Chuyển đến nội dung chính

Cách nhận biết token lừa đảo

Chỉnh sửa trang (opens in a new tab)

Một trong những ứng dụng phổ biến nhất của Ethereum là cho phép một nhóm tạo ra một token có thể giao dịch, theo một nghĩa nào đó là tiền tệ của riêng họ. Các token này thường tuân theo một tiêu chuẩn, ERC-20. Tuy nhiên, ở bất cứ nơi nào có các trường hợp sử dụng hợp pháp mang lại giá trị, ở đó cũng có những kẻ tội phạm cố gắng đánh cắp giá trị đó cho riêng mình.

Có hai cách mà chúng có thể lừa dối bạn:

  • Bán cho bạn một token lừa đảo, có thể trông giống như token hợp pháp mà bạn muốn mua, nhưng lại do những kẻ lừa đảo phát hành và không có giá trị gì.
  • Lừa bạn vào việc ký các giao dịch xấu, thường bằng cách hướng bạn đến giao diện người dùng của riêng chúng. Chúng có thể cố gắng lừa bạn cấp cho các hợp đồng của chúng một hạn mức trên các token ERC-20 của bạn, làm lộ thông tin nhạy cảm giúp chúng có quyền truy cập vào tài sản của bạn, v.v. Những giao diện người dùng này có thể là bản sao gần như hoàn hảo của các trang web trung thực, nhưng chứa các thủ đoạn ẩn.

Để minh họa token lừa đảo là gì và cách nhận biết chúng, chúng ta sẽ xem xét một ví dụ: wARB (opens in a new tab). Token này cố gắng ngụy trang giống như token ARB (opens in a new tab) hợp pháp.

Arbitrum là một tổ chức phát triển và quản lý các bản cuộn optimistic (optimistic rollups). Ban đầu, Arbitrum được tổ chức dưới dạng một công ty vì lợi nhuận, nhưng sau đó đã thực hiện các bước để phi tập trung hóa. Là một phần của quá trình đó, họ đã phát hành một token quản trị có thể giao dịch.

Có một quy ước trên Ethereum là khi một tài sản không tuân thủ ERC-20, chúng ta tạo ra một phiên bản "được bọc" (wrapped) của nó với tên bắt đầu bằng chữ "w". Vì vậy, ví dụ, chúng ta có wBTC cho bitcoin và wETH cho ether.

Việc tạo ra một phiên bản được bọc của một token ERC-20 đã có sẵn trên Ethereum là không hợp lý, nhưng những kẻ lừa đảo dựa vào vẻ ngoài hợp pháp thay vì thực tế cơ bản.

Token lừa đảo hoạt động như thế nào?

Mục đích cốt lõi của Ethereum là sự phi tập trung. Điều này có nghĩa là không có cơ quan trung ương nào có thể tịch thu tài sản của bạn hoặc ngăn cản bạn triển khai một hợp đồng thông minh. Nhưng điều đó cũng có nghĩa là những kẻ lừa đảo có thể triển khai bất kỳ hợp đồng thông minh nào chúng muốn.

Hợp đồng thông minh là các chương trình chạy trên chuỗi khối Ethereum. Ví dụ, mọi token ERC-20 đều được triển khai dưới dạng một hợp đồng thông minh.

Cụ thể, Arbitrum đã triển khai một hợp đồng sử dụng ký hiệu ARB. Nhưng điều đó không ngăn cản những người khác cũng triển khai một hợp đồng sử dụng ký hiệu giống hệt hoặc tương tự. Bất cứ ai viết hợp đồng đều có quyền thiết lập những gì hợp đồng đó sẽ làm.

Ngụy trang thành hợp pháp

Có một số thủ đoạn mà những kẻ tạo ra token lừa đảo sử dụng để trông có vẻ hợp pháp.

  • Tên và ký hiệu hợp pháp. Như đã đề cập trước đó, các hợp đồng ERC-20 có thể có cùng ký hiệu và tên với các hợp đồng ERC-20 khác. Bạn không thể dựa vào những trường thông tin đó để đảm bảo an toàn.

  • Chủ sở hữu hợp pháp. Các token lừa đảo thường airdrop số dư lớn đến các địa chỉ được cho là những người nắm giữ hợp pháp của token thật.

    Ví dụ, hãy xem lại wARB. Khoảng 16% số token (opens in a new tab) được nắm giữ bởi một địa chỉ có thẻ công khai là Arbitrum Foundation: Deployer (opens in a new tab). Đây không phải là một địa chỉ giả mạo, nó thực sự là địa chỉ đã triển khai hợp đồng ARB thật trên mạng chính Ethereum (opens in a new tab).

    Bởi vì số dư ERC-20 của một địa chỉ là một phần trong bộ nhớ của hợp đồng ERC-20, nó có thể được hợp đồng chỉ định thành bất cứ thứ gì mà nhà phát triển hợp đồng muốn. Một hợp đồng cũng có thể cấm việc chuyển token để những người dùng hợp pháp sẽ không thể loại bỏ những token lừa đảo đó.

