Lamentablemente, las estafas cripto con tokens falsos son una realidad en el ecosistema y son cada vez más frecuentes. En este tipo de fraude con criptomonedas, los estafadores crean versiones no autorizadas de tokens y stablecoins populares, como USDC o USDT, con el objetivo de engañar a los usuarios y robarles sus fondos.
Para entender por qué puede pasar esto, vale la pena aclarar algo importante. Los tokens son criptoactivos que no tienen una red nativa, a diferencia de las monedas (coins), sino que se crean y despliegan en las blockchains a través de contratos inteligentes (smart contracts). En estos contratos se define su funcionamiento: cuántos hay, quién los emite, en qué red operan, etc. En este sentido, prácticamente todas las stablecoins son un tipo de token.

Debido a que cualquier persona puede crear un contrato inteligente en una blockchain, los estafadores lanzan imitaciones de tokens para intentar estafar a los usuarios. La mejor forma de proteger tus activos digitales ante este tipo de amenazas, es aprender a distinguir un token falso de uno genuino.

En este artículo te enseñamos:

• Cómo verificar los contratos inteligentes oficiales de USDC (Circle) y USDT (Tether).
• Cómo encontrar la dirección del contrato de una operación e identificar si se trata de un contrato inteligente oficial de un token o no.
• Cómo reconocer tokens fraudulentos, para evitar estafas con este tipo de criptomonedas.

El primer acercamiento del estafador:

En las estafas cripto con tokens falsos, es muy común que los estafadores intenten ponerse en contacto contigo. Lo pueden hacer por correo electrónico, o a través de redes sociales como WhatsApp o Telegram, ya sea por mensaje directo o dentro de un grupo. Utilizan varios tipos de tácticas que van desde fingir que son del equipo de soporte de algún exchange y te quieren alertar sobre un token falso que recibiste en tu wallet, hasta alguien que dice que te mandó tokens por error, que te quieren incluir en un airdrop de un proyecto nuevo, que te ganaste un premio, o simplemente que están regalando tokens.

Ten cuidado: si alguien te ofrece tokens gratis, lo más probable es que sea una estafa. Si además te piden que pagues las tarifas de gas o alguna otra comisión por adelantado, seguramente lo es. Cualquiera que sea el escenario, es importante que siempre verifiques si el token en cuestión es real o falso.

Y si de casualidad estás vendiendo un producto y te van a pagar con tokens, asegúrate siempre de que te están enviando tokens reales antes de liberar tu venta.

La verificación definitiva es el contrato inteligente oficial.

En el mundo cripto, el contrato inteligente (smart contract) es la identificación oficial e inmutable de un token. Un token falso puede tener un nombre muy similar al real para intentar engañarte, pero siempre tendrá una dirección de contrato inteligente distinta a la oficial.

Para verificar los contratos inteligentes de tokens y stablecoins como USDC y USDT, la única fuente de información completamente confiable son las páginas web de sus emisores:

USD Coin (USDC): emitida por Circle

Como varias de las stablecoins, USDC opera en muchas redes. Circle, su creador, mantiene una lista centralizada y fácil de acceder con las direcciones de los contratos inteligentes de USDC para cada una de las blockchains en las que opera este token.

Cómo verificar un contrato oficial con la información de Circle:

1. Haz clic en el enlace de las direcciones de contratos oficiales de USDC de Circle.
2. Busca la red blockchain donde se encuentra tu token (p. ej., Avalanche, Ethereum, Polygon o Solana).
3. Compara la dirección del contrato del token que recibiste con la que aparece en el sitio web de Circle. Tiene que coincidir exactamente. No importa si aparece en mayúsculas o minúsculas; si todos los caracteres coinciden en el mismo orden, es la misma dirección.
4. Si las direcciones no coinciden, ¡es un token falso! No intentes enviarlo ni interactuar con él, porque seguramente se trata de un intento de estafa cripto.

USDT (Tether): emitida por Tether

Tether, pionero en el mercado de stablecoins, también opera en múltiples redes y proporciona un recurso oficial para la verificación de cada uno de los contratos inteligentes.

