Lanjut ke konten utama

Halaman terakhir kali diperbaharui: 24 Oktober 2023

Bagaimana cara mengidentifikasi token palsu

Salah satu kegunaan paling umum dari Ethereum untuk suatu grup adalah membuat token yang dapat dipertukarkan, dalam pengertian sebagai mata uang mereka sendiri. Token-token ini umumnya mengikuti standar ERC-20. Namun, di mana pun ada kasus penggunaan sah yang membawa nilai, juga ada para penjahat yang mencoba mencuri nilai tersebut untuk diri mereka sendiri.

Ada dua cara di mana mereka kemungkinan akan menipu Anda:

  • Mengajukan token palsu kepada Anda, yang mungkin terlihat seperti token sah yang ingin Anda beli, tetapi diterbitkan oleh penipu dan tidak memiliki nilai.
  • Membujuk Anda untuk menandatangani transaksi buruk, biasanya dengan mengarahkan Anda ke antarmuka pengguna mereka sendiri. Mereka mungkin mencoba membuat Anda memberikan ijin untuk kontrak mereka pada token ERC-20 Anda, mengungkapkan informasi sensitif yang memberikan akses kepada mereka terhadap aset Anda, dan sebagainya. Antarmuka pengguna ini mungkin menjadi tiruan hampir sempurna dari situs yang jujur, tetapi dengan trik tersembunyi.

Untuk mengilustrasikan apa itu token palsu, dan bagaimana mengidentifikasinya, kita akan melihat contoh salah satunya: wARB(opens in a new tab). Token ini berusaha terlihat seperti token sah ARB(opens in a new tab).

Bagaimana cara kerja token palsu?

Inti dari Ethereum adalah desentralisasi. Ini berarti tidak ada otoritas pusat yang dapat menyita aset Anda atau mencegah Anda melakukan penyebaran kontrak pintar. Namun, ini juga berarti bahwa penipu dapat menyebarluaskan kontrak pintar apa pun yang mereka inginkan.

Secara khusus, Arbitrum telah menyebarkan kontrak yang menggunakan simbol ARB. Namun, hal itu tidak menghentikan orang lain untuk juga menyebarkan kontrak yang menggunakan simbol yang sama persis, atau serupa. Siapa pun yang menulis kontrak memiliki kuasa untuk menentukan apa yang akan dilakukan oleh kontrak tersebut.

Terlihat sah

Terdapat beberapa trik yang dilakukan oleh pencipta token palsu untuk terlihat sah.

  • Nama dan simbol yang sah. Seperti yang disebut sebelumnya, kontrak ERC-20 dapat memiliki simbol dan nama yang sama dengan kontrak ERC-20 lainnya. Anda tidak bisa mengandalkan bidang-bidang tersebut untuk keamanan.

  • Pemilik sah. Token palsu seringkali mengirimkan sejumlah saldo besar secara tiba-tiba ke alamat-alamat yang bisa diharapkan sebagai pemegang sah dari token yang sebenarnya.

    Sebagai contoh, mari kita lihat lagi wARB. Tentang 16% dari token-token tersebut(opens in a new tab) dipegang oleh sebuah alamat yang tag publiknya adalah Arbitrum Foundation: Deployer(opens in a new tab). Ini bukan alamat palsu, ini benar-benar adalah alamat yang mendeploy kontrak ARB asli di Jaringan Utama Ethereum(opens in a new tab).

    Karena saldo ERC-20 dari suatu alamat adalah bagian dari penyimpanan kontrak ERC-20, kontrak dapat menentukannya sesuai dengan keinginan pengembang kontrak. Juga mungkin bagi suatu kontrak untuk melarang transfer sehingga pengguna sah tidak akan dapat menghilangkan token palsu tersebut.

