К нам в криптовалютный обменник Rabbit Swap клиенты нередко переводят токены, которые имеют то же название, что и настоящие, но настоящими, тем не менее, не являются. Например, пользователь, который хочет обменять USDT на USDC, может прислать нам токен, который называется USDT, отображается и в кошельках, и в обозревателях блокчейна как USDT, но при этом выпущен не компанией Tether - то есть является подделкой.
Мы, будучи профессионалами в обмене, очень легко можем понять, что токен ненастоящий. В принципе, так же легко это может понять и любой внимательный пользователь. Например, на скриншоте выше можно увидеть, что поддельный USDT выпущен в количестве 1 млрд токенов[1], все эти токены находятся на пяти адресах[2], и с ними совершено лишь 35 транзакций за всё время существования блокчейна[3].
Но проблема в том, что всё это можно увидеть, только если зайти на страницу токена в обозревателе блоков. А в обычном криптовалютном кошельке, как правило, отображается только название токена (USDT) и количество токенов в кошельке. Поэтому наши пользователи иногда даже не подозревают о том, что отправленные ими токены - подделка. Они получили их от кого-то и были уверены, что токены настоящие.
Очень горько бывает, когда наши специалисты поддержки должны донести до клиентов мысль о том, что эти токены ничего не стоят. Особенно если речь идёт о крупной сумме. Случается, что клиенты до последнего отказываются верить, что 50 000 USDT, которые они хотели обменять, - это вовсе не аналог 50 000 долларов.
В этой статье я хочу разобраться, почему так получается, и есть ли у проблемы фейковых токенов какое-нибудь решение.
Почему и зачем создаются фейковые токены?
Большинство блокчейнов - полностью открытые. Каждый может внести в них абсолютно любую запись. Нет инстанции, которая могла бы запретить вписывать в блокчейн запись о создании токена с тем или иным названием. С одной стороны, это плюс: технически не может быть никакой цензуры. С другой стороны, это приводит к тому, что в одной сети могут сосуществовать десятки токенов с одинаковым названием.
Проблема ярко проявилась во времена ICO и DeFi-бумов на Ethereum. На Uniswap и других DEX любой мог добавить свой токен, и мошенники создавали поддельные версии горячих новинок. Одним из первых примеров стал токен проекта Polkastarter (POLS). Сразу после токенсейла в сентябре 2020 года его цена взлетела на сотни процентов. Злоумышленники сразу же выпустили фальшивые токены POLS и добавили их на Uniswap.
В интерфейсе Uniswap оригинал отличался от подделок: только у оригинала был собственный логотип. Тем не менее, некоторые пользователи попались на фальшивки. Одну из подделок купили на сумму более $30 000.
А в интерфейсах обычных кошельков различия могли и вовсе отсутствовать. Где-то логотипы не отображались. А там, где отображались, они брались из внешних источников, куда злоумышленники вполне могли загрузить картинку и изображением оригинального логотипа Polkastarter.
Бывают и ситуации, когда токены называются по-разному, но имеют одинаковые биржевые тикеры (сокращённые наименования). Это тоже может вводить в заблуждение - даже если у создателей токена не было такого намерения. Например, когда Uniswap выставил на торги собственный токен UNI, некоторые трейдеры перепутали его с другим токеном UNI - токеном проекта Unicorn, - стали массово покупать его и накачали его цену с $0,001 до $5 (в 5 000 раз!). Как только недоразумение стало очевидным, все бросились продавать Unicorn, и его цена очень быстро упала обратно до $0,001. Кто-то потерял на этом деньги, а кто-то, наоборот, случайно нажился.
Отдельного внимания заслуживают случаи, когда выпускается токен, название которого мимикрирует не под другой токен, а под криптовалютный сервис, у которого нет собственного токена. Запускается слух, что это токен того самого проекта, просто об этом токене якобы ещё официально не объявлено, и поэтому он такой дешёвый. Например, в январе 2025 стартап SoSoValue сообщил, что неизвестные выпустили в BSC фейковый токен SOSO от имени компании, хотя никакой криптовалюты они не выпускали. Пользователей призвали не вестись на токен с их названием и внимательно проверять источники информации.
Купив поддельный токен, вы вряд ли сможете его кому-нибудь продать (если только сами не обманете покупателя, убедив его, что токен настоящий). Но, как ни странно, иногда бывает такое, что и на поддельный токен находится спрос:
- 13 февраля 2025 года Чанпен Чжао представил в X своего питомца - собаку по кличке Брокколи. В своём посте он особо отметил, что не выпускает токен с её именем. Тем не менее, в блокчейне BNB Chain было создано несколько токенов с названием Broccoli, и некоторые из них до сих пор востребованы на рынке - в частности, доступны для обмена на rabbit.io.
