Як розпізнати шахрайські токени
Одне з найпоширеніших застосувань Ethereum – це створення групою осіб торгового токена, у певному сенсі – своєї власної валюти. Зазвичай ці токени відповідають стандарту ERC-20. Однак скрізь, де є законні способи використання, що приносять вигоду, завжди з’являються злочинці, які намагаються вкрасти її.
Існують два способи, за допомогою яких вони, імовірно, намагатимуться обманути вас.
- Продаж вам шахрайського токена, який може виглядати як справжній токен, який ви хочете придбати, але випущений шахраями й нічого не вартий.
- Змушують вас підписувати шкідливі транзакції, зазвичай перенаправляючи вас у власний користувацький інтерфейс. Можливо, вони спробують переконати вас дозволити використання їхніх контрактів з вашими ERC-20 токенами, розкриваючи конфіденційну інформацію, яка надасть їм доступ до ваших активів, тощо. Ці інтерфейси користувача можуть бути практично ідеальними копіями чесних сайтів, але з прихованими хитрощами.
Щоб проілюструвати, що таке шахрайські токени та як їх розпізнати, ми розглянемо один приклад: wARB (opens in a new tab). Цей токен намагається виглядати як справжній токен ARB (opens in a new tab).
Як працюють шахрайські токени?
Уся сутність Ethereum — децентралізація. Це означає, що немає центрального органу, який може конфіскувати ваші активи або перешкодити вам розгорнути смартконтракт. Але це також означає, що шахраї можуть розгорнути будь-який смартконтракт, який вони хочуть.
Зокрема, Arbitrum розгорнула контракт, який використовує символ ARB. Але це не заважає іншим людям також розгортати контракт, який використовує той самий або схожий символ. Людина, яка пише контракт, має змогу налаштувати, що він робитиме.
Імітація законності
Є кілька хитрощів, на які йдуть творці шахрайських токенів, щоб вони здавалися справжніми.
-
Справжнє ім’я та символ. Як згадувалося раніше, всі контракти ERC-20 можуть мати такий самий символ і назву, як інші контракти ERC-20. Ви не можете розраховувати на ці поля для перевірки безпечності.
-
Справжні власники. Шахрайські токени часто передають значні кошти на адреси, які можуть бути справжніми власниками реального токена.
Наприклад, розгляньмо знову
wARB. Близько 16 % токенів (opens in a new tab) зберігаються за адресою, публічний тег якої — Arbitrum Foundation: Deployer (opens in a new tab). Це не фейкова адреса, це справді адреса, яка розгорнула справжній контракт ARB в основній мережі Ethereum (opens in a new tab).Оскільки баланс ERC-20 адреси є частиною сховища контракту ERC-20, він може бути визначений контрактом таким, як забажає розробник контракту. Також контракт може заборонити перекази, і законні користувачі не зможуть позбутися цих шахрайських токенів.
-
Справжні перекази. Справжні власники не платили б за переказ шахрайського токена іншим, тож якщо є перекази, він має бути справжнім, чи не так? Неправильно. Події
Transferстворюються контрактом ERC-20. Шахрай може легко написати контракт таким чином, що він буде виконувати ці дії.
Шахрайські вебсайти
Шахраї також можуть створювати дуже переконливі сайти, іноді навіть точні клони справжніх сайтів з ідентичними інтерфейсами, але з непомітними хитрощами. Прикладом можуть бути зовнішні посилання, які здаються справжніми, але відправляють користувача на зовнішній шахрайський сайт, або неправильні інструкції, дотримуючись яких користувач розкриє свої ключі або надішле кошти на адресу зловмисника.
Найкращий спосіб уникнути цього — ретельно перевіряти URL-адреси сайтів, які ви відвідуєте, та зберігати адреси відомих справжніх сайтів у закладках. Таким чином ви зможете отримати доступ до справжнього сайту через свої закладки, без випадкових помилок друку або сторонніх посилань.
Як можна захистити себе? Як захистити себе
-
Перевірте адресу контракту. Справжні токени надходять від законних організацій, і ви можете побачити адреси контрактів на сайті організації. Наприклад, справжні адреси для
ARBможна переглянути тут (opens in a new tab). -
Справжні токени мають ліквідність. Інший варіант — подивитися на розмір пулу ліквідності на Uniswap (opens in a new tab), одному з найпоширеніших протоколів обміну токенами. Цей протокол працює з використанням пулів ліквідності, у які інвестори вносять свої токени в надії на дохід від торгових зборів.
Шахрайські токени зазвичай мають крихітні пули ліквідності, якщо взагалі мають, тому що шахраї не хочуть ризикувати реальними активами. Наприклад, пул ARB/ETH на Uniswap містить близько мільйона доларів (актуальне значення дивіться тут (opens in a new tab)), і купівля або продаж невеликої суми не змінить ціну:
Але, коли ви намагаєтеся купити шахрайський токен wARB, навіть невелика покупка змінить ціну на понад 90%:
Це ще один доказ того, що wARB, імовірно, не є справжнім токеном.
-
Подивіться в Etherscan. Багато шахрайських токенів вже ідентифіковано, і про них повідомлено спільнотою. Такі токени позначені на Etherscan (opens in a new tab). Хоча Etherscan не є авторитетним джерелом істини (так працюють децентралізовані мережі — у них не може бути авторитетних джерел легітимності), токени, які ідентифікуються Etherscan як шахрайські, імовірно, такими є.
Висновок
Поки в світі є цінності, будуть і шахраї, які намагатимуться їх украсти, а в децентралізованому світі тебе ніхто не захистить, крім тебе самого. Сподіваюся, ви запам’ятаєте ці пункти, які допоможуть вам відрізнити законні токени від шахрайських.
- Шахрайські токени імітують справжні токени, вони можуть використовувати таке саме ім’я, символ тощо.
- Шахрайські токени не можуть використовувати ту саму адресу контракту.
- Найкращим джерелом відомостей про адресу контракту справжнього токена є організація, якій цей токен належить.
- В іншому випадку ви можете використовувати популярні, надійні застосунки, як-от Uniswap (opens in a new tab) та Blockscout (opens in a new tab).
Останні оновлення сторінки: 21 жовтня 2025 р.
