Przejdź do głównej treści

Jak rozpoznać fałszywe tokeny

Edytuj stronę (opens in a new tab)

Jednym z najczęstszych zastosowań Ethereum jest tworzenie przez grupę zbywalnego tokena, w pewnym sensie własnej waluty. Tokeny te zazwyczaj są zgodne ze standardem ERC-20. Jednak wszędzie tam, gdzie istnieją legalne przypadki użycia przynoszące wartość, pojawiają się również przestępcy, którzy próbują ukraść tę wartość dla siebie.

Istnieją dwa główne sposoby, na jakie mogą próbować Cię oszukać:

  • Sprzedaż fałszywego tokena, który może wyglądać jak legalny token, który chcesz kupić, ale został wyemitowany przez oszustów i jest bezwartościowy.
  • Nakłonienie Cię do podpisywania złośliwych transakcji, zazwyczaj poprzez przekierowanie do ich własnego interfejsu użytkownika. Mogą próbować nakłonić Cię do przyznania ich kontraktom limitu wydatków na Twoich tokenach ERC-20, ujawnienia poufnych informacji dających im dostęp do Twoich aktywów itp. Te interfejsy użytkownika mogą być niemal idealnymi klonami uczciwych stron, ale z ukrytymi sztuczkami.

Aby zilustrować, czym są fałszywe tokeny i jak je rozpoznać, przyjrzymy się przykładowi jednego z nich: wARB (opens in a new tab). Ten token próbuje wyglądać jak legalny token ARB (opens in a new tab).

Arbitrum to organizacja, która rozwija i zarządza optymistycznymi rollupami. Początkowo Arbitrum było zorganizowane jako firma nastawiona na zysk, ale następnie podjęło kroki w celu decentralizacji. W ramach tego procesu wyemitowano zbywalny token zarządzania.

W Ethereum istnieje konwencja, że gdy aktywo nie jest zgodne ze standardem ERC-20, tworzymy jego „opakowaną” wersję z nazwą zaczynającą się od „w”. Tak więc, na przykład, mamy wBTC dla bitcoina i wETH dla etheru.

Nie ma sensu tworzyć opakowanej wersji tokena ERC-20, który jest już na Ethereum, ale oszuści polegają na pozorach legalności, a nie na rzeczywistości.

Jak działają fałszywe tokeny?

Cały sens Ethereum polega na decentralizacji. Oznacza to, że nie ma centralnego organu, który mógłby skonfiskować Twoje aktywa lub uniemożliwić Ci wdrożenie inteligentnego kontraktu. Oznacza to jednak również, że oszuści mogą wdrożyć dowolny inteligentny kontrakt, jaki tylko zechcą.

Inteligentne kontrakty to programy działające na blockchainie Ethereum. Każdy token ERC-20, na przykład, jest zaimplementowany jako inteligentny kontrakt.

Konkretnie, Arbitrum wdrożyło kontrakt, który używa symbolu ARB. Nie powstrzymuje to jednak innych osób przed wdrożeniem kontraktu, który używa dokładnie tego samego lub podobnego symbolu. Ten, kto pisze kontrakt, decyduje o tym, co ten kontrakt będzie robił.

Stwarzanie pozorów legalności

Twórcy fałszywych tokenów stosują kilka sztuczek, aby wydawać się legalnymi.

  • Legalna nazwa i symbol. Jak wspomniano wcześniej, kontrakty ERC-20 mogą mieć ten sam symbol i nazwę, co inne kontrakty ERC-20. Nie możesz polegać na tych polach w kwestii bezpieczeństwa.

  • Prawowici właściciele. Fałszywe tokeny często przeprowadzają airdrop znacznych sald na adresy, co do których można oczekiwać, że są prawowitymi posiadaczami prawdziwego tokena.

    Na przykład, spójrzmy ponownie na wARB. Około 16% tokenów (opens in a new tab) znajduje się na adresie, którego publiczny tag to Arbitrum Foundation: Deployer (opens in a new tab). To nie jest fałszywy adres, to naprawdę jest adres, który wdrożył prawdziwy kontrakt ARB w sieci głównej Ethereum (opens in a new tab).

    Ponieważ saldo ERC-20 danego adresu jest częścią pamięci kontraktu ERC-20, może ono zostać określone przez kontrakt na dowolną wartość, jakiej zażyczy sobie jego twórca. Możliwe jest również, aby kontrakt zabraniał transferów, przez co prawowici użytkownicy nie będą w stanie pozbyć się tych fałszywych tokenów.

