Scammers have found a way to burn tokens from inside Solana wallets

Cointelegraph · 2024-09-04T05:22:31.000Z

Scammers have reportedly stumbled across a new way to rug-pull Solana users’ crypto — this time, by burning tokens they already own from inside their wallets. According to Slorg, a member of Solana-based Jupiter’s Core Working Group, scammers have started to use an in-built Solana token extension to stealthily delete their target’s crypto holdings. “Imagine you swap for a token and the wallet history confirms that you received it. But then you look inside and nothing shows up,” said Slorg in a Sept. 3 post on X. Source: Slorg “Time passes and no tokens, so you do some digging and reach out to someone who might know what's going on. This was the reality for a Jupiter Community Member 4 days ago,” he added. Permanent Delegate abusers For this user, it turns out they swapped for a token called “RED” which has a “Permanent Delegate” extension. This allowed the scammers to burn all the tokens in the transaction a mere seven seconds after it went through. “The Permanent Delegate is an extension feature in Solana's Token 2022 standard,” PeckShield explained to Cointelegraph. Solana’s official website describes the Permanent Delegate extension as a function that gives “unrestricted delegate privileges over all Token Accounts for that mint, enabling them to burn or transfer tokens without limitation.” It is intended for proper use cases, such as retrieving tokens that have been mistakenly transferred, for use in revocable access tokens or sanction compliance. It can also be used for automatic payments and refunds. However, even Solana has noted it is a “double-edged sword” and could be abused. Why burn a victim’s tokens? Speaking to Cointelegraph, Slorg said there could be several reasons a scammer may want to burn the tokens. “Reason one is causing generalized mayhem,” said Slorg. “Sometimes scammers just want to see destruction and chaos. Kind of like a mix between a prank and a ‘fuck u.’” The second reason, said Slorg, is to reduce float. “If someone can't sell, the price won't decrease. Many of the times scammers snipe most of the initial supply and the thing is they don't need more than $50 dollars in profit to make it worthwhile.” “I observed a lone scammer last November who was launching token after token before pump.fun, and he was only raking in 50-100 dollars each time but spread across 50 a day, he was making thousands a week,” said Slorg, adding: “It's probably not a super efficient strategy, but they're definitely experimenting out there.” Blockchain security service providers Beosin and Peckshield also shared similar theories in comments to Cointelegraph. Source: Tamara Gligorova PeckShield speculates that scammers are trying to affect the cryptocurrency’s tokenomics, as it “basically allows for manipulating the circulating supply of the related tokens.” Meanwhile, Beosin believes the scammer could use the function to trick users into thinking the circulation of their created token has remained the same by destroying users’ tokens. “For example, burn someone else's tokens to raise the token price and gain profits from some DeFi protocol that is related to the token.” Slorg noted that Jupiter and RugCheck are among two entities that have created indicators for when this extension is turned on. “Regardless, practicing due diligence with any token is crucial. Always have a routine that you don't deviate from, and take your time to read all the text when making a swap.” “If not, it could end up costing you someday — especially as new token capabilities are developed.” Others have also reported being hit with a similar scam recently, noted Slorg. Magazine: How crypto bots are ruining crypto — including auto memecoin rug pulls

Selon certaines informations, des escrocs auraient découvert une nouvelle façon de voler les crypto-monnaies des utilisateurs de Solana, cette fois en brûlant les jetons qu'ils possèdent déjà depuis leurs portefeuilles.
Selon Slorg, membre du Core Working Group de Jupiter basé à Solana, les escrocs ont commencé à utiliser une extension de jeton Solana intégrée pour supprimer furtivement les avoirs en crypto-monnaie de leur cible.
« Imaginez que vous échangez contre un jeton et que l'historique du portefeuille confirme que vous l'avez reçu. Mais ensuite, vous regardez à l'intérieur et rien n'apparaît », a déclaré Slorg dans un article du 3 septembre sur X.
Source : Slorg
« Le temps passe et il n'y a pas de jetons, alors vous faites quelques recherches et vous contactez quelqu'un qui pourrait savoir ce qui se passe. C'était la réalité pour un membre de la communauté Jupiter il y a 4 jours », a-t-il ajouté.
Les délégués permanents abuseurs
Pour cet utilisateur, il s'avère qu'il a échangé contre un jeton appelé « RED » qui a une extension « Permanent Delegate ». Cela a permis aux escrocs de brûler tous les jetons de la transaction à peine sept secondes après son exécution.
« Le délégué permanent est une fonctionnalité d'extension de la norme Token 2022 de Solana », a expliqué PeckShield à Cointelegraph.
Le site Web officiel de Solana décrit l'extension Permanent Delegate comme une fonction qui donne « des privilèges de délégué illimités sur tous les comptes de jetons pour cette monnaie, leur permettant de graver ou de transférer des jetons sans limitation ».
Il est destiné à des cas d'utilisation appropriés, tels que la récupération de jetons transférés par erreur, pour une utilisation dans des jetons d'accès révocables ou pour la conformité aux sanctions. Il peut également être utilisé pour les paiements et remboursements automatiques.
Cependant, même Solana a noté qu’il s’agissait d’une « épée à double tranchant » et qu’elle pouvait être utilisée à mauvais escient.
Pourquoi brûler les jetons d’une victime ?
S'adressant à Cointelegraph, Slorg a déclaré qu'il pourrait y avoir plusieurs raisons pour lesquelles un escroc pourrait vouloir brûler les jetons.
« La première raison est de provoquer un chaos généralisé », a déclaré Slorg. « Parfois, les arnaqueurs veulent simplement voir la destruction et le chaos. Un mélange entre une farce et un « va te faire foutre ». »
La deuxième raison, a déclaré Slorg, est de réduire le flottant.
« Si quelqu'un ne parvient pas à vendre, le prix ne baissera pas. La plupart du temps, les escrocs raflent la majeure partie de l'offre initiale, alors qu'ils n'ont pas besoin de plus de 50 dollars de bénéfice pour que cela en vaille la peine. »
« J'ai observé un escroc solitaire en novembre dernier qui lançait jeton après jeton avant pump.fun, et il ne gagnait que 50 à 100 dollars à chaque fois, mais répartis sur 50 par jour, il gagnait des milliers de dollars par semaine », a déclaré Slorg, ajoutant :
« Ce n’est probablement pas une stratégie très efficace, mais ils expérimentent certainement quelque chose dans ce domaine. »
Les fournisseurs de services de sécurité Blockchain Beosin et Peckshield ont également partagé des théories similaires dans des commentaires à Cointelegraph.
Source : Tamara Gligorova
PeckShield spécule que les escrocs tentent d'influencer la tokenomique de la cryptomonnaie, car elle « permet essentiellement de manipuler l'offre en circulation des jetons associés ».
Pendant ce temps, Beosin pense que l'escroc pourrait utiliser la fonction pour tromper les utilisateurs en leur faisant croire que la circulation de leur jeton créé est restée la même en détruisant les jetons des utilisateurs.
« Par exemple, brûlez les jetons de quelqu'un d'autre pour augmenter le prix du jeton et tirer des bénéfices d'un protocole DeFi lié au jeton. »
Slorg a noté que Jupiter et RugCheck font partie des deux entités qui ont créé des indicateurs indiquant quand cette extension est activée.
« Quoi qu'il en soit, il est essentiel de faire preuve de diligence raisonnable avec n'importe quel jeton. Ayez toujours une routine à laquelle vous ne dérogez pas et prenez le temps de lire tout le texte lorsque vous effectuez un échange. »
« Dans le cas contraire, cela pourrait finir par vous coûter cher un jour, en particulier à mesure que de nouvelles fonctionnalités de jetons sont développées. »
D'autres ont également signalé avoir été victimes d'une arnaque similaire récemment, a noté Slorg.
Magazine : Comment les crypto-bots ruinent la cryptographie — y compris les retraits automatiques de pièces de monnaie

Découvrez-en plus sur le créateur

Dernières actualités