Escrocii folosesc o listă „în tendințe” pe site-ul de analiză memecoin GMGN pentru a atrage victimele nebănuitoare și pentru a le fura cripto, conform unei postări X din 25 septembrie a cercetătorului de securitate Roffett.eth.

Atacatorii creează monede care permit dezvoltatorului să transfere jetoanele oricărui utilizator către ei înșiși. Apoi trec simbolul înainte și înapoi între mai multe conturi, umflandu-i în mod artificial volumul și plasându-l pe „lista de tendințe” GMGN.

Odată ce moneda ajunge pe lista de tendințe, utilizatorii nebănuiți o cumpără, crezând că este o monedă populară. Dar în câteva minute, monedele lor sunt scoase din portofel, pentru a nu mai fi văzute niciodată. Apoi, dezvoltatorul redepune moneda în fondul său de lichiditate și o revinde unei alte victime.

Roffet a enumerat Robotaxi, DFC și Billy’s Dog (NICK) drept trei exemple de monede rău intenționate găsite pe listă.

GMGN este o aplicație web de analiză care se adresează comercianților de memecoin pe Base, Solana, Tron, Blast și Ethereum. Interfața sa conține mai multe file diferite, inclusiv „pereche nouă”, „în tendințe” și „descoperire”, fiecare dintre acestea listând monede pe baza unor criterii diferite.

Roffett susține că a descoperit tehnica înșelătoriei atunci când prietenii au cumpărat monede de pe listă și au descoperit că acestea au dispărut în mod misterios. Un prieten a crezut că portofelul i-a fost spart, dar când a creat un nou portofel și a cumpărat din nou monedele, acestea au fost din nou scurse din portofel.

Revista: ​​Rețeaua Bankroll DeFi piratată, phisher de 50 de milioane de dolari mută cripto pe CoW: Crypto-Sec

Intrigat de mister, Roffett a investigat atacurile folosind un explorator de blocuri și a descoperit că acestea păreau a fi atacuri de phishing obișnuite. Atacatorul a apelat la o funcție „permis” și părea să fi furnizat semnătura utilizatorului, ceea ce nu ar fi trebuit să fie posibil decât dacă utilizatorul a fost păcălit de un site de phishing. Cu toate acestea, prietenul a negat că ar fi interacționat cu site-uri web suspecte înainte de oricare dintre cele două atacuri.

Una dintre monedele furate a fost NICK. Așa că Roffet a investigat codul de contract al lui NICK și a descoperit că era „oarecum ciudat”. În loc să conțină codul de stoc obișnuit care se găsește în majoritatea contractelor cu simboluri, avea „unele metode foarte ciudate și obscucate”.

Ca dovadă a acestor metode ciudate, Roffet a postat o imagine a funcțiilor „performanțe” și „romane” ale NICK, care au text neclar, fără un scop evident.

Performanță NICK și funcții noi. Sursa: Roffett.eth

În cele din urmă, Roffett a descoperit că contractul avea cod rău intenționat în interiorul uneia dintre bibliotecile sale. Acest cod a permis „recupertorului” (dezvoltatorului) să apeleze funcția „permis” fără a furniza semnătura deținătorului de token. Roffett a declarat:

„Dacă adresa apelantului este egală cu recuperatorul, atunci prin construirea manuală a unei semnături specifice, se poate obține permisiunea oricărui deținător de token și apoi se poate transfera jetoanele.”

Cu toate acestea, adresa recuperatorului a fost, de asemenea, ascunsă. A fost listat ca un număr de 256 de biți, pozitiv, diferit de zero. Chiar sub acest număr era o funcție pe care contractul a folosit-o pentru a deriva adresa din acest număr. Roffett a folosit această funcție pentru a determina că „recuperătorul” rău intenționat era un contract a cărui adresă se termina în f261. 

Datele blockchain arată că acest contract de „recuperare” a efectuat peste 100 de tranzacții transferând jetoane NICK de la deținătorii token-ului în alte conturi.

Cont rău intenționat care drenează NICK de la un utilizator. Sursa: Basescan.

După ce a descoperit cum a funcționat această înșelătorie, Roffett a investigat lista „în tendințe” și a găsit cel puțin alte două jetoane care conțineau cod similar: Robotaxi și DFC.

Roffett a concluzionat că escrocii probabil folosesc această tehnică de ceva timp. El i-a avertizat pe utilizatori să stea departe de această listă, deoarece utilizarea acesteia poate duce la pierderea fondurilor. El a declarat:

„Dezvoltatorii rău intenționați folosesc mai întâi mai multe adrese pentru a simula tranzacționarea și deținerea, împingând jetonul pe lista de tendințe. Acest lucru atrage micii investitori cu amănuntul să cumpere și, în cele din urmă, jetoanele ERC20 sunt furate, completând înșelătoria. Existența acestor liste de tendințe este extrem de dăunătoare pentru investitorii de retail începători. Sper ca toată lumea să devină conștientă de acest lucru și să nu se îndrăgească de asta.”

Jetoanele de înșelătorie sau „honeypots” continuă să prezinte riscuri pentru utilizatorii cripto. În aprilie, un dezvoltator de token-uri înșelătorie a scurs 1,62 milioane de dolari de la victime vânzându-le un token BONKKILLER care nu le permitea utilizatorilor să-l vândă. În 2022, firma de management al riscului blockchain Solidus a lansat un raport în care avertizează că peste 350 de monede înșelătorie au fost create pe parcursul anului.