Przejdź do głównej zawartości

Strona ostatnio zaktualizowana: 23 listopada 2023

Jak zidentyfikować fałszywe tokeny

One of the most common uses for Ethereum is for a group to create a tradable token, in a sense their own currency. Te tokeny zwykle używają standardu ERC-20. Jednak wszędzie tam, gdzie istnieją uzasadnione przypadki użycia, które przynoszą wartość, są też przestępcy, którzy próbują ukraść tę wartość dla siebie.

Istnieją dwa sposoby, którymi będą próbowali Cię oszukać:

  • Sprzedając Ci fałszywe tokeny, które mogą wyglądać jak prawdziwe tokeny, które chcesz kupić, ale są wydawane przez oszustów i nic niewarte.
  • Namawiając cię do podpisania niekorzystnych transakcji, zazwyczaj poprzez przekierowanie użytkownika do ich własnego interfejsu. Mogą próbować nakłonić cię do przekazania ich kontraktom uprawnień do Twoich tokenów ERC-20, ujawniając poufne informacje, które dadzą im dostęp do twoich aktywów itp. Te interfejsy użytkownika mogą być niemal idealnymi klonami uczciwych stron, ale z ukrytymi sztuczkami.

Aby pokazać, czym są fałszywe tokeny i jak je zidentyfikować, popatrzmy na przykład jednego z nich: wARB(opens in a new tab). Ten token próbuje wyglądać jak prawdziwy token ARB(opens in a new tab).

Jak działają fałszywe tokeny?

Głównym celem Ethereum jest decentralizacja. Oznacza to, że nie ma centralnego zarządu, który mógłby skonfiskować Twoje aktywa lub ostrzec Cię przed wdrożeniem inteligentnego kontraktu. Jednak oznacza to również, że oszuści mogą wdrażać dowolne inteligentne kontrakty, jakie tylko chcą.

Szczególnie, Arbitrum wdrożyło kontrakt, który używa symbolu ARB. Nie powstrzymuje jednak innych ludzi od również wdrażania kontraktu, który używa dokładnie tego samego symbolu lub podobnego. Ktokolwiek pisze kontrakt, decyduje również o tym, co będzie on robił.

Wyglądające na prawdziwe

Istnieje kilka sztuczek, które stosują twórcy fałszywych tokenów, aby sprawiać wrażenie prawdziwych.

  • Prawdziwa nazwa i symbol. Tak jak to zostało wspomniane wcześniej, kontrakty ERC-20 mogą mieć te same symbole i nazwy jak inne kontrakty ERC-20. Nie możesz liczyć na bezpieczeństwo w tym obszarze.

  • Prawdziwi właściciele. Fałszywe tokeny często airdropują znaczne kwoty na adresy, od których można oczekiwać, że są prawdziwymi posiadaczami prawdziwego tokena.

    Dla przykładu popatrzmy znowu na wARB. Około 16% wszystkich tokenów(opens in a new tab) jest posiadanych przez adres, którego publiczny tag to Arbitrum Foundation: Deployer(opens in a new tab). To nie jest fałszywy adres, jest to naprawdę adres, który wdrożył prawdziwy kontrakt ARB w sieci głównej Ethereum(opens in a new tab).

    Ponieważ saldo ERC-20 adresu jest częścią pamięci kontraktu ERC-20, może być określone w kontrakcie jako, co tylko chce twórca kontraktu. Możliwe jest również, że umowa zabrania transferów, więc prawdziwi użytkownicy nie będą mogli pozbyć się tych fałszywych tokenów.

  • Prawdziwe transfery. Prawdziwi właściciele nie zapłaciliby za transfer fałszywego tokena do innych, więc jeśli są transfery, to muszą być prawdziwe, prawda? Źle. Zdarzenia Transfer są generowane przez kontrakt ERC-20. Oszust może z łatwością napisać kontrakt w taki sposób, aby wywołać takie działania.

Fałszywe strony

Oszuści mogą również tworzyć bardzo przekonujące strony, czasami nawet dokładne repliki ich autentycznych stron z identycznym interfejsem, ale z subtelnymi podstępami. Przykładami mogą być zewnętrzne linki, które wydają się prawdziwe, a w rzeczywistości wysyłają użytkownika do zewnętrznej fałszywej strony, lub nieprawidłowe instrukcje, które prowadzą użytkownika do ujawnienia kluczy lub wysłania środków na adres oszusta.

Najlepszą praktyką do omijania tego jest dokładne sprawdzanie adresu URL stron, które odwiedzasz oraz zapisywanie adresów znanych autentycznych stron w zakładkach. Następnie możesz uzyskać dostęp do prawdziwej strony za pomocą zakładek bez przypadkowego popełniania błędów ortograficznych lub polegania na zewnętrznych linkach.

Jak można się zabezpieczyć?

  1. Sprawdź adres kontraktu. Prawdziwe tokeny pochodzą od zaufanych organizacji, a adresy kontraktów można sprawdzić na stronie danej organizacji. Na przykład, dla ARB można zobaczyć prawdziwe adresy tutaj(opens in a new tab).

  2. Prawdziwe tokeny mają płynność. Inną opcją jest sprawdzenie na wielkość puli płynności na Uniswap(opens in a new tab), jednym z najpopularniejszych protokołów wymiany tokenów. Protokół ten działa przy użyciu pula płynności, do których inwestorzy wpłacają swoje tokeny w nadziei zwrotu z opłat transakcyjnych.

Fałszywe tokeny mają najczęściej małe pule płynności, jeśli jakieś w ogóle mają, ponieważ oszuści nie chcą ryzykować utratą prawdziwych aktywów. Na przykład, pula ARB/ETH na Uniswap wynosi około miliona dolarów (po aktualną wartość zajrzyj tutaj(opens in a new tab)), a kupowanie lub sprzedawanie małych ilości nie zmieni ceny:

Kupowanie prawdziwego tokena

Jednak, kiedy spróbujesz kupić fałszywy token wARB, nawet niewielki zakup zmieniłby cenę o ponad 90%:

Kupowanie fałszywego tokena

To kolejna część dowodu, która pokazuje nam, że wARB najprawdopodobniej nie jest prawdziwym tokenem.

  1. Sprawdź w Etherscan. Wiele fałszywych tokenów zostało już zidentyfikowanych i zgłoszonych przez społeczność. Takie tokeny zostają oznaczone na stronie Etherscan(opens in a new tab). Chociaż Etherscan nie jest autorytatywnym źródłem prawdy (naturą zdecentralizowanych sieci jest to, że nie może istnieć autorytatywne źródło wiarygodności), to tokeny, które są identyfikowane przez Etherscan jako fałszywe, prawdopodobnie są fałszywe.

    Fałszywe tokeny na Etherscan

Podsumowanie

Tak długo, jak na świecie istnieje wartość, będą istnieć oszuści, którzy będą próbowali ją ukraść dla siebie, a w zdecentralizowanym świecie nie ma nikogo, kto mógłby Cię chronić, z wyjątkiem ciebie samego. Miejmy nadzieję, że zapamiętasz te punkty, które pomogą Ci odróżnić prawdziwe tokeny od tych fałszywych:

  • Fałszywe tokeny podszywają się pod prawdziwe tokeny, mogą używać tej samej nazwy, symbolu itp.
  • Fałszywe tokeny nie mogą korzystać z tego samego adresu kontraktu.
  • Najlepszym źródłem adresu prawdziwego tokena jest organizacja, której ten token jest.
  • W przeciwnym razie można skorzystać z popularnych i zaufanych aplikacji, takich jak Uniswap(opens in a new tab) i Etherscan(opens in a new tab).

Czy ten artykuł był pomocny?