Scam-tokens identificeren

Een van de meest voorkomende toepassingen van Ethereum is dat een groep een verhandelbaar token creëert, in zekere zin hun eigen valuta. Deze tokens volgen meestal een standaard, ERC-20. Helaas zijn er overal waar legitieme toepassingsscenario's zijn die waarde opleveren, ook criminelen die proberen die waarde voor zichzelf te stelen.

Er zijn twee manieren waarop ze je kunnen misleiden:

• Je een scam-token verkopen, die eruit kan zien als een echt token dat je wilt kopen, maar die door de scammers zijn uitgegeven en niets waard zijn.
• Je verleiden tot het ondertekenen van valse transacties, meestal door je naar hun eigen gebruikersinterface te leiden. Ze kunnen proberen om je zover te krijgen om hun contracten toestemming te geven voor jouw ERC-20 tokens, gevoelige informatie vrij te geven waardoor ze toegang kunnen krijgen tot je activa, enz. Deze gebruikersinterfaces kunnen bijna perfecte klonen zijn van de echte sites, maar met verborgen trucjes.

Om te illustreren wat scam-tokens zijn en hoe je ze kunt herkennen, gaan we kijken naar een voorbeeld van een scam-token: wARB(opens in a new tab). Dit token probeert eruit te zien als het legitieme ARB(opens in a new tab)-token.

Hoe werken scam-tokens?

Het hele punt van Ethereum is decentralisatie. Dit betekent dat er geen centrale autoriteit is die je activa in beslag kan nemen of kan voorkomen dat je een slim contract gebruikt. Maar dit betekent ook dat oplichters eender welk slim contract kunnen implementeren dat ze maar willen.

Specifiek heeft Arbitrum een contract ingezet dat het ARB-symbool gebruikt. Maar dat weerhoudt anderen er niet van om ook een contract te lanceren dat exact hetzelfde of een soortgelijk symbool gebruikt. Degene die het contract schrijft, bepaalt ook wat het contract doet.

Legitiem lijken

Er zijn verschillende trucjes die makers van scam-tokens toepassen om legitiem te lijken.

• Legitieme naam en symbool. Zoals eerder vermeld, kunnen ERC-20-contracten hetzelfde symbool en dezelfde naam hebben als andere ERC-20-contracten. Je kunt niet op deze velden rekenen voor veiligheid.

• Legitieme eigenaren. Scam-tokens zetten vaak aanzienlijke bedragen over naar adressen waarvan verwacht kan worden dat het legitieme houders van het echte token zijn.

  Laten we bijvoorbeeld nog eens kijken naar wARB. Ongeveer 16% van de tokens(opens in a new tab) worden bewaard op een adres waarvan de publieke tag Arbitrum Foundation: Deployer(opens in a new tab) is. Dit is geen vals adres, het is echt het adres dat het ARB-contract op het Ethereum mainnet(opens in a new tab) implementeerde.

  Omdat het ERC-20-saldo van een adres deel uitmaakt van de opslag van het ERC-20-contract, kan het gespecificeerd worden als wat de ontwikkelaar van het contract maar wil. Het is ook mogelijk dat een contract overdrachten verbiedt, zodat de legitieme gebruikers niet van die scam-tokens af kunnen komen.

• Legitieme overdrachten. Legitieme eigenaren zouden niet betalen om een scam-token te versturen naar anderen, dus als er overdrachten zijn, moet het legitiem zijn, toch? Fout. Overdrachten worden geproduceerd door het ERC-20-contract. Een oplichter kan gemakkelijk zodanig een contract schrijven dat het deze acties uitvoert.

Scam-websites

Oplichters kunnen ook zeer overtuigende websites maken, soms zelfs exacte klonen van authentieke sites met identieke UI's, maar met subtiele trucjes. Voorbeelden hiervan zijn externe links die legitiem lijken, maar die de gebruiker eigenlijk naar een externe scam-site sturen of onjuiste instructies die de gebruiker ertoe aanzetten zijn sleutels bloot te geven of fondsen te sturen naar het adres van een oplichter.

De beste manier om dit te voorkomen is om de URL van de sites die je bezoekt zorgvuldig te controleren en adressen van bekende authentieke sites op te slaan in je bladwijzers. Dan kun je via je bladwijzers naar de echte site gaan zonder per ongeluk spelfouten te maken of te vertrouwen op externe links.

Hoe kun je jezelf beschermen?

1. Controleer het contractadres. Legitieme tokens komen van legitieme organisaties, je kunt de contractadressen nakijken op de website van de organisatie. Bijvoorbeeld voor ARB kun je hier de legitieme adressen zien(opens in a new tab).

2. Echte tokens hebben liquiditeit. Een andere optie is om te kijken naar de grootte van de liquiditeitspool op Uniswap(opens in a new tab), een van de meest gebruikte token-ruilprotocollen. Dit protocol werkt met liquiditeitspools, waarin investeerders hun tokens storten in de hoop op een rendement uit handelskosten.

Scam-tokens hebben meestal kleine liquiditeitspools, als die er al zijn, omdat de oplichters geen echte activa willen riskeren. De ARB/ETH Uniswap-pool bevat bijvoorbeeld ongeveer een miljoen dollar (zie hier voor de actuele waarde(opens in a new tab)) en het kopen of verkopen van een klein bedrag zal de prijs niet veranderen:

Maar bij het kopen van de scam-token wARB, zou zelfs een kleine aankoop de prijs met meer dan 90% veranderen:

Dit is nog een bewijs dat ons laat zien dat wARB waarschijnlijk geen legitiem token is.

3. Kijk op Etherscan. Een groot deel van de scam-tokens zijn al geïdentificeerd en gerapporteerd door de community. Zulke tokens zijn gemarkeerd in Etherscan(opens in a new tab). Hoewel Etherscan geen gezaghebbende bron van waarheid is (het is de aard van gedecentraliseerde netwerken dat er geen gezaghebbende bron voor legitimiteit kan zijn), is het waarschijnlijk dat tokens die door Etherscan worden geïdentificeerd als scams, scams zijn.

   

Conclusion

Zolang er waarde in de wereld is, zullen er oplichters zijn die het voor zichzelf proberen te stelen, en in een gedecentraliseerde wereld is er niemand om je hiertegen te beschermen behalve jezelf. Hopelijk onthoud je deze punten om legitieme tokens van scam-tokens te kunnen onderscheiden:

• Scam-tokens doen zich voor als legitieme tokens, ze kunnen dezelfde naam, hetzelfde symbool, enz. gebruiken.
• Scam-tokens kunnen niet hetzelfde contractadres gebruiken.
• De beste bron voor het adres van het legitieme token is de organisatie waarvan het token is.
• Als dat niet lukt, kun je populaire, vertrouwde applicaties gebruiken zoals Uniswap(opens in a new tab) en Etherscan(opens in a new tab).