Golpistas estão usando uma lista de "tendências" no site de análise de memecoins GMGN para atrair vítimas desavisadas e roubar suas criptomoedas, de acordo com uma publicação de 25 de setembro do pesquisador de segurança Roffett.eth.

Os atacantes criam moedas que permitem que o desenvolvedor transfira os tokens de qualquer usuário para si. Eles então passam o token de um lado para o outro entre várias contas, inflando artificialmente seu volume e colocando-o na “lista de tendências” do GMGN.

Uma vez que a moeda entra na lista de tendências, usuários desavisados ​​a compram, pensando que é uma moeda popular. Mas em minutos, suas moedas são roubadas de suas carteiras, para nunca mais serem vistas. O desenvolvedor então redeposita a moeda em seu pool de liquidez e a revende para outra vítima.

Roffet listou Robotaxi, DFC e Billy’s Dog (NICK) como três exemplos de moedas maliciosas encontradas na lista.

GMGN é um aplicativo de análise da web que atende a traders de memecoin na Base, Solana, Tron, Blast e Ethereum. Sua interface contém várias abas diferentes, incluindo “novo par”, “tendência” e “descobrir”, cada uma das quais lista moedas com base em critérios diferentes.

Roffett afirma ter descoberto a técnica de golpe quando amigos compraram moedas na lista e descobriram que elas tinham desaparecido misteriosamente. Um amigo acreditou que sua carteira tinha sido hackeada, mas quando ele criou uma nova carteira e comprou as moedas novamente, elas foram novamente drenadas de sua carteira.

Revista: ​​Rede Bankroll DeFi hackeada, phisher de US$ 50 milhões move criptomoedas no CoW: Crypto-Sec

Intrigado pelo mistério, Roffett investigou os ataques usando um explorador de blocos e descobriu que eles pareciam ser ataques de phishing comuns. O invasor chamou uma função de “permissão” e pareceu ter fornecido a assinatura do usuário, o que não deveria ser possível a menos que o usuário fosse enganado por um site de phishing. No entanto, o amigo negou ter interagido com sites suspeitos antes de qualquer um dos dois ataques.

Uma das moedas roubadas era NICK. Então Roffet investigou o código do contrato de NICK e descobriu que ele era “um tanto estranho”. Em vez de conter o código de ações usual encontrado na maioria dos contratos de token, ele tinha “alguns métodos muito estranhos e ofuscados”.

Como evidência desses métodos estranhos, Roffet postou uma imagem das funções “performance” e “novel” do NICK, que têm texto pouco claro e sem propósito óbvio.

Desempenho e funções novas do NICK. Fonte: Roffett.eth

Eventualmente, Roffett descobriu que o contrato tinha código malicioso dentro de uma de suas bibliotecas. Esse código permitia que o “recuperador” (desenvolvedor) chamasse a função “permitir” sem fornecer a assinatura do detentor do token. Roffett declarou:

“Se o endereço do chamador for igual ao do recuperador, então, ao construir uma assinatura específica manualmente, é possível obter a permissão de qualquer detentor de token e então transferir os tokens.”

No entanto, o endereço do recuperador também foi obscurecido. Ele foi listado como um número positivo, diferente de zero, de 256 bits. Logo abaixo desse número, havia uma função que o contrato usava para derivar o endereço desse número. Roffett usou essa função para determinar que o “recuperador” malicioso era um contrato cujo endereço terminava em f261.

Dados do blockchain mostram que esse contrato de “recuperação” realizou mais de 100 transações transferindo tokens NICK dos detentores do token para outras contas.

Conta maliciosa drenando NICK de um usuário. Fonte: Basescan.

Após descobrir como esse golpe funcionava, Roffett investigou a lista de “tendências” e encontrou pelo menos dois outros tokens que continham código semelhante: Robotaxi e DFC.

Roffett concluiu que os golpistas provavelmente estão usando essa técnica há algum tempo. Ele alertou os usuários para ficarem longe dessa lista, pois usá-la pode resultar em perda de fundos. Ele declarou:

“Desenvolvedores maliciosos primeiro usam vários endereços para simular negociação e retenção, empurrando o token para a lista de tendências. Isso atrai pequenos investidores de varejo para comprar e, eventualmente, os tokens ERC20 são roubados, completando o golpe. A existência dessas listas de tendências é extremamente prejudicial para investidores de varejo novatos. Espero que todos fiquem cientes disso e não caiam nessa.”

Tokens fraudulentos ou “honeypots” continuam a representar riscos para usuários de criptomoedas. Em abril, um desenvolvedor de tokens fraudulentos drenou US$ 1,62 milhão das vítimas vendendo a elas um token BONKKILLER que não permitia que os usuários o vendessem. Em 2022, a empresa de gerenciamento de risco de blockchain Solidus divulgou um relatório alertando que mais de 350 moedas fraudulentas foram criadas ao longo do ano.