Як розпізнати шахрайські токени

Одне з найпоширеніших застосувань Ethereum - це створення групою осіб торгового токена, в деякому сенсі - своєї власної валюти. Ці токени зазвичай мають стандарт ERC-20. Однак скрізь, де є законні способи використання, що приносять вигоду, завжди з’являються злочинці, які намагаються вкрасти її.

Існують два способи, за допомогою яких вони, імовірно, намагатимуться обманути вас.

• Продаж вам шахрайського токена , який може виглядати як справжній токен, який ви хочете придбати, але створений шахраями й нічого не вартий.
• Введення вас в оману, щоб змусити підписати погані транзакції, зазвичай направляючи вас у свій інтерфейс користувача. Можливо, вони спробують переконати вас дозволити використання їхніх контрактів з вашими ERC-20 токенами, розкриваючи конфіденційну інформацію, яка надасть їм доступ до ваших активів, тощо. Ці інтерфейси користувача можуть бути практично ідеальними копіями чесних сайтів, але з прихованими хитрощами.

Щоб проілюструвати, що таке шахрайські токени і як їх розпізнати, ми розглянемо приклад одного з них: wARB(opens in a new tab). Цей токен намагається імітувати справжній токен ARB(opens in a new tab).

Як працюють шахрайські токени?

Уся сутність Ethereum — децентралізація. Це означає, що немає центрального органу, який може конфіскувати ваші активи або перешкодити вам розгорнути смартконтракт. Але це також означає, що шахраї можуть розгорнути будь-який смартконтракт, який вони хочуть.

Зокрема, організація Arbitrum розгорнула контракт, який використовує символ ARB. Але це не заважає іншим людям також розгортати контракт, який використовує той самий або схожий символ. Людина, яка пише контракт, має змогу налаштувати, що він робитиме.

Намагання імітувати справжній токен

Є кілька хитрощів, на які йдуть творці шахрайських токенів, щоб вони здавалися справжніми.

• Справжнє ім’я та символ. Як згадувалося раніше, всі контракти ERC-20 можуть мати такий самий символ і назву, як інші контракти ERC-20. Ви не можете розраховувати на ці поля для перевірки безпечності.

• Справжні власники. Шахрайські токени часто передають значні кошти на адреси, які можуть бути справжніми власниками реального токена.

  Наприклад, розгляньмо знову wARB. Близько 1 6% токенів(opens in a new tab) зберігаються адресою, публічним тегом якої є Arbitrum Foundation: Deployer(opens in a new tab). Це не фальшива адреса, це справді адреса, яка розгорнула реальний контракт ARB у головній мережі Ethereum(opens in a new tab).

  Оскільки баланс ERC-20 адреси є частиною сховища контракту ERC-20, він може бути визначений контрактом таким, як забажає розробник контракту. Також контракт може заборонити перекази, і законні користувачі не зможуть позбутися цих шахрайських токенів.

• Справжні перекази. Справжні власники не платили б за переказ шахрайського токена іншим, тому, якщо є перекази, все має бути законно, правильно? Неправильно. Події переказу здійснюються контрактом ERC-20. Шахрай може легко написати контракт таким чином, що він буде виконувати ці дії.

Шахрайські сайти

Шахраї також можуть створювати дуже переконливі сайти, іноді навіть точні клони справжніх сайтів з ідентичними інтерфейсами, але з непомітними хитрощами. Прикладом можуть бути зовнішні посилання, які здаються справжніми, але відправляють користувача на зовнішній шахрайський сайт, або неправильні інструкції, дотримуючись яких користувач розкриє свої ключі або надішле кошти на адресу зловмисника.

Найкращий спосіб уникнути цього — ретельно перевіряти URL-адреси сайтів, які ви відвідуєте, та зберігати адреси відомих справжніх сайтів у закладках. Таким чином ви зможете отримати доступ до справжнього сайту через свої закладки, без випадкових помилок друку або сторонніх посилань.

Як можна захистити себе?

1. Перевірте адресу контракту. Справжні токени надходять від законних організацій, і ви можете побачити адреси контрактів на сайті організації. Наприклад, для ARB ви можете побачити справжню адресу тут(opens in a new tab).

2. Справжні токени мають ліквідність. Інший варіант — подивитися на розмір пулу ліквідності в Uniswap(opens in a new tab), одному з найпоширеніших протоколів обміну токенами. Цей протокол працює з використанням пулів ліквідності, у які інвестори вносять свої токени в надії на дохід від торгових зборів.

Шахрайські токени зазвичай мають крихітні пули ліквідності, якщо взагалі мають, тому що шахраї не хочуть ризикувати реальними активами. Наприклад, пул Uniswap ARB/ETH має близько мільйона доларів (див. тут актуальне значення(opens in a new tab)), і покупка або продаж невеликої кількості не змінить ціну:

Але коли ви намагаєтеся купити шахрайський токен wARB, навіть крихітна покупка змінить ціну більш ніж на 90 %:

Це ще один доказ, який показує нам, що wARB не є справжнім токеном.

3. Подивіться в Etherscan. Багато шахрайських токенів вже ідентифіковано, і про них повідомлено спільнотою. Такі токени позначені в Etherscan(opens in a new tab). Хоча Etherscan не є авторитетним джерелом істини (так працюють децентралізовані мережі — у них не може бути авторитетних джерел легітимності), токени, які ідентифікуються Etherscan як шахрайські, імовірно, такими є.

   

Висновок

Поки в світі є цінності, будуть і шахраї, які намагатимуться їх украсти, а в децентралізованому світі тебе ніхто не захистить, крім тебе самого. Сподіваюся, ви запам’ятаєте ці пункти, які допоможуть вам відрізнити законні токени від шахрайських.

• Шахрайські токени імітують справжні токени, вони можуть використовувати таке саме ім’я, символ тощо.
• Шахрайські токени не можуть використовувати таку саму адресу контракту.
• Найкращим джерелом відомостей про адресу контракту справжнього токена є організація, якій цей токен належить.
• Крім цього, ви можете використовувати популярні програми, яким довіряють, як-от Uniswap(opens in a new tab) і Etherscan(opens in a new tab).