  • Legalne transfery. Prawowici właściciele nie płaciliby za transfer fałszywego tokena do innych, więc jeśli są transfery, to musi być on legalny, prawda? Błąd. Zdarzenia Transfer są generowane przez kontrakt ERC-20. Oszust może łatwo napisać kontrakt w taki sposób, aby generował te akcje.

Oszukańcze strony internetowe

Oszuści mogą również tworzyć bardzo przekonujące strony internetowe, czasami nawet dokładne klony autentycznych witryn z identycznymi interfejsami użytkownika, ale z subtelnymi sztuczkami. Przykładami mogą być zewnętrzne linki, które wydają się legalne, a w rzeczywistości odsyłają użytkownika do zewnętrznej strony oszustów, lub nieprawidłowe instrukcje, które prowadzą użytkownika do ujawnienia swoich kluczy lub wysłania środków na adres atakującego.

Najlepszą praktyką, aby tego uniknąć, jest uważne sprawdzanie adresów URL odwiedzanych stron i zapisywanie adresów znanych, autentycznych witryn w zakładkach. W ten sposób możesz uzyskać dostęp do prawdziwej strony za pośrednictwem zakładek, bez przypadkowego popełniania błędów w pisowni lub polegania na zewnętrznych linkach.

Jak możesz się chronić?

  1. Sprawdź adres kontraktu. Legalne tokeny pochodzą od legalnych organizacji, a adresy kontraktów można znaleźć na stronie internetowej danej organizacji. Na przykład, dla ARB możesz zobaczyć legalne adresy tutaj (opens in a new tab).

  2. Prawdziwe tokeny mają płynność. Inną opcją jest sprawdzenie wielkości puli płynności na Uniswap (opens in a new tab), jednym z najpopularniejszych protokołów wymiany tokenów. Ten protokół działa w oparciu o pule płynności, do których inwestorzy deponują swoje tokeny w nadziei na zwrot z opłat transakcyjnych.

Fałszywe tokeny zazwyczaj mają znikome pule płynności, jeśli w ogóle je posiadają, ponieważ oszuści nie chcą ryzykować prawdziwych aktywów. Na przykład pula Uniswap ARB/ETH przechowuje około miliona dolarów (zobacz tutaj aktualną wartość (opens in a new tab)), a kupno lub sprzedaż niewielkiej ilości nie zmieni ceny:

Buying a legitimate token

Ale kiedy spróbujesz kupić fałszywy token wARB, nawet najmniejszy zakup zmieniłby cenę o ponad 90%:

Buying a scam token

To kolejny dowód, który pokazuje nam, że wARB najprawdopodobniej nie jest legalnym tokenem.

  1. Sprawdź w Etherscan. Wiele fałszywych tokenów zostało już zidentyfikowanych i zgłoszonych przez społeczność. Takie tokeny są oznaczone w Etherscan (opens in a new tab). Chociaż Etherscan nie jest autorytatywnym źródłem prawdy (naturą zdecentralizowanych sieci jest to, że nie może istnieć autorytatywne źródło legalności), tokeny zidentyfikowane przez Etherscan jako oszustwa najprawdopodobniej nimi są.

    Scam token in Etherscan

Podsumowanie

Dopóki na świecie istnieje wartość, będą istnieli oszuści, którzy spróbują ją ukraść dla siebie, a w zdecentralizowanym świecie nie ma nikogo, kto by Cię chronił, poza Tobą samym. Mamy nadzieję, że zapamiętasz te punkty, które pomogą Ci odróżnić legalne tokeny od oszustw:

  • Fałszywe tokeny podszywają się pod legalne tokeny, mogą używać tej samej nazwy, symbolu itp.
  • Fałszywe tokeny nie mogą używać tego samego adresu kontraktu.
  • Najlepszym źródłem adresu legalnego tokena jest organizacja, do której ten token należy.
  • W przeciwnym razie możesz skorzystać z popularnych, zaufanych aplikacji, takich jak Uniswap (opens in a new tab) i Blockscout (opens in a new tab).

Ostatnia aktualizacja strony: 6 czerwca 2026

wosek_w (opens in a new tab)
daniel.zarzecki047d (opens in a new tab)
mdqstm (opens in a new tab)
+10