Згідно з дописом дослідника безпеки Roffett.eth від 25 вересня, шахраї використовують список «трендових» на аналітичному сайті мемкойнів GMGN, щоб заманити нічого не підозрюючих жертв і викрасти їхні криптовалюти.

Зловмисники створюють монети, які дозволяють розробнику передавати собі токени будь-якого користувача. Потім вони передають токен туди-сюди між кількома обліковими записами, штучно збільшуючи його обсяг і поміщаючи його в «список трендів» GMGN.

Як тільки монета потрапляє в список трендів, нічого не підозрюють користувачі купують її, вважаючи, що це популярна монета. Але за лічені хвилини їхні монети викрадають із гаманців, і їх більше ніколи не бачать. Потім розробник повторно вносить монету в свій пул ліквідності та перепродає її іншій жертві.

Роффет перерахував Robotaxi, DFC і Billy’s Dog (NICK) як три приклади шкідливих монет, знайдених у списку.

GMGN — це аналітичний веб-додаток, який обслуговує трейдерів мемкойнів на Base, Solana, Tron, Blast і Ethereum. Його інтерфейс містить кілька різних вкладок, у тому числі «нова пара», «тренди» та «відкрити», кожна з яких містить список монет на основі різних критеріїв.

Роффетт стверджує, що виявив метод шахрайства, коли друзі купили монети зі списку та виявили, що вони таємничим чином зникли. Один друг вважав, що його гаманець зламали, але коли він створив новий гаманець і знову купив монети, вони знову були злиті з його гаманця.

Журнал: ​​Bankroll Network DeFi зламано, фішер на 50 мільйонів доларів переміщує криптовалюту на CoW: Crypto-Sec

Заінтригований цією таємницею, Роффет дослідив атаки за допомогою провідника блоків і виявив, що вони виглядають як звичайні фішингові атаки. Зловмисник викликав функцію «дозвіл» і, здавалося, надав підпис користувача, що мало бути можливим, якщо користувача не ошукав фішинговий сайт. Однак друг заперечував, що він взаємодіяв із підозрілими веб-сайтами до однієї з двох атак.

Однією з викрадених монет був NICK. Тому Роффет дослідив код контракту NICK і виявив, що він «дещо дивний». Замість того, щоб містити звичайний фондовий код, який можна знайти в більшості контрактів на токени, він мав «деякі дуже дивні та заплутані методи».

Як доказ цих дивних методів Роффет опублікував зображення «продуктивних» і «нових» функцій NICK, які мають нечіткий текст без очевидної мети.

Продуктивність NICK і нові функції. Джерело: Roffett.eth

Згодом Роффет виявив, що в одній із бібліотек контракту міститься шкідливий код. Цей код дозволяв «відновлювачу» (розробнику) викликати функцію «permit» без надання підпису власника токена. Роффет заявив:

«Якщо адреса абонента збігається з адресою відновлення, то, створивши певний підпис вручну, можна отримати дозвіл будь-якого власника токена, а потім передати токени».

Однак адреса відновлювача також була прихована. Воно було зазначено як 256-бітне додатне ненульове число. Трохи нижче цього числа була функція, яку контракт використовував для отримання адреси з цього числа. Роффет використовував цю функцію, щоб визначити, що шкідливий «відновлювач» був контрактом, адреса якого закінчувалася на f261. 

Дані блокчейну показують, що цей контракт «відновлення» виконав понад 100 транзакцій, передаючи токени NICK від власників токена до інших облікових записів.

Шкідливий обліковий запис, що зливає NICK з користувача. Джерело: Basescan.

Дізнