Οι χάκερ κάνουν κατάχρηση λανθασμένων misconfigurations σε έξυπνα συμβόλαια για να ξεκινήσουν token rug pulls, λένε οι ερευνητές.
Δείτε επίσης: BHUNT malware: Η νέα απειλή που στοχεύει crypto wallets και passwords
Παρά την τρέχουσα αστάθεια στην αγορά cryptocurrency, με τις τιμές για πολλά δημοφιλή νομίσματα, συμπεριλαμβανομένου του Bitcoin (BTC) να πέφτουν, το ενδιαφέρον για τα crypto, token και NFT παραμένει σταθερό.
Το 2021 ήταν μια χρονιά ρεκόρ για κλοπές και απάτες που σχετίζονται με cryptocurrency. Οι εγκληματίες του κυβερνοχώρου κέρδισαν περίπου 14 δισεκατομμύρια δολάρια σε cryptocurrency και τα δόλια συστήματα που αφορούν digital assets συνεχίζουν να εξελίσσονται.
Τη Δευτέρα, το Check Point Research (CPR) είπε ότι τώρα οι απατεώνες στρέφουν την προσοχή τους στα έξυπνα συμβόλαια, με λανθασμένα misconfigurations που χρησιμοποιούνται για την κυκλοφορία νέων crypto tokens – προτού πραγματοποιηθεί ένα αναπόφευκτο «rug pull».
Τα rug pulls συμβαίνουν όταν οι προγραμματιστές ενός project crypto ή virtual asset χειραγωγούν την αντιληπτή αξία ενός token και στη συνέχεια εγκαταλείπουν το project – παίρνοντας μαζί τους funds επενδυτών.
Δείτε επίσης: Το φτηνό malware βρίσκεται πίσω από την αύξηση των crypto επιθέσεων
Ένα πρόσφατο παράδειγμα είναι το SQUID token το οποίο, στο απόγειό του, είδε το token να φτάνει τα 2.850 $ σε αξία. Μόλις οι προγραμματιστές έκαναν rug pull και εμπόδισε τους εμπόρους από την πώληση, το νόμισμα κατέρρευσε κατά πάνω από 99,99%, καθιστώντας το βασικά άχρηστο ενώ συμψηφίζει τους προγραμματιστές εκατομμύρια δολάρια.
Υπάρχουν ορισμένοι δείκτες μιας πιθανής απάτης, συμπεριλαμβανομένων των προμηθειών αγοράς κατά 99% και μηχανισμών που εμποδίζουν τους επενδυτές από τη μεταπώληση. Σύμφωνα με τους ερευνητές, τα ελαττώματα στον κώδικα έξυπνων συμβολαίων και τα τρωτά σημεία μπορούν να αξιοποιηθούν και από εξωτερικούς εισβολείς για να αυξήσουν τον κίνδυνο απώλειας χρημάτων από ένα project.
Οι απατεώνες χρησιμοποιούν μια σειρά από τακτικές για να πραγματοποιήσουν ένα rug pull, συμπεριλαμβανομένης της χρήσης υπηρεσιών απάτης για τη δημιουργία έξυπνων συμβολαίων, τα οποία στη συνέχεια εκδίδονται με ένα νέο “όνομα” και σύμβολο προτού δημοσιοποιηθούν. Μπορεί επίσης να συμπεριληφθεί ο χειρισμός των λειτουργιών για τη δημιουργία κρυφών triggers για την εκκίνηση ενός rug pull.
Στη συνέχεια, τα social media χρησιμοποιούνται για να διαφημίσουν ένα token – και την αντιληπτή αξία του — πριν συμβεί ένα exit scam. Επιπλέον, συνήθως δεν επιβάλλονται timelocks.
Τα τέλη αγοράς και πώλησης είναι μια κοινή τεχνική για τα rug pulls. Σε ένα έξυπνο συμβόλαιο που εξέτασε η CPR, η εταιρεία ανακάλυψε τις λειτουργίες «έγκρισης». Η πρώτη ήταν μια νόμιμη, τυπική λειτουργία για συναλλαγές συμβολαίων, ενώ η “έγκριση” ήταν κρυμμένη και σχεδιάστηκε για να επιτρέπει στους προγραμματιστές να επιβάλλουν τέλη 99% μετά την απογείωση ενός project.
Δείτε επίσης: Νέο crypto scam που ξεγελάει τους χρήστες με ψεύτικο Amazon token
Ένα άλλο παράδειγμα πιθανών μηχανισμών απάτης είναι μια κρυφή λειτουργία που επιτρέπει στους προγραμματιστές να δημιουργούν περισσότερα νομίσματα ή να ελέγχουν ποιος μπορεί να πουλήσει tokens. Στον πηγαίο κώδικα ενός έξυπνου συμβολαίου με θέμα το μπάσκετ, η ομάδα βρήκε ένα transfer function που εμπόδιζε τη μεταπώληση από μέσους εμπόρους — ένα παρόμοιο element που χρησιμοποιείται από το SQUID.
Ένα function που βρέθηκε σε ένα χωριστό συμβόλαιο που επέτρεπε το coin minting αξιοποιήθηκε από έναν εισβολέα αφού το ιδιωτικό κλειδί του συμβολαίου διέρρευσε κατά λάθος στο διαδίκτυο. Ένας απειλητικός παράγοντας μπόρεσε να χρησιμοποιήσει το κλειδί για να κάνει mint με δόλο εκατομμύρια εικονικά νομίσματα πριν τα αποσύρει. Στην ίδια σύμβαση, αξιοποιήθηκε και ένα σφάλμα στις λειτουργίες απόσυρσης έκτακτης ανάγκης.
Πηγή πληροφοριών: zdnet.com