- 12 марта 2025 года фальшивый токен PAWS торговался на дексе Raydium по цене, в 90 раз превышающей цену реального токена PAWS на Bybit.
Спрос есть на те токены, к которым удаётся привлечь внимание. А некоторые создатели “контрафактных” токенов отлично умеют привлекать внимание к своим поделкам.
Но всё же не стоит на это рассчитывать. Если вы получили фейковый токен - я бы не советовал искать информацию о том, где его можно слить.
В 2021 году в блокчейне Tron злоумышленники рассылали на тысячи адресов бесплатные токены с громкими именами, часто копирующими реальные криптовалюты. Пользователь, обнаружив неожиданный “подарок”, мог попытаться его продать. И тут его ждал капкан: на единственной площадке, где такой токен оказывался доступным для обмена, всплывало требование одобрить подозрительный смарт-контракт, что грозило взломом кошелька.
Сейчас эта история уже почти забыта. И я боюсь, что у злоумышленников может возникнуть искушение повторить её на каком-нибудь другом блокчейне, где можно дёшево рассылать токены по тысячам адресов.
Неужели проблему фейковых токенов невозможно решить?
Технические решения есть.
Первые протоколы токенизации (Colored Coins, Omni Layer, Counterparty) появились в 2012 - 2014 годах и использовали блокчейн Биткоина. Colored Coins и Omni Layer не содержали ограничений на многократное использование одних и тех же имён разными токенами, а в Counterparty такие ограничения уже появились. И если на платформе Counterparty в 2014 году был выпущен актив с наименованием LTBCOIN, то и сейчас, в 2025 году, увидев токен с этим наименованием, мы можем быть уверены, что это тот самый токен из 2014 года. Алгоритм создания токена включает в себя проверку, не было ли его имя зарегистрировано в протоколе ранее. И если имя уже встречается, транзакция создания токена будет отклонена.
Но такой подход не прижился. История системы доменных имён (работающей по тому же принципу) показывает нам, что красивые имена быстро расхватываются, а названия реальных коммерческих проектов зачастую резервируются киберсквоттерами, которые к самому проекту никакого отношения не имеют. Таким образом всё равно можно создавать фейковые токены проектов, если сам создатель проекта не подсуетится и не зарегистрирует своё название на всех возможных платформах для запуска токенов. Возможно, именно поэтому решение, предложенное Counterparty, не было использовано ни на одной популярной платформе для токенизации: ни в Ethereum, ни в Solana, ни в BNB Chain, ни где-либо ещё.
Интересную доработку этого подхода можно увидеть и на платформе Runes, запущенной поверх блокчейна Биткоина в апреле 2024 года. У всех токенов, которые выпускаются на ней, уникальные наименования. Но занять имена наподобие USDT или USDC сейчас нельзя.
На первом этапе, пока о платформе почти никто не знал, была технически доступна регистрация имён длиной 13 символов и более. Регистрация открылась в блоке Биткоина 840 000 (добыт 20 апреля 2024 года), и ограничение на 13 символов сохранялось на протяжении 17 500 блоков. Начиная с блока 857 500 (добыт 19 августа 2024 года) стало возможно регистрировать 12-символьные имена. В блоке 875 000 открылась возможность для регистрации 11-символьных имён.
Четырёхсимвольные наименования (наподобие USDT и USDC) станут доступны примерно в апреле 2027 года. Создатели протокола надеются, что к тому времени он обретёт достаточную популярность, чтобы эмитенты соответствующих токенов озаботились и зарегистрировали эти имена самостоятельно, не давая такой возможности сквоттерам.
Однако спустя год после запуска протокола Runes у меня складывается впечатление, что популярности он не приобрёл. Создатели токенов предпочитают выпускать их на других платформах: более дешёвых и более простых. А в них защиты от фейковых токенов на уровне протокола не предусмотрено.
Вместо этого разрабатываются решения на уровне приложений.
В обозревателях блоков (например, Etherscan, BscScan, TronScan) известные проверенные токены могут отмечаться галочками. Если такой галочки нет, пользователю следует с осторожностью воспринимать токен.
В кошельках (MetaMask, wallet.rabbit.io и других) по умолчанию отображается баланс только в тех токенах, которые проверены разработчиками. Фейковые токены, поступившие на адрес кошелька, пользователь даже не увидит на своём балансе. В MetaMask любой токен можно добавить вручную, но добавление нового токена требует от пользователя взглянуть чуть дальше, чем на его название. Как минимум, пользователь должен узнать адрес смарт-контракта, а это уже даёт информацию, необходимую для идентификации фейкового токена.
