Логотип grinex
Сообщество
Логотип grinex
Сообщество
Главная
/
Безопасность
/
Как распознать скам токен в крипте: практический гайд для пользователей

Как распознать скам токен в крипте: практический гайд для пользователей

Вернуться в каталог

В криптовалюте всё выглядит прозрачно — смарт-контракты, блокчейн, децентрализация. Но это не мешает скамерам запускать токены, собирать ликвидность и уходить в закат. Тем более с появлением таких площадок как Pump fun и LetsBonk, где токены создаются в пару кликов.

Один из наиболее распространённых сценариев  скама — rug pull. В дословном переводе «выдернуть ковер», то есть забрать ликвидность и обвалить токен.

Это бывает не только с мемкоинами. Такие проекты часто выглядят даже лучше, чем настоящие: красивые сайты, активное комьюнити, форки известных протоколов. Чтобы не потерять деньги, важно научиться быстро проверять проект на базовую надёжность. Из этой статьи вы узнаете признаки, на которые стоит обращать внимание, и инструменты, которые помогут не стать жертвой обмана.

Почему скамы не так очевидны

Мошеннические криптопроекты эволюционировали. Они умеют имитировать активность, нанимать маркетологов, проходить «аудиты» в малоизвестных фирмах и даже покупать фейковые верификации в блокчейн-рейтингах. Всё это усложняет задачу — особенно для тех, кто не проводит глубокий анализ.

Но есть базовые сигналы, которые позволяют отсечь до 80% сомнительных токенов ещё на этапе первичного изучения.

Что должно насторожить в первую очередь

1. Отсутствие исходного кода или фиктивный GitHub
Если проект заявляет, что работает на смарт-контрактах, но у него нет кода в открытом доступе — это уже тревожный звоночек. Особенно если на GitHub всего один коммит и никаких комментариев от разработчиков.

Например, проект BaseDoge в 2023 году собрал ликвидность на мем-токене в сети Base. На сайте был указан GitHub, но он содержал неработающий контракт без deploy-скриптов. Через неделю ликвидность была выведена.

2. Анонимная или непрозрачная команда
Нет публичных AMA, ссылки на профили не работают, имена не связаны с предыдущими проектами — это снижает доверие. Некоторые проекты даже используют нейросеть для генерации «лидеров мнений».

Что проверять:

  • псевдонимы и фотографии — можно ли найти те же фото в Google Images или на стоках

  • есть ли аккаунты в Twitter, LinkedIn

  • есть ли история публичной деятельности в крипте (участие в спэйсах, хакатонах, старых проектах)

Некоторые проекты с анонимной командой выживают (например, Shiba Inu). Бывает и наоборот, когда серийный раггер запускает долгосрочный проект, как получилось с NFT-коллекцией Azuki. Но это скорее исключение, чем правило.

3. Аудит без деталей
Фраза «аудит проведён» без указания фирмы, списка найденных багов и их статуса не считается. В норме вы должны видеть полный PDF-документ, где прописано: какие уязвимости нашли, какие устранили, что осталось без правок и почему.

Бывает, что аудит делает малоизвестная компания, которая выдает отчеты всем подряд. Что нужно проверить:

  • Делает ли этот аудитор аудит другим крупным проектам

  • Есть ли у него открытая история аудитов

  • Указывает ли он устранённые и неустранённые уязвимости

Часто скаммеры прикрепляют PDF без печати или отчеты других проектов. Сравнивайте contract source code на Etherscan и GitHub. Хеши (SHA-256) должны совпадать. Или используйте CertiK Skynet для автоматической проверки.

4. Нереалистичная токеномика
Если у команды больше 50% токенов — она может мгновенно обвалить цену. Если нет vesting-графика — разблокировка произойдёт внезапно. Если обещана доходность в 5000% годовых — это не инвестиция, а ловушка. Гарантированные доходности даже 20% годовых сомнительны. Помним кейс с токеном UST и Luna.

Еще один пример с проектом FastSwap, который предлагал фарминг под 500% APY. Команда владела 95% токенов и могла за 1 транзакцию сжечь ликвидность и продать всё остальное через бэкдор в контракте.

5. Мёртвое или искусственное сообщество
Чаты на 20 000 участников, в которых никто не задаёт вопросов и не обсуждает обновления, вероятно, накручены. Отсутствие нормальной модерации, агрессия к тем, кто задаёт неудобные вопросы, удаление критики — это всё признаки постановки, а не живого комьюнити.

Помните, что накрутить можно все, что угодно: реакции к постам в тг и дискорде, просмотры видео, общение в чатах и даже объемы торгов.

Как устроены смарт-контракты рагпулов. Топ-4 способа скама через токен

Даже если сайт выглядит убедительно, токен торгуется, а сообщество активно — это не гарантия безопасности. Многие рагпулы используют технические уловки, которые на первый взгляд незаметны.

Разберём основные.

1. Honeypot — токен, который можно купить, но нельзя продать

В контракте токена встроена проверка: если функция вызывается с адреса не из белого списка, она отклоняется. То есть купить токен вы можете, а вот при попытке продать получите ошибку.

Сценарий атаки:

  • Создатели раздают токен среди сообщества

  • Покупатели видят рост цены, заходят в позицию

  • Продавать могут только заранее определённые адреса

  • Как только спрос падает, команда выводит ликвидность

Используйте honeypot.is — он симулирует транзакцию продажи и показывает, вернётся ли токен обратно. Также смотрите предупреждения на tokensniffer.com.

2. Комиссия до 99%

В контракт встраивают комиссию на каждую транзакцию. Причём этот параметр может быть изменён создателями в любой момент, если у них остаются права администратора (owner).

Что важно смотреть:

  • Есть ли функция setTax в контракте?

  • Кто владеет Ownable-ролями?

  • Каков текущий и максимальный налог?

RugDoc Token Scanner показывает, может ли контракт в любой момент изменить правила торговли.

4. Контракт с возможностью «pull liquidity» или «disable trading»

Некоторые контракты включают скрытые функции, например:

  • removeLiquidity() — позволяет создателю изъять токены из пула

  • setTradingEnabled(false) — мгновенно отключает торговлю

Эти функции часто не видны на сайте проекта, но существуют в коде. Даже если они ещё не активированы — сам факт их наличия уже тревожен.

Сервис SmellTest.io показывает потенциально опасные вызовы и роли в контракте. Альтернатива —  DEXTools.io. Введите адрес токена и откройте вкладку «Pool info». Она покажет, кто добавил ликвидность, когда и какова её структура.

Финальные рекомендации

  1. Не вкладывайте больше, чем готовы потерять, даже если всё выглядит убедительно.

  2. Проверяйте каждое звено цепочки: GitHub, код, команду, токеномику, ликвидность, поведение токена.

  3. Следите за активностью в on-chain. Любые всплески, повторяющиеся адреса, странные транзакции могут быть сигналом.

  4. Доверяйте, но проверяйте даже крупные лаунчпады. Они ошибались в прошлом и ошибутся снова.

  5. Формируйте привычку: если проект не прошёл по чеклисту — он вас не достоин.

 

Вы не обязаны быть программистом или аудитором, чтобы избежать скама. Достаточно потратить 10 минут на проверку. Используйте связку Token Sniffer, RugDoc, CertiK и DexTools — это бесплатно, быстро и убережёт от потери средств.

Темы