidités, voire aucune, parce que les fraudeurs ne veulent pas risquer des actifs réels. Par exemple, le pool ARB/ETH Uniswap contient environ un million de dollars (voir ici pour la valeur à jour(opens in a new tab)) et acheter ou vendre une petite quantité ne changera pas le prix :

Mais lorsque vous essayez d'acheter le jeton frauduleux wARB, même un achat minime modifierait le prix de plus de 90 % :

Il s'agit d'un autre élément qui montre que wARB n'est probablement pas un jeton légitime.

3. Regarder sur Etherscan. De nombreux jetons frauduleux ont déjà été identifiés et signalés par la communauté. Ces jetons sont marqués sur Etherscan(opens in a new tab). Bien qu'Etherscan ne soit pas une source de vérité faisant autorité (la nature des réseaux décentralisés fait qu'il ne peut y avoir de source de légitimité faisant autorité), les jetons identifiés par Etherscan comme étant frauduleux sont susceptibles de l'être.

   

Conclusion

Tant qu'il y aura de la valeur dans le monde, il y aura des malfaiteurs qui tenteront de s'en emparer, et dans un monde décentralisé, il n'y a personne d'autre que vous-même pour vous protéger. Suivez ces indications pour vous aider à distinguer les jetons légitimes des arnaques :

• Les jetons malveillants imitent des jetons légitimes en utilisant le même nom, symbole, etc.
• Les jetons malveillants ne peuvent pas utiliser la même adresse de contrat.
• La meilleure source pour l'adresse légitime du jeton est l'organisation émettrice dudit jeton.
• À défaut, vous pouvez utiliser des applications populaires et fiables comme Uniswap(opens in a new tab) et Etherscan(opens in a new tab).