Но такие “белые списки” могут стать дополнительным барьером для развития новых, малоизвестных, но вполне безобидных токенов. Им будет труднее пробиться к потенциальному пользователю.
Можно попытаться заменить белые списки чёрными - списками подозрительных токенов. Но это создаст новые трудности. Например, в сети Waves в 2019 году применялись чёрные списки, и токен локального сообщества HBTC (Humboldt Bitcoin) через несколько месяцев активного обращения внезапно был помечен как спам только из-за своего тикера HBTC, в результате чего пользователи, имевшие этот токен, внезапно перестали его видеть в кошельках, хотя создатели токена никого не обманывали.
Кроме того, разрабатываются схемы унифицированных указателей токенов (UTL - по аналогии с URL во всемирной паутине). В них вместо названия предлагается использовать сочетание “сеть:ID_токена”:
- ethereum:0xa0b86991c6218b36c1d19d4a2e9eb0ce3606eb48
- solana:EPjFWdd5AufqSSqeM2qN1xzybapC8G4wEGGkZwyTDt1v
- stellar:USDC-GA5ZSEJYB37JRC5AVCIA5MOP4RHTM335X2KGX3IHOJAPP5RE34K4KZVN
Таким образом, получится что-то похожее на современную всемирную паутину.
- Есть название сайта: Medium. И есть URL сайта: https://medium.com . Когда мы пересылаем информацию о сайте друг другу - мы обычно используем не название, а URL, потому что так надёжнее.
- Есть название токена: USD Coin. И есть несколько UTL этого токена (см. выше). Почему бы не сообщать контрагенту UTL вместо названия? Теоретически это должно быть не труднее, чем дать ссылку на сайт.
Выглядит неплохо. И вроде бы решает не только проблему фейковых токенов, но и проблему отправки токенов не в ту сеть. С этой проблемой тоже иногда сталкиваются клиенты обменника rabbit.io: например, собираются обменять USDT-ERC20 на BTC, но отправляют USDT не в сети Ethereum, а в сети Base. В этом случае обмен или возврат токенов приходится проводить вручную, а это требует гораздо больше времени, чем обычные автоматические обмены, которые мы проводим.
Тем не менее, UTL в том виде, в котором оно предложено, не решает проблему полностью. Если мы возьмём указатели ethereum:0xa0… , solana:EPjF… , stellar:USDC-GA… , то вторая их часть (та, которая после двоеточия) действительно уникальна. А как насчёт первой?
Что мешает нам запустить новый блокчейн первого уровня и назвать его Ethereum, Solana или даже Bitcoin? А ничего! С Биткоином такое уже было. В августе 2017 года произошёл хардфорк сети Биткоина, и возникает Bitcoin Cash (BCH). Осенью-зимой 2017-2018 на сайте bitcoin.com позиционировали Bitcoin Cash как основной Биткоин. При этом исходный Биткоин обозначался “Bitcoin Core” (по названию основного клиента). В результате такого маркетинга пользователи часто путались и по ошибке покупали BCH, думая, что это оригинальный биткоин (BTC). Под давлением общественности эта практика была прекращена, но данный случай показывает, что технически даже крупнейшие криптовлаюты, имеющие собственные блокчейны, не защищены от подражателей.
С Эфириумом ситуация не лучше. До сих пор есть люди, которые считают, что настоящий Эфириум - это Эфириум Классик. Как вы думаете, какую сеть будут иметь в виду такие люди, когда они дадут вам UTL вида ethereum:0xa0…?
В общем, в обозримом будущем проблема фейковых токенов никуда не денется, несмотря на обилие технических решений.
И что же делать?
Остаётся только самостоятельно следить за всеми теми токенами, которые поступают к вам в кошелёк.
Если вы получили токены от rabbit.io в результате обмена, то можете быть уверены, что эти токены - настоящие.
А чтобы не получить фальшивые токены из непроверенного источника, имеет смысл использовать кошелёк, в котором отображаются только проверенные токены или те токены, которые вы регулярно используете. А прежде чем использовать новый токен - узнайте в его официальном сообществе либо адрес смарт-контракта токена (для сетей, выпускающих токены так же, как это делается в Ethereum, Tron или Solana), либо технический идентификатор токена (для таких сетей, как Bitcoin, Stellar или Avalanche X-Chain). Добавьте в кошелёк токен именно с этим адресом или идентификатором. В этом случае вы можете быть уверены, что токены, мимикрирующие под настоящий, вы в своём кошельке просто не увидите.
