У гаманці з'явився невідомий токен — це безпечно?

Коротка відповідь

Нічого не робіть. Конкретно: не натискайте, не "продавайте" або "свопайте" невідомий токен, не взаємодійте з жодним URL, що заявляється метаданими токена. Невідомі токени, що з'являються у вашому гаманці — відомий attack pattern: контракт токена часто має шкідливі функції approval або transfer, що зливають гаманці при взаємодії. Просто ігноруйте їх. Більшість гаманців дозволяють "сховати" токен від інтерфейсу; це правильна дія.

Що фактично відбувається

Будь-хто може розгорнути ERC-20 token-контракт на Ethereum або будь-якій EVM-мережі. Деплоер може карбувати токени на будь-яку адресу — включаючи вашу — без вашої згоди. Etherscan показує airdrop у вашій історії транзакцій. Ваш гаманець відображає токен, бо гаманець просто перераховує кожен ERC-20, який ви отримали.

Три мотивації для деплоера:

Фішинг. Ім'я токена або метадані вбудовують URL на кшталт "claim-100-FREEBIES.com". Клік → фейкова claim-сторінка → підключення гаманця → підпис шкідливого approval → гаманець злитий.

Підготовка до address poisoning. Деплоер налаштовує майбутню атаку, встановлюючи фейкову "взаємодію" з вашою адресою. Пізніше, коли копіюєте адресу з історії, можете випадково скопіювати схожу адресу атакуючого.

Wash trading. Атакуючий створює фейковий volume відправляючи токени між гаманцями, потім заявляє "у цього токена є торговий обсяг" у підозрілих DEX-лістингах.

Чого не робити

Не відвідуйте жодний URL, асоційований з токеном. Не намагайтеся продати його на Uniswap або будь-якому DEX — функція "sell" контракту може тригерити approval, що зливає ваш гаманець. Не "спалюйте" його — це вимагає транзакції, що коштує газу, і теж може тригерити шкідливий код.

Якщо токен показує ненульову "вартість" у вашому гаманці, ця вартість фейкова — гаманець інферував її з заявленого supply токена і фейкового liquidity pool, створеного атакуючим.

Що робити

Більшість гаманців підтримують "hide token" — Trust Wallet, MetaMask, Rabby всі мають це. Клікніть меню токена з трьох крапок, виберіть hide. Токен залишається в on-chain історії вашої адреси (це не можна змінити), але зникає з UI гаманця. Це вся потрібна дія.

Для постійної профілактики розгляньте використання Rabby Wallet — його вбудований scam-token фільтр автоматично ховає більшість відомих scam-токенів до того, як ви їх побачите.

Подальше читання: Dusting-атака, Фішинг.