  • Transfer sah. Pemilik sah tidak akan membayar untuk mentransfer token palsu kepada orang lain, jadi jika ada transfer, itu pasti sah, bukan? Salah. Aksi Transfer dihasilkan oleh kontrak ERC-20. Seorang penipu dengan mudah dapat menulis kontrak sedemikian rupa sehingga akan menghasilkan tindakan-tindakan tersebut.

Situs web penipuan

Penipu juga dapat membuat situs web yang sangat meyakinkan, kadang-kadang bahkan klon presisi dari situs asli dengan UI yang identik, tetapi dengan trik-trik yang halus. Contohnya mungkin adalah tautan eksternal yang tampak sah, namun sebenarnya mengarahkan pengguna ke situs penipuan eksternal, atau instruksi yang salah yang membimbing pengguna untuk mengungkapkan kunci mereka atau mengirim dana ke alamat penyerang.

Praktik terbaik untuk menghindari ini adalah dengan cermat memeriksa URL situs yang Anda kunjungi, dan menyimpan alamat situs otentik yang dikenal dalam daftar bookmark Anda. Kemudian, Anda dapat mengakses situs asli melalui daftar bookmark Anda tanpa secara tidak sengaja membuat kesalahan ejaan atau bergantung pada tautan eksternal.

Bagaimana Anda bisa melindungi diri?

  1. Periksa alamat kontrak. Token sah berasal dari organisasi yang sah, dan Anda dapat melihat alamat kontrak di situs web organisasi tersebut. Sebagai contoh, untuk ARB Anda dapat melihat alamat sahnya di sini(opens in a new tab).

  2. Token-token nyata memiliki likuiditas. Pilihan lainnya adalah melihat ukuran kolam likuiditas di Uniswap(opens in a new tab), salah satu protokol pertukaran token yang paling umum digunakan. Protokol ini bekerja dengan menggunakan kolam likuiditas, di mana para investor mendepositkan token-token mereka dengan harapan mendapatkan pengembalian dari biaya perdagangan.

Token palsu umumnya memiliki kolam likuiditas yang sangat kecil, jika ada, karena para penipu tidak ingin mengambil risiko atas aset nyata. Sebagai contoh, kolam Uniswap ARB/ETH memiliki sekitar satu juta dolar (lihat di sini untuk nilai terbaru(opens in a new tab)) dan membeli atau menjual sejumlah kecil tidak akan mengubah harga:

Membeli token yang sah

Namun, saat Anda mencoba membeli token palsu wARB, bahkan pembelian kecil akan mengubah harga lebih dari 90%:

Membeli token palsu

Ini adalah bukti lain yang menunjukkan bahwa wARB kemungkinan bukanlah token yang sah.

  1. Cari di Etherscan. Banyak token palsu sudah diidentifikasi dan dilaporkan oleh komunitas. Token-token seperti itu dicatat di Etherscan(opens in a new tab). Meskipun Etherscan bukan sumber otoritatif kebenaran (ini adalah sifat jaringan terdesentralisasi bahwa tidak bisa ada sumber otoritatif untuk keabsahan), token-token yang diidentifikasi oleh Etherscan sebagai penipuan kemungkinan besar adalah penipuan.

    Token palsu di Etherscan

Kesimpulan

Selama masih ada nilai di dunia, akan selalu ada penipu yang mencoba mencurinya untuk diri mereka sendiri, dan dalam dunia terdesentralisasi, tidak ada yang melindungi Anda kecuali diri Anda sendiri. Semoga Anda ingat poin-poin ini untuk membantu membedakan token sah dari penipuan:

  • Token palsu berpura-pura menjadi token sah, mereka dapat menggunakan nama, simbol, dan sebagainya yang sama.
  • Token palsu tidak dapat menggunakan akun kontrak yang sama.
  • Sumber terbaik untuk alamat token sah adalah organisasi yang memiliki token tersebut.
  • Jika tidak berhasil, Anda dapat menggunakan aplikasi-aplikasi populer dan terpercaya seperti Uniswap(opens in a new tab) dan Etherscan(opens in a new tab).

Apakah artikel ini membantu?