Secondo un post del 25 settembre del ricercatore di sicurezza Roffett.eth, i truffatori stanno utilizzando un elenco di "tendenze" sul sito di analisi di memecoin GMGN per attirare vittime ignare e rubare le loro criptovalute.

Gli aggressori creano monete che consentono allo sviluppatore di trasferire i token di qualsiasi utente a se stesso. Quindi passano il token avanti e indietro tra più account, gonfiandone artificialmente il volume e posizionandolo nella "lista di tendenza" di GMGN.

Una volta che la moneta entra nella lista delle tendenze, gli utenti ignari la acquistano, pensando che sia una moneta popolare. Ma nel giro di pochi minuti, le loro monete vengono rubate dai loro portafogli, per non essere mai più viste. Lo sviluppatore quindi rideposita la moneta nel suo pool di liquidità e la rivende a un'altra vittima.

Roffet ha elencato Robotaxi, DFC e Billy’s Dog (NICK) come tre esempi di monete dannose presenti nell’elenco.

GMGN è un'app web di analisi che si rivolge ai trader di memecoin su Base, Solana, Tron, Blast ed Ethereum. La sua interfaccia contiene diverse schede, tra cui "new pair", "trending" e "discover", ognuna delle quali elenca le monete in base a criteri diversi.

Roffett sostiene di aver scoperto la tecnica della truffa quando gli amici hanno acquistato monete dall'elenco e hanno scoperto che erano misteriosamente scomparse. Un amico credeva che il suo portafoglio fosse stato hackerato, ma quando ha creato un nuovo portafoglio e ha acquistato di nuovo le monete, sono state di nuovo prosciugate dal suo portafoglio.

Rivista: Bankroll Network DeFi hackerato, phisher da 50 milioni di dollari sposta criptovalute su CoW: Crypto-Sec

Incuriosito dal mistero, Roffett ha esaminato gli attacchi utilizzando un block explorer e ha scoperto che sembravano essere comuni attacchi di phishing. L'aggressore ha chiamato una funzione "permesso" e sembrava aver fornito la firma dell'utente, il che non avrebbe dovuto essere possibile a meno che l'utente non fosse stato ingannato da un sito di phishing. Tuttavia, l'amico ha negato di aver interagito con siti Web sospetti prima di uno dei due attacchi.

Una delle monete rubate era NICK. Quindi Roffet ha esaminato il codice del contratto di NICK e ha scoperto che era "un po' strano". Invece di contenere il solito codice azionario trovato nella maggior parte dei contratti token, aveva "alcuni metodi molto strani e offuscati".

Come prova di questi strani metodi, Roffet ha pubblicato un'immagine delle funzioni "performance" e "novel" di NICK, che hanno un testo poco chiaro e senza uno scopo ovvio.

Prestazioni NICK e nuove funzioni. Fonte: Roffett.eth

Alla fine, Roffett scoprì che il contratto conteneva codice maligno all'interno di una delle sue librerie. Questo codice consentiva al "recuperatore" (sviluppatore) di chiamare la funzione "permit" senza fornire la firma del tokenholder. Roffett affermò:

"Se l'indirizzo del chiamante equivale a quello del recuperatore, allora costruendo manualmente una firma specifica, è possibile ottenere l'autorizzazione di qualsiasi detentore di token e quindi trasferire i token."

Tuttavia, anche l'indirizzo del recuperatore era oscurato. Era elencato come un numero positivo, diverso da zero, a 256 bit. Appena sotto questo numero c'era una funzione che il contratto utilizzava per ricavare l'indirizzo da questo numero. Roffett ha utilizzato questa funzione per determinare che il "recuperatore" dannoso era un contratto il cui indirizzo terminava con f261.

I dati della blockchain mostrano che questo contratto di “recupero” ha eseguito oltre 100 transazioni trasferendo token NICK dai titolari del token ad altri account.

Account dannoso che sottrae NICK a un utente. Fonte: Basescan.

Dopo aver scoperto come funzionava questa truffa, Roffett ha esaminato l'elenco "di tendenza" e ha trovato almeno altri due token che contenevano un codice simile: Robotaxi e DFC.

Roffett ha concluso che i truffatori probabilmente usano questa tecnica da un po' di tempo. Ha avvisato gli utenti di stare alla larga da questa lista, perché usarla potrebbe fargli perdere dei fondi. Ha affermato:

"Gli sviluppatori malintenzionati usano prima più indirizzi per simulare il trading e la detenzione, spingendo il token nella lista di tendenza. Ciò attrae piccoli investitori al dettaglio ad acquistare e, alla fine, i token ERC20 vengono rubati, completando la truffa. L'esistenza di queste liste di tendenza è estremamente dannosa per gli investitori al dettaglio alle prime armi. Spero che tutti ne diventino consapevoli e non ci caschino".

I token truffa o "honeypot" continuano a rappresentare un rischio per gli utenti di criptovalute. Ad aprile, uno sviluppatore di token truffa ha prosciugato 1,62 milioni di dollari dalle vittime vendendo loro un token BONKKILLER che non consentiva agli utenti di venderlo. Nel 2022, la società di gestione del rischio blockchain Solidus ha pubblicato un rapporto in cui avvisava che nel corso dell'anno erano state create oltre 350 monete truffa.