Les escrocs utilisent la liste des « tendances » des memecoins pour attirer leurs victimes – Chercheur

Cointelegraph · 2024-09-30T14:37:13.000Z

Les escrocs utilisent une liste de « tendances » sur le site d'analyse de memecoin GMGN pour attirer des victimes sans méfiance et voler leur crypto, selon un article X du 25 septembre du chercheur en sécurité Roffett.eth. Les attaquants créent des pièces qui permettent au développeur de transférer les jetons de n’importe quel utilisateur vers lui-même. Ils transmettent ensuite le jeton entre plusieurs comptes, gonflant artificiellement son volume et le plaçant sur la « liste des tendances » de GMGN. Une fois que la cryptomonnaie est sur la liste des tendances, des utilisateurs sans méfiance l'achètent, pensant qu'il s'agit d'une cryptomonnaie populaire. Mais en quelques minutes, leurs cryptomonnaies sont retirées de leurs portefeuilles et ne sont plus jamais revues. Le développeur redépose ensuite la cryptomonnaie dans son pool de liquidités et la revend à une autre victime.

Мошенники используют список «трендов» на аналитическом сайте Memecoin GMGN, чтобы заманить ничего не подозревающих жертв и украсть их криптовалюту, согласно сообщению от 25 сентября, опубликованному исследователем по безопасности Roffett.eth.
Злоумышленники создают монеты, которые позволяют разработчику переводить себе токены любого пользователя. Затем они передают токен туда и обратно между несколькими аккаунтами, искусственно раздувая его объем и помещая его в «трендовый список» GMGN.
Как только монета попадает в список трендов, ничего не подозревающие пользователи скупают ее, думая, что это популярная монета. Но в течение нескольких минут их монеты исчезают из кошельков, и больше их никто не видит. Затем разработчик снова вносит монету в свой пул ликвидности и перепродает ее другой жертве.
Роффет назвал Robotaxi, DFC и Billy’s Dog (NICK) в качестве трех примеров вредоносных монет, обнаруженных в списке.
GMGN — это аналитическое веб-приложение, которое обслуживает трейдеров memecoin на Base, Solana, Tron, Blast и Ethereum. Его интерфейс содержит несколько различных вкладок, включая «новая пара», «тренд» и «открытие», каждая из которых перечисляет монеты на основе различных критериев.
Роффетт утверждает, что обнаружил мошенническую технику, когда его друзья купили монеты из списка и обнаружили, что они таинственным образом исчезли. Один из друзей считал, что его кошелек был взломан, но когда он создал новый кошелек и снова купил монеты, они снова были слиты из его кошелька.
Журнал: взломана сеть Bankroll Network DeFi, мошенник на $50 млн перевел криптовалюту на CoW: Crypto-Sec
Заинтригованный загадкой, Роффетт исследовал атаки с помощью Block Explorer и обнаружил, что они, по-видимому, были заурядными фишинговыми атаками. Злоумышленник вызвал функцию «разрешения» и, по-видимому, предоставил подпись пользователя, что не должно было быть возможным, если только пользователь не был обманут фишинговым сайтом. Однако друг отрицал, что взаимодействовал с подозрительными веб-сайтами до любой из двух атак.
Одной из украденных монет была NICK. Поэтому Роффет исследовал код контракта NICK и обнаружил, что он был «несколько странным». Вместо того, чтобы содержать обычный код акций, который можно найти в большинстве контрактов токенов, он имел «некоторые очень странные и запутанные методы».
В качестве доказательства этих странных методов Роффет опубликовал изображение функций NICK «производительность» и «новизна», которые содержат неясный текст без очевидного назначения.
Производительность NICK и новые функции. Источник: Roffett.eth
В конце концов, Роффетт обнаружил, что контракт содержал вредоносный код внутри одной из своих библиотек. Этот код позволял «восстановителю» (разработчику) вызывать функцию «разрешения» без предоставления подписи держателя токена. Роффетт заявил:
«Если адрес вызывающего абонента совпадает с адресом получателя, то, вручную составив определенную подпись, можно получить разрешение любого держателя токена, а затем передать токены».
Однако адрес восстановителя также был скрыт. Он был указан как 256-битное положительное ненулевое число. Чуть ниже этого числа была функция, которую контракт использовал для получения адреса из этого числа. Роффетт использовал эту функцию, чтобы определить, что вредоносный «восстановитель» был контрактом, адрес которого заканчивался на f261.
Данные блокчейна показывают, что этот контракт «восстановителя» выполнил более 100 транзакций по переводу токенов NICK от держателей токенов на другие счета.
Вредоносная учетная запись, выкачивающая NICK у пользователя. Источник: Basescan.
Узнав, как работает эта афера, Роффетт исследовал список «трендов» и обнаружил по крайней мере два других токена, содержащих похожий код: Robotaxi и DFC.
Роффетт пришел к выводу, что мошенники, вероятно, уже некоторое время используют эту технику. Он предупредил пользователей держаться подальше от этого списка, так как его использование может привести к потере средств. Он заявил:
«Злонамеренные разработчики сначала используют несколько адресов для имитации торговли и удержания, помещая токен в список трендов. Это привлекает мелких розничных инвесторов к покупке, и в конечном итоге токены ERC20 крадут, завершая мошенничество. Существование этих списков трендов чрезвычайно вредно для начинающих розничных инвесторов. Я надеюсь, что все это осознают и не попадутся на удочку».
Мошеннические токены или «приманки» продолжают представлять опасность для пользователей криптовалют. В апреле разработчик мошеннических токенов вывел у жертв 1,62 миллиона долларов, продав им токен BONKKILLER, который не позволял пользователям продавать его. В 2022 году компания по управлению рисками блокчейна Solidus опубликовала отчет, в котором предупреждалось, что в течение года было создано более 350 мошеннических монет.

Другие публикации автора

Последние новости

Другие публикации автора

Последние новости

Популярные статьи