  • Các giao dịch chuyển hợp pháp. Những chủ sở hữu hợp pháp sẽ không trả phí để chuyển một token lừa đảo cho người khác, vì vậy nếu có các giao dịch chuyển thì nó phải là hợp pháp, đúng không? Sai. Các sự kiện Transfer được tạo ra bởi hợp đồng ERC-20. Một kẻ lừa đảo có thể dễ dàng viết hợp đồng theo cách mà nó sẽ tạo ra những hành động đó.

Các trang web lừa đảo

Những kẻ lừa đảo cũng có thể tạo ra các trang web rất thuyết phục, đôi khi thậm chí là bản sao chính xác của các trang web xác thực với giao diện người dùng giống hệt, nhưng chứa các thủ đoạn tinh vi. Ví dụ có thể là các liên kết bên ngoài có vẻ hợp pháp nhưng thực chất lại gửi người dùng đến một trang web lừa đảo bên ngoài, hoặc các hướng dẫn sai lệch dẫn dắt người dùng làm lộ khóa của họ hoặc gửi tiền đến địa chỉ của kẻ tấn công.

Cách tốt nhất để tránh điều này là kiểm tra cẩn thận URL của các trang web bạn truy cập và lưu địa chỉ của các trang web xác thực đã biết vào dấu trang (bookmarks) của bạn. Sau đó, bạn có thể truy cập trang web thật thông qua dấu trang của mình mà không vô tình mắc lỗi chính tả hoặc phụ thuộc vào các liên kết bên ngoài.

Làm thế nào bạn có thể tự bảo vệ mình?

  1. Kiểm tra địa chỉ hợp đồng. Các token hợp pháp đến từ các tổ chức hợp pháp và bạn có thể xem địa chỉ hợp đồng trên trang web của tổ chức đó. Ví dụ, đối với ARB bạn có thể xem các địa chỉ hợp pháp tại đây (opens in a new tab).

  2. Token thật có thanh khoản. Một lựa chọn khác là xem xét quy mô pool thanh khoản trên Uniswap (opens in a new tab), một trong những giao thức hoán đổi token phổ biến nhất. Giao thức này hoạt động bằng cách sử dụng các pool thanh khoản, nơi các nhà đầu tư gửi token của họ vào với hy vọng nhận được lợi nhuận từ phí giao dịch.

Các token lừa đảo thường có các pool thanh khoản rất nhỏ, nếu có, bởi vì những kẻ lừa đảo không muốn mạo hiểm với tài sản thật. Ví dụ, pool Uniswap ARB/ETH nắm giữ khoảng một triệu đô la (xem tại đây để biết giá trị cập nhật (opens in a new tab)) và việc mua hoặc bán một lượng nhỏ sẽ không làm thay đổi giá:

Buying a legitimate token

Nhưng khi bạn cố gắng mua token lừa đảo wARB, ngay cả một giao dịch mua rất nhỏ cũng sẽ làm thay đổi giá hơn 90%:

Buying a scam token

Đây là một bằng chứng khác cho chúng ta thấy wARB không có khả năng là một token hợp pháp.

  1. Tra cứu trên Etherscan. Rất nhiều token lừa đảo đã được cộng đồng xác định và báo cáo. Những token như vậy được đánh dấu trên Etherscan (opens in a new tab). Mặc dù Etherscan không phải là một nguồn sự thật có thẩm quyền (bản chất của các mạng phi tập trung là không thể có một nguồn có thẩm quyền về tính hợp pháp), nhưng các token được Etherscan xác định là lừa đảo thì rất có khả năng là lừa đảo.

    Scam token in Etherscan

Kết luận

Chừng nào thế giới còn có giá trị, sẽ luôn có những kẻ lừa đảo cố gắng đánh cắp nó cho riêng mình, và trong một thế giới phi tập trung, không có ai bảo vệ bạn ngoại trừ chính bạn. Hy vọng rằng bạn sẽ nhớ những điểm này để giúp phân biệt các token hợp pháp với các token lừa đảo:

  • Các token lừa đảo mạo danh các token hợp pháp, chúng có thể sử dụng cùng tên, ký hiệu, v.v.
  • Các token lừa đảo không thể sử dụng cùng một địa chỉ hợp đồng.
  • Nguồn tốt nhất để lấy địa chỉ của token hợp pháp là tổ chức sở hữu token đó.
  • Nếu không có, bạn có thể sử dụng các ứng dụng phổ biến, đáng tin cậy như Uniswap (opens in a new tab)Blockscout (opens in a new tab).

Cập nhật trang lần cuối: 6 tháng 6, 2026

mdqstm (opens in a new tab)
corwintinesc (opens in a new tab)
austintgriffitha (opens in a new tab)
+8