Cómo usar la información de Tether:

1. Haz clic en el enlace oficial de Transparencia de Tether.
2. En esta página encontrarás una sección para cada una de las stablecoins que emite Tether. En la pestaña que corresponde a USDT, podrás ver una lista de las blockchains en las que opera esta stablecoin. Para consultar el contrato oficial de cada red, haz clic en el botón de Details (detalles) en la blockchain que deseas verificar. 
3. Encontrar el contrato en la página de Tether puede parecer menos intuitivo que en la de Circle. Lo que se muestra como la dirección del contrato es, en realidad, la dirección web (URL) que lleva a la página del contrato oficial del token dentro de un explorador de blockchain*. La parte final de esa URL corresponde a la dirección del contrato inteligente. 

Ejemplo de la dirección de contrato proporcionada para USDT en Avalanche:

https://snowtrace.io/token/0x9702230a8ea53601f5cd2dc00fdbc13d4df4a8c7
La dirección del contrato es: 0x9702230a8ea53601f5cd2dc00fdbc13d4df4a8c7

4. Compara la dirección de tu token con la dirección oficial. Recuerda: no importa si la dirección aparece en mayúsculas o minúsculas; si todos los caracteres coinciden en el mismo orden, es la misma dirección. Si no coinciden, ¡es un token falso!

Cómo encontrar la dirección del contrato de un token de una operación específica

Otra herramienta muy útil, son los exploradores de blockchain como SnowScan, Etherscan, Arbiscan, etc. En estas páginas puedes consultar los datos de las operaciones y direcciones que quieras verificar, y compararlos con los contratos oficiales. Ojo: cada explorador de blockchain está enfocado en una red específica; por ejemplo, Etherscan para Ethereum y SnowScan o Snowtrace para Avalanche. 

Ejemplo de un token real vs. uno falso

Digamos que un día cualquiera recibes en tu wallet un supuesto token USDC que no sabes quién te lo mandó. ¿Cómo puedes verificar si es un token falso o uno real?

Lo primero que tienes que hacer, es ir a la sección de Actividad/Transacciones de tu wallet y buscar la transacción de este token. Copia el hash de transacción (Transaction Hash) y pégalo en la barra del explorador de blockchain en la que se hizo la operación (p. ej.: SnowScan para Avalanche o Etherscan para Ethereum). 
Nota: Algunas wallets te permiten acceder al explorador de blockchain para consultar la operación directamente desde la pantalla de la transacción.

Como vimos previamente, algunos tokens pueden moverse en muchas redes. En este caso vamos a ver ejemplos de transacciones de USDC en la C-Chain de Avalanche.

TOKEN REAL

A continuación te mostramos la página del explorador de blockchain con los resultados de un hash de transacción (Transaction Hash) de un token USDC real en la red de Avalanche: https://snowscan.xyz/tx/0x9fc5cefa70afe6aa88bf9c16e893c190e0dc14ed01f5ad786ddbffd52dca7674 

La parte más importante para verificar que se trata de un token real es la sección Interacted With (To). Esta sección muestra la dirección del contrato del token que te enviaron. Después de la dirección del contrato puedes ver que entre paréntesis se muestra el nombre del creador del contrato + el ticker + la palabra “token” (Circle: USDC Token).

En la sección ERC-20 Tokens Transferred se muestra al final del renglón el logotipo y el nombre oficial del token + el ticker; en este caso: USD Coin (USDC).

Si haces clic en la dirección del contrato, te lleva a la siguiente página: https://snowscan.xyz/address/0xb97ef9ef8734c71904d8002f8b6bc66dd9c48a6e 

Esta página nos muestra la información relacionada con el contrato inteligente de USDC en Avalanche. En la esquina superior izquierda podemos ver la dirección del contrato de Circle. 

Por otro lado, en donde dice More Info (más información), podemos ver los datos del creador del contrato (Circle) y hace cuánto se creó (3 años y 359 días). Bajo Token Tracker se indica el nombre completo del token (USD Coin) y su ticker (USDC), así como el valor por unidad ($0.9998), que en el caso de las stablecoins vinculadas al dólar estadounidense, debe ser prácticamente 1 dólar.

