Перейти до основного вмісту

Як розпізнати шахрайські токени

Редагувати сторінку (opens in a new tab)

Одне з найпоширеніших застосувань Етеріуму — це створення групою людей токена для торгівлі, у певному сенсі власної валюти. Ці токени зазвичай відповідають стандарту ERC-20. Однак там, де є законні варіанти використання, що приносять цінність, завжди знайдуться злочинці, які намагатимуться вкрасти цю цінність для себе.

Існує два основні способи, якими вони можуть вас обдурити:

  • Продаж шахрайського токена, який може виглядати як справжній токен, що ви хочете придбати, але випущений шахраями і нічого не вартий.
  • Обманом змусити вас підписати шкідливі транзакції, зазвичай шляхом переспрямування на їхній власний інтерфейс користувача. Вони можуть спробувати змусити вас надати їхнім контрактам дозвіл на ваші токени ERC-20, розкрити конфіденційну інформацію, яка дає їм доступ до ваших активів тощо. Ці інтерфейси користувача можуть бути майже ідеальними клонами чесних сайтів, але з прихованими пастками.

Щоб проілюструвати, що таке шахрайські токени та як їх розпізнати, ми розглянемо один із прикладів: wARB (opens in a new tab). Цей токен намагається виглядати як справжній токен ARB (opens in a new tab).

Arbitrum — це організація, яка розробляє та керує оптимістичними ролапами. Спочатку Arbitrum була організована як комерційна компанія, але згодом зробила кроки для децентралізації. У рамках цього процесу вони випустили токен управління, яким можна торгувати.

В Етеріумі існує правило: якщо актив не відповідає стандарту ERC-20, ми створюємо його «обгорнуту» версію, назва якої починається з «w». Наприклад, ми маємо WBTC для Біткоїна та WETH для етера.

Немає сенсу створювати обгорнуту версію токена ERC-20, який вже є в Етеріумі, але шахраї покладаються на видимість легітимності, а не на реальний стан речей.

Як працюють шахрайські токени?

Головна суть Етеріуму — це децентралізація. Це означає, що не існує центрального органу, який міг би конфіскувати ваші активи або перешкодити вам розгорнути смарт-контракт. Але це також означає, що шахраї можуть розгортати будь-які смарт-контракти за власним бажанням.

Смарт-контракти — це програми, які працюють поверх блокчейну Етеріум. Наприклад, кожен токен ERC-20 реалізований як смарт-контракт.

Зокрема, Arbitrum розгорнула контракт, який використовує символ ARB. Але це не заважає іншим людям також розгортати контракти, які використовують точно такий самий або схожий символ. Той, хто пише контракт, сам визначає, що цей контракт буде робити.

Створення видимості легітимності

Творці шахрайських токенів використовують кілька хитрощів, щоб виглядати легітимно.

  • Справжня назва та символ. Як зазначалося раніше, контракти ERC-20 можуть мати такий самий символ і назву, як і інші контракти ERC-20. Ви не можете покладатися на ці поля для безпеки.

  • Справжні власники. Шахрайські токени часто роблять ейрдроп значних сум на адреси, які, як очікується, є законними власниками справжнього токена.

    Наприклад, давайте знову поглянемо на wARB. Близько 16% токенів (opens in a new tab) зберігаються на адресі, публічний тег якої — Arbitrum Foundation: Deployer (opens in a new tab). Це не підроблена адреса, це дійсно та адреса, яка розгорнула справжній контракт ARB у головній мережі Ethereum (opens in a new tab).

    Оскільки баланс ERC-20 адреси є частиною сховища контракту ERC-20, він може бути встановлений контрактом таким, яким забажає розробник контракту. Також контракт може заборонити перекази, щоб законні користувачі не змогли позбутися цих шахрайських токенів.

  • Справжні перекази. Законні власники не стали б платити за переказ шахрайського токена іншим, тому якщо є перекази, то він має бути справжнім, чи не так? Неправильно. Події Transfer генеруються контрактом ERC-20. Шахрай може легко написати контракт таким чином, щоб він генерував ці дії.

Шахрайські вебсайти

Шахраї також можуть створювати дуже переконливі вебсайти, іноді навіть точні клони справжніх сайтів з ідентичним інтерфейсом, але з прихованими пастками. Прикладами можуть бути зовнішні посилання, які здаються справжніми, але насправді переспрямовують користувача на зовнішній шахрайський сайт, або неправильні інструкції, які змушують користувача розкрити свої ключі чи надіслати кошти на адресу зловмисника.

Найкраща практика, щоб уникнути цього, — ретельно перевіряти URL-адреси сайтів, які ви відвідуєте, і зберігати адреси відомих справжніх сайтів у своїх закладках. Тоді ви зможете отримати доступ до справжнього сайту через свої закладки, не роблячи випадкових орфографічних помилок і не покладаючись на зовнішні посилання.

Як ви можете захистити себе?

  1. Перевіряйте адресу контракту. Справжні токени випускаються законними організаціями, і ви можете побачити адреси контрактів на вебсайті організації. Наприклад, для ARB ви можете побачити справжні адреси тут (opens in a new tab).

  2. Справжні токени мають ліквідність. Інший варіант — подивитися на розмір пулу ліквідності на Юнісвоп (opens in a new tab), одному з найпоширеніших протоколів обміну токенів. Цей протокол працює з використанням пулів ліквідності, в які інвестори вносять свої токени в надії отримати прибуток від торгових комісій.

Шахрайські токени зазвичай мають крихітні пули ліквідності, якщо взагалі мають, оскільки шахраї не хочуть ризикувати реальними активами. Наприклад, пул Юнісвоп ARB/ETH містить близько мільйона доларів (актуальну вартість дивіться тут (opens in a new tab)), і купівля або продаж невеликої кількості не змінить ціну:

Buying a legitimate token

Але коли ви намагаєтеся купити шахрайський токен wARB, навіть крихітна покупка змінить ціну більш ніж на 90%:

Buying a scam token

Це ще один доказ, який показує нам, що wARB, швидше за все, не є справжнім токеном.

  1. Шукайте в Etherscan. Багато шахрайських токенів вже були виявлені спільнотою, про що було повідомлено. Такі токени позначені в Etherscan (opens in a new tab). Хоча Etherscan не є авторитетним джерелом істини (природа децентралізованих мереж полягає в тому, що не може бути єдиного авторитетного джерела легітимності), токени, які Etherscan визначає як шахрайські, швидше за все, такими і є.

    Scam token in Etherscan

Висновок

Поки у світі існує цінність, будуть і шахраї, які намагатимуться вкрасти її для себе, а в децентралізованому світі немає кому вас захистити, крім вас самих. Сподіваємося, ви запам'ятаєте ці пункти, які допоможуть відрізнити справжні токени від шахрайських:

  • Шахрайські токени видають себе за справжні токени, вони можуть використовувати таку саму назву, символ тощо.
  • Шахрайські токени не можуть використовувати ту саму адресу контракту.
  • Найкращим джерелом адреси справжнього токена є організація, якій належить цей токен.
  • Якщо це неможливо, ви можете скористатися популярними, надійними застосунками, такими як Юнісвоп (opens in a new tab) та Blockscout (opens in a new tab).

Останнє оновлення сторінки: 6 червня 2026 р.

jasminesproutj (opens in a new tab)
sun_dariias (opens in a new tab)
mdqstm (opens in a new tab)
+10