Tại sàn giao dịch tiền điện tử của chúng tôi, người dùng đôi khi gửi cho chúng tôi các token có cùng tên với các token hợp pháp - nhưng trên thực tế, chúng không phải là hàng thật. Ví dụ: ai đó muốn hoán đổi USDT lấy USDC có thể gửi cho chúng tôi một token có nhãn “USDT”. Nó trông giống như USDT trong ví của họ và trong trình khám phá khối, nhưng nó không phải do Tether phát hành. Đó là hàng giả.
Là những chuyên gia, chúng tôi có thể phát hiện ra các token giả ngay lập tức. Trên thực tế, bất kỳ người dùng chú ý nào cũng có thể làm được. Ví dụ: trong ảnh chụp màn hình ở trên, bạn có thể thấy rằng token USDT giả có tổng nguồn cung là 1 tỷ token[1], tất cả được lưu trữ trên chỉ năm địa chỉ[2] và chỉ có 35 giao dịch từng được thực hiện với nó[3]. Đó là một dấu hiệu đáng báo động rõ ràng.
Nhưng đây là vấn đề: bạn sẽ chỉ nhận thấy những chi tiết này nếu bạn thực sự tra cứu token trong trình khám phá khối. Hầu hết các ví không hiển thị loại thông tin đó - chúng chỉ hiển thị tên của token (ví dụ: USDT) và số dư của bạn. Vì vậy, người dùng thường không biết rằng họ đang giao dịch với hàng giả. Họ nhận được nó từ ai đó, cho rằng nó là thật và tiếp tục công việc của họ.
Luôn rất đau lòng khi đội ngũ hỗ trợ của chúng tôi phải báo tin rằng một token là vô giá trị - đặc biệt là khi số tiền liên quan lớn. Một số người dùng từ chối tin điều đó ngay từ đầu. Đối với họ, 50.000 token “USDT” đó tương đương với 50.000 đô la… cho đến khi chúng tôi nói với họ khác.
Trong bài viết này, tôi muốn khám phá lý do tại sao điều này xảy ra - và liệu có điều gì có thể được thực hiện về nó hay không.
Tại sao Token Giả được Tạo ra?
Hầu hết các blockchain là các hệ thống hoàn toàn mở. Bất kỳ ai cũng có thể viết bất cứ điều gì vào chúng - bao gồm cả việc tạo một token với bất kỳ tên nào họ thích. Không có cơ quan trung ương nào ngăn cản ai đó đăng ký token có tên là “USDT” hoặc “Bitcoin”. Một mặt, đó là một thế mạnh: mạng lưới chống lại sự kiểm duyệt. Nhưng mặt khác, nó có nghĩa là hàng tá token có tên giống hệt nhau có thể cùng tồn tại trong cùng một hệ sinh thái.
Vấn đề này trở nên đặc biệt đáng chú ý trong thời kỳ bùng nổ ICO và DeFi trên Ethereum. Trên các nền tảng như Uniswap, bất kỳ ai cũng có thể liệt kê một token và những kẻ lừa đảo nhanh chóng tận dụng điều đó. Một trong những ví dụ nổi bật đầu tiên là đợt bán token của Polkastarter (POLS) vào tháng 9 năm 2020. Giá của token đã tăng vọt ngay sau khi ra mắt và những kẻ lừa đảo đã nhanh chóng phát hành các token POLS giả và liệt kê chúng trên Uniswap.
Mặc dù token thực có một logo riêng biệt trên Uniswap, nhưng điều đó không ngăn cản một số người dùng mua hàng giả. Một trong số chúng đã được mua với giá hơn 30.000 đô la.
Trong nhiều giao diện ví, tình hình thậm chí còn tồi tệ hơn: các token giả trông giống hệt như thật. Một số ví hoàn toàn không hiển thị logo. Những ví khác đã lấy chúng từ các nguồn bên ngoài - và những kẻ lừa đảo chỉ cần tải lên logo Polkastarter để làm cho token giả của chúng trông có vẻ xác thực.
Trong một số trường hợp, sự nhầm lẫn thậm chí không yêu cầu các tên giống hệt nhau - chỉ cần các mã đánh dấu được chia sẻ. Ví dụ: khi Uniswap ra mắt token UNI của mình, một số nhà giao dịch đã nhầm lẫn nó với một token khác cũng có tên là UNI - từ một dự án có tên là Unicorn. Mọi người đổ xô đi mua sai token, đẩy giá của nó từ 0,001 đô la lên 5 đô la - tăng 5.000 lần. Khi lỗi sai được nhận ra, giá đã giảm nhanh chóng. Một số người kiếm được tiền một cách tình cờ, những người khác mất tiền cũng dễ dàng như vậy.
