В кошельке появился неизвестный токен — это безопасно?

Краткий ответ

Ничего не делайте. Конкретно: не нажимайте, не "продавайте" или "свопайте" неизвестный токен, не взаимодействуйте ни с одним URL, заявляемым метаданными токена. Неизвестные токены, появляющиеся в вашем кошельке — известный attack pattern: контракт токена часто имеет вредоносные функции approval или transfer, которые сливают кошельки при взаимодействии. Просто игнорируйте их. Большинство кошельков позволяют "скрыть" токен от интерфейса; это правильное действие.

Что фактически происходит

Любой может развернуть ERC-20 token-контракт на Ethereum или любой EVM-сети. Деплоер может чеканить токены на любой адрес — включая ваш — без вашего согласия. Etherscan показывает airdrop в вашей истории транзакций. Ваш кошелёк отображает токен, потому что кошелёк просто перечисляет каждый ERC-20, который вы получили.

Три мотивации для деплоера:

Фишинг. Имя токена или метаданные встраивают URL вроде "claim-100-FREEBIES.com". Клик → фейковая claim-страница → подключение кошелька → подпись вредоносного approval → кошелёк слит.

Подготовка к address poisoning. Деплоер настраивает будущую атаку, устанавливая фейковое "взаимодействие" с вашим адресом. Позже, когда копируете адрес из истории, можете случайно скопировать похожий адрес атакующего.

Wash trading. Атакующий создаёт фейковый volume отправляя токены между кошельками, потом заявляет "у этого токена есть торговый объём" в подозрительных DEX-листингах.

Что не делать

Не посещайте никакой URL, ассоциированный с токеном. Не пытайтесь продать его на Uniswap или любом DEX — функция "sell" контракта может триггерить approval, сливающий ваш кошелёк. Не "сжигайте" его — это требует транзакции, стоящей газа, и тоже может триггерить вредоносный код.

Если токен показывает ненулевую "стоимость" в вашем кошельке, эта стоимость фейковая — кошелёк инферирует её из заявленного supply токена и фейкового liquidity pool, созданного атакующим. Токен бесполезен.

Что делать

Большинство кошельков поддерживают "hide token" — Trust Wallet, MetaMask, Rabby все имеют это. Кликните меню токена из трёх точек, выберите hide. Токен остаётся в on-chain истории вашего адреса (это нельзя изменить), но исчезает из UI кошелька. Это всё нужное действие.

Для продолжающейся профилактики рассмотрите использование Rabby Wallet — его встроенный scam-token фильтр автоматически скрывает большинство известных scam-токенов до того, как вы их увидите.

Дополнительное чтение: Dusting-атака, Фишинг.