Otro punto clave es la frecuencia de las transacciones, que puedes ver en la columna Age (o Time). Un token legítimo tiene un volumen muy alto, lo que significa que siempre hay actividad reciente y constante. Aquí podemos ver que múltiples operaciones ocurrieron al mismo tiempo (hace apenas 7 segundos).

Si comparamos la dirección del contrato inteligente que se muestra en la página de SnowScan que acabamos de ver, con el contrato inteligente para USDC en Avalanche publicado en la página oficial de Circle (los creadores de USDC) que se muestra a continuación, veremos que coinciden:

TOKEN FALSO

Ahora veamos las mismas pantallas pero de un hash de transacción de un token USDC falso: https://snowscan.xyz/tx/0xc8c2544057a4047adfb436dbe4e95a16d3c7d6d642a3c603aa12faab9f03db6d 

En la sección Interacted With (To) se muestra la dirección de un contrato, pero no hay indicaciones de que corresponda al token USDC. En este caso, el creador del contrato se hace llamar “Fake-Phishing1311869”, pero esto no quiere decir que siempre será tan evidente el intento de estafa. 

También puedes ver que en la sección ERC-20 Tokens Transferred aparece como nombre del token “ERC-20: USDC (USDC)” a diferencia del token real de la primera imagen donde se muestra “USC Coin (USDC)” e incluye el logotipo.

Si haces clic en la dirección del contrato, te lleva a la siguiente página.

En la esquina superior izquierda podemos ver la dirección del contrato inteligente de la transacción que vimos en la pantalla anterior.

En la sección de More Info, quien aparece como Contract Creator (creador del contrato) no es Circle, sino “Fake_Phishing1311870”. La información correspondiente al token no incluye logotipo ni precio y, aunque el ticker se muestra igual que en el token real “(USDC)”, el nombre del token no es el correcto. Este debería ser USD Coin y no ERC-20: USDC. 

En cuanto a la frecuencia de las transacciones que se muestra en la columna Age (o Time), podemos ver que han pasado muchos días desde la última operación e incluso hay días de diferencia entre transacciones. Como vimos antes, los tokens reales operan con mucha frecuencia, lo que aquí no sucede.

Si se compara este contrato con el contrato publicado por Circle para USDC en Avalanche, podemos ver que la dirección no coincide. 
No es garantía que los exploradores de blockchain tengan identificadas las direcciones utilizadas en fraudes, como en este caso. Por eso, siempre hay que verificar que las direcciones coincidan.

Qué debes hacer si recibes un token falso

Te tenemos buenas noticias: si alguien te envía un token falso a tu wallet de Bitso, no aparecerá en tu cuenta. Bitso detecta los tokens falsos y los aísla para que no corras ningún riesgo. Los tokens falsos que son enviados a cuentas de Bitso, nunca serán devueltos a los emisores ni depositados en las cuentas de los destinatarios. 

Ahora bien, si alguien que no es de tu entera confianza te dice que te envió un token y nunca lo recibiste, lo más probable es que haya sido un intento de estafa cripto. 

Y si sospechas que recibiste un token falso (en una wallet de autocustodia), sigue estas pautas de seguridad:

• NUNCA intentes vender o transferir el token falso. La estafa a menudo consiste en convencerte de que el token tiene valor. Si intentas interactuar con el token, es probable que se te pida que envíes una tarifa en el token nativo de la red (ej. ETH en Ethereum), que terminará en manos de los estafadores.
• IGNORA y, si es posible, OCULTA el token en tu wallet. Trátalo como si fuera spam. No puedes perder tus fondos a menos que interactúes con el contrato inteligente del token falso.
• NUNCA aceptes ni respondas llamadas, mensajes directos o correos electrónicos de "soporte" que pretenden "ayudarte" a recuperar o vender tus tokens. Lo más probable es que sean los estafadores intentando un segundo ataque. 
  El equipo de Bitso nunca te pedirá tus claves privadas ni que envíes fondos a una dirección para liberar un token.

Recuerda: si el contrato inteligente no es el oficial, el token NO es legítimo, y NO tiene el respaldo del emisor.

Aqui puedes ver un resumen de este articulo y el check list para identificar este tipo de situaciones:

• Resumen: token falso vs token verdadero
• Check list