Cũng có những trường hợp một token bắt chước không phải một token khác, mà là tên của một dịch vụ tiền điện tử thậm chí không có token. Một tin đồn lan truyền: “Đó là token thực của dự án, nhưng họ vẫn chưa chính thức công bố nó - đó là lý do tại sao nó vẫn còn rất rẻ!” Ví dụ: vào tháng 1 năm 2025, công ty khởi nghiệp SoSoValue đã cảnh báo rằng ai đó đã phát hành một token SOSO giả trên BSC bằng thương hiệu của họ - mặc dù họ chưa bao giờ ra mắt bất kỳ loại tiền điện tử nào. Người dùng được khuyến khích tránh hàng giả và xác minh các nguồn thông tin một cách cẩn thận.
Khi bạn đã mua một token giả, rất có thể bạn sẽ không thể bán nó - trừ khi bạn lừa ai đó tin rằng nó là thật. Tuy nhiên, kỳ lạ thay, các token giả đôi khi thu hút nhu cầu. Ví dụ:
- Vào ngày 13 tháng 2 năm 2025, Changpeng Zhao đã đăng một bức ảnh về con chó Broccoli của mình trên X và tuyên bố rõ ràng rằng anh ấy sẽ không phát hành bất kỳ token nào mang tên nó. Tuy nhiên, một số token “Broccoli” đã xuất hiện trên BNB Chain và một số trong số chúng vẫn đang được giao dịch - và được hoán đổi trên rabbit.io.
- Vào ngày 12 tháng 3 năm 2025, một token PAWS giả đã được giao dịch trên Raydium DEX với giá gấp 90 lần giá của token PAWS thực trên Bybit.
Sự thật là: sự chú ý tạo ra giá trị - ngay cả đối với hàng nhái. Và một số kẻ làm hàng giả rất giỏi trong việc thu hút sự chú ý đến các sáng tạo của họ.
Tuy nhiên, đây không phải là điều bạn nên tin tưởng. Nếu bạn đã nhận được một token giả, tôi thực sự khuyên bạn không nên cố gắng tìm ra nơi bạn có thể bán nó.
Vào năm 2021, những kẻ lừa đảo trên blockchain Tron đã gửi đi các token miễn phí đến hàng ngàn địa chỉ. Các token này thường có những cái tên hào nhoáng bắt chước các loại tiền điện tử thực. Khi những người dùng không nghi ngờ tìm thấy “món quà” trong ví của họ và cố gắng bán nó, họ đã bị dụ vào một cái bẫy: nền tảng duy nhất mà token có vẻ có thể giao dịch được đã nhắc họ phê duyệt một hợp đồng thông minh đáng ngờ - điều này có thể gây nguy hiểm cho ví của họ.
Kế hoạch đặc biệt đó hầu như đã bị lãng quên. Nhưng tôi lo ngại rằng những kẻ lừa đảo có thể bị cám dỗ lặp lại nó trên một số blockchain khác, nơi việc phân phối token đến hàng ngàn ví rẻ và dễ dàng.
Có Thể Giải Quyết Vấn Đề Token Giả Không?
Trên thực tế, có những giải pháp kỹ thuật.
Các giao thức token hóa đầu tiên - Colored Coins, Omni Layer và Counterparty - đã được giới thiệu từ năm 2012 đến năm 2014 và được xây dựng trên đỉnh blockchain Bitcoin. Colored Coins và Omni Layer không đặt ra bất kỳ hạn chế nào đối với việc sử dụng cùng một tên token nhiều lần. Ngược lại, Counterparty đã giới thiệu một hệ thống trong đó tên token phải là duy nhất. Điều đó có nghĩa là nếu ai đó tạo một tài sản có tên là LTBCOIN vào năm 2014 và bạn thấy một token có tên đó ngày hôm nay vào năm 2025, bạn có thể tin rằng đó là cùng một token. Giao thức xác minh xem tên đã chọn đã được đăng ký hay chưa. Nếu có, giao dịch tạo token sẽ bị từ chối.
Nhưng cách tiếp cận này chưa bao giờ được áp dụng rộng rãi. Lịch sử của tên miền - hoạt động theo cùng một nguyên tắc - cho thấy lý do tại sao: các tên hấp dẫn nhanh chóng bị giành lấy và tên dự án thực thường được dành riêng bởi những kẻ chiếm đoạt mạng không liên quan gì đến dự án thực tế. Vì vậy, bạn vẫn có thể kết thúc với các token giả, trừ khi những người tạo dự án hợp pháp nhanh chóng yêu cầu tên của họ trên tất cả các nền tảng token. Có lẽ đó là lý do tại sao giải pháp của Counterparty chưa được bất kỳ hệ sinh thái token hóa lớn nào áp dụng - không phải Ethereum, không phải Solana, không phải BNB Chain, cũng không phải bất kỳ hệ sinh thái nào khác.
Một cải tiến thú vị của ý tưởng này có thể được nhìn thấy trong giao thức Runes, được ra mắt trên Bitcoin vào tháng 4 năm 2024. Mọi token được phát hành thông qua Runes đều có một tên duy nhất - nhưng các tên như USDT hoặc USDC hiện không khả dụng.
Tại thời điểm ra mắt, khi giao thức vẫn chưa được chú ý, người dùng chỉ được phép đăng ký tên có 13 ký tự trở lên. Đăng ký được mở tại khối Bitcoin 840.000 (được khai thác vào ngày 20 tháng 4 năm 2024) và giới hạn độ dài đó có hiệu lực trong 17.500 khối. Bắt đầu từ khối 857.500 (được khai thác vào ngày 19 tháng 8 năm 2024), các tên 12 ký tự đã có sẵn. Khối 875.000 đã mở khóa các tên 11 ký tự.
Các tên bốn ký tự - như USDT và USDC - dự kiến sẽ có sẵn vào khoảng tháng 4 năm 2027. Các nhà phát triển của giao thức hy vọng rằng đến thời điểm đó, nó sẽ đạt được đủ lực kéo để các nhà phát hành token thực sự chú ý và sẽ yêu cầu tên chính đáng của họ trước khi những kẻ chiếm giữ làm điều đó.
Tuy nhiên, một năm sau khi ra mắt giao thức Runes, có vẻ như nó thực sự chưa đạt được lực kéo. Hầu hết những người tạo token vẫn thích các nền tảng khác - những nền tảng rẻ hơn và dễ sử dụng hơn. Thật không may, các nền tảng đó không cung cấp bất kỳ sự bảo vệ cấp giao thức nào chống lại các token giả.
Vì các biện pháp bảo vệ cấp giao thức là rất hiếm nên các nhà phát triển đã bắt đầu triển khai các giải pháp ở cấp ứng dụng - trong trình khám phá khối, ví và danh sách token.
Trên các trình khám phá phổ biến như Etherscan, BscScan và TronScan, các token đã được xác minh được đánh dấu bằng dấu kiểm hoặc các chỉ báo trực quan khác. Nếu một token không có dấu hiệu như vậy, người dùng nên thận trọng.
Ví - như MetaMask, wallet.rabbit.io và những ví khác - thường chỉ hiển thị số dư cho các token đã được phê duyệt hoặc những token mà người dùng đã tương tác trước đó. Các token giả xuất hiện ngẫu nhiên trong ví của bạn thậm chí sẽ không hiển thị theo mặc định. Trong MetaMask, người dùng có thể tự thêm bất kỳ token nào - nhưng để làm như vậy, họ cần nhập địa chỉ hợp đồng thông minh của nó, điều này đã khuyến khích họ tìm hiểu sâu hơn chỉ là tên token. Chỉ riêng bước đó có thể giúp người dùng xác định hàng giả.
Tuy nhiên, những cái gọi là “danh sách trắng” này tạo ra một thách thức mới: chúng khiến các token hợp pháp nhưng ít được biết đến hơn khó tiếp cận người dùng hơn. Nếu không có sự công nhận hoặc xác minh, các token mới hơn phải vật lộn để được chú ý - ngay cả khi chúng hoàn toàn an toàn.
Một giải pháp thay thế là sử dụng danh sách đen - danh sách các token đáng ngờ hoặc gây hiểu lầm. Nhưng những thứ đó đi kèm với những vấn đề riêng của chúng. Ví dụ: vào năm 2019, mạng Waves bắt đầu đưa vào danh sách đen các token đáng ngờ. Một trường hợp không may liên quan đến HBTC (Humboldt Bitcoin) - một token cộng đồng địa phương. Sau vài tháng lưu hành tích cực, nó đột nhiên bị gắn cờ là thư rác chỉ vì mã đánh dấu của nó, HBTC, dường như quá giống với BTC. Kết quả là, những người dùng đã nhận được token không còn có thể nhìn thấy nó trong ví của họ nữa - mặc dù token không gian lận và những người tạo ra nó không làm gì sai.
Một số nhà phát triển đang đề xuất một định dạng mới cho bộ định vị token thống nhất (UTL) - lấy cảm hứng từ cách URL hoạt động trên web. Thay vì xác định token bằng tên của nó, ý tưởng là sử dụng kết hợp mạng + ID token để loại bỏ sự mơ hồ. Ví dụ:
- ethereum:0xa0b86991c6218b36c1d19d4a2e9eb0ce3606eb48
- solana:EPjFWdd5AufqSSqeM2qN1xzybapC8G4wEGGkZwyTDt1v
- stellar:USDC-GA5ZSEJYB37JRC5AVCIA5MOP4RHTM335X2KGX3IHOJAPP5RE34K4KZVN
Đó là một ý tưởng đơn giản với tiềm năng lớn. Giống như mỗi trang web có:
- Một tên (ví dụ: Medium)
- Và một URL (ví dụ: https://medium.com)
…các token có thể có:
- Một tên (ví dụ: USD Coin)
- Và một hoặc nhiều UTL, chỉ rõ ràng vào tài sản thực tế trong một blockchain cụ thể.
Điều này không chỉ giúp ngăn chặn các token giả, mà còn giảm thiểu các lỗi như gửi token đến sai mạng - điều mà đôi khi chúng ta thấy tại Rabbit Swap. Ví dụ: người dùng có thể có ý định trao đổi USDT trên Ethereum lấy BTC, nhưng thay vào đó lại vô tình gửi USDT trên Base. Trong những trường hợp như vậy, việc hoán đổi hoặc hoàn tiền phải được xử lý thủ công, điều này mất nhiều thời gian hơn so với quy trình làm việc tự động thông thường của chúng tôi.
Điều đó nói rằng, UTL - ít nhất là ở dạng hiện tại của chúng - không giải quyết hoàn toàn vấn đề. Phần sau dấu hai chấm (ID token) thực sự là duy nhất. Nhưng phần trước nó thì sao?
Điều gì có thể ngăn cản ai đó khởi chạy một blockchain mới và gọi nó là “Ethereum”, “Solana” hoặc thậm chí là “Bitcoin”? Về mặt kỹ thuật, không có gì. Và vâng, điều đó đã từng xảy ra.
Vào tháng 8 năm 2017, mạng Bitcoin đã trải qua một hard fork dẫn đến Bitcoin Cash (BCH). Trong một thời gian, vào cuối năm 2017 và đầu năm 2018, trang web bitcoin.com đã quảng cáo Bitcoin Cash là Bitcoin “thực sự” - đồng thời gọi chuỗi ban đầu là “Bitcoin Core” (theo phần mềm nút của nó). Nhiều người dùng đã bị nhầm lẫn bởi thương hiệu và cuối cùng đã mua BCH, nghĩ rằng đó là BTC ban đầu. Sau những lời chỉ trích rộng rãi, trang web cuối cùng đã rút lại thông điệp đó - nhưng tập này chứng minh rằng ngay cả những loại tiền điện tử nổi tiếng nhất cũng dễ bị mạo danh.
Còn Ethereum thì sao? Tình hình không tốt hơn. Cho đến ngày nay, một số người vẫn tin rằng Ethereum Classic là Ethereum thực sự. Vậy bạn nghĩ họ đang đề cập đến chuỗi nào nếu họ cung cấp cho bạn một UTL như ethereum:0xa0…?
Nói chung, mặc dù có rất nhiều giải pháp kỹ thuật, nhưng vấn đề token giả sẽ không sớm biến mất.
Vậy Bạn Có Thể Làm Gì?
Cuối cùng, biện pháp bảo vệ thực sự duy nhất là tự mình theo dõi mọi token đi vào ví của bạn.
Nếu bạn đã nhận được token như một phần của giao dịch hoán đổi được thực hiện trên rabbit.io, bạn có thể tin rằng chúng là hàng thật.
Nhưng nếu các token đến từ một nguồn không xác định, cách tốt nhất để giữ an toàn là sử dụng ví chỉ hiển thị các token đã được xác minh hoặc những token bạn đã tương tác trước đó. Và trước khi sử dụng một token mới, hãy đảm bảo xác nhận một trong hai điều sau:
- địa chỉ hợp đồng thông minh (cho các blockchain như Ethereum, Tron hoặc Solana), hoặc
- ID tài sản (cho các blockchain như Bitcoin, Stellar hoặc Avalanche X-Chain)
thông qua các kênh hoặc cộng đồng chính thức của dự án.
Sau đó, hãy thêm token vào ví của bạn thủ công bằng địa chỉ hoặc mã định danh đã được xác minh đó.
Bằng cách đó, bất kỳ token bắt chước nào - bất kể tên có tương tự đến đâu - sẽ không hiển thị trong ví của bạn.
