Truswallet et Swap : attention aux tokens frauduleux

[Becassine]

Les expériences des uns doivent absolument être partagées pour éviter les erreurs, les scams etc ... Du côté anglophone, un utilisateur averti a perdu plusieurs milliers de dollars en voulant faire un swap sur Truswallet : https://asktom.cf/index.php?topic=5536900.0

Ici il s'agit d'un faux BUSD qui s'est affiché dans son wallet 

Pourquoi ? Parce que Trust Wallet n’a pas de système d’authentification automatique ou de vérification de tokens. Toute adresse de contrat BEP-20 ou ERC-20 peut être manuellement ajoutée ou automatiquement affichée si elle suit les standards.. Ce qui signifie qu'il faut vérifier les contrats AVANT de valider le swap.

Source : https://community.trustwallet.com/t/how-to-add-a-custom-token/213

Source : https://community.trustwallet.com/t/beware-of-fake-token-scams/323075

It is the user’s responsibility to know the tokens they are investing in. The Trust Wallet app cannot really tell if a project is legit unless it has been manually added to our asset database after a careful review.

Imitation Tokens
The process of listing a token on a Decentralized Exchange (DEX) like Uniswap or PancakeSwap is open to everyone. Scammers will generate a token that tries to imitate old and new legitimate tokens. Before a legit token is listed on a DEX, scammers are already able to list their own. They will use the same name and logo which can easily attract an uninformed user.

La BSC : https://bscscan.com/

2 outils pour vérifier un contrat :

- https://tokensniffer.com/
- https://honeypot.is/

[Saint-loup]

Oui j'avais vu aussi ce topic dans la section Beginners & Help, et j'avoue qu'il m'a un peu choqué. Parce que Trust wallet est en réalité loin de lister automatiquement n'importe quel token. Personnellement, il y a plusieurs tokens que je holde dessus qui sont listés par Coinmarketcap(qui d'ailleurs affiche aussi les adresses officielles des contrats, c'est un autre moyen facile de vérifier si un token est bien legit) et détectés automatiquement sur Blockscan, que je suis pourtant obligé de configurer manuellement. Par ailleurs j'ai aussi vu des gros coins historiques comme ETC ou Waves par exemple pour lesquels la fonctionnalité de swapping n'est pas disponible. Je me demande donc comment ils ont pu lister un scam token et offrir de le swapper directement depuis l'appli. Je ne sais pas quelle est leur procédure exacte de listing et sur quels critères ils se basent pour intégrer un token mais n'y aurait-il pas eu en vérité des complicités internes pour pouvoir élaborer ce scam?

[paid2]

2 outils pour vérifier un contrat :

- https://tokensniffer.com/
- https://honeypot.is/

C'est en effet un excellent réflexe à avoir de vérifier le contrat du token en question.

Si jamais, ça peut aussi se faire via l'explorer de la blockchain utilisée, sans intermédiaires. Par exemple, en prenant la première contrefaçon d'USDT sur ERC20 qu'on trouve avec une recherche rapide, et en collant l'adresse du contrat dans Etherscan, on peut directement voir que quelque chose cloche (exemple grossier mais la logique reste la même avec des copies plus crédibles) :



Max Total Supply : 1,000,000 USDT ( )
Holders : 87 ( )
A total of 4 transactions found ( le vrai USDT a plus de 235 millions de transactions)

Même pas besoin de comparer avec les données disponibles un peu partout (CoinMarketCap ou autre) pour voir que celui-ci est bidon.
Le nombre de holders est en général un excellent indicateur pour les faux contrats.

La difficulté est d'avoir accès à l'adresse du contrat avant de faire son swap, je sais pas comment ça se passe avec Trust Wallet mais souvent c'est une info bien chiante à obtenir de la part des plateformes d'échange. La solution serait donc de faire un test avec un petit montant avant pour double-check ? (Ou encore de limiter son usage d'altcoins pourris et d'applications closed-source qui listent de telles merdes, mais c'est un autre débat...)

Je ne sais pas quelle est leur procédure exacte de listing et sur quels critères ils se basent pour intégrer un token mais n'y aurait-il pas eu en vérité des complicités internes pour pouvoir élaborer ce scam?

Trust Wallet c'est Binance, je ne pense pas qu'ils encouragent ou profitent de la situation (dans quel but ? Financièrement ils n'ont pas besoin de ça). Je pense juste qu'ils ne sont pas assez réactifs lorsque des tiers tentent d'abuser du système...

Après dans tous les cas, ça n'a pas l'air difficile de lister un actif ou d'être en partenariat avec eux.. À ce stade on pourrait en effet parler de complicité. https://developer.trustwallet.com/developer/listing-new-assets/new-asset

[Saint-loup]

C'est quand même très étrange qu'ils n'aient visiblement même pas réalisé ces quelques tests de bon sens avant de lister ce token, surtout que d'après ce qu'ils disent dans ton lien les frais de listing ne sont pas remboursables en cas de rejet, ils n'ont donc théoriquement rien à gagner à lister des scams et au contraire beaucoup à perdre pour leur réputation. Car c'est justement aussi pour éviter de se faire avoir dans le far-west des tokens que ces applications sont normalement censés être utiles. Comme tu le dis trouver le bon contrat correspondant au bon token et être sûr de la source n'est pas toujours évident. Parfois il y a même 2 tokens officiels qui portent le même nom, qui sont disponibles sur les mêmes blockchaines mais qui sont pourtant 2 tokens différents comme l'USDC (et l'USDC.e)

All assets are subject to review before being approved; so-called "meme tokens", spammy, or assets identified as fradulent in nature will not be merged into the repository

Payment of the Pull Request Fee does not guarantee your asset will be approved. Fee is non-refundable

https://developer.trustwallet.com/developer/listing-new-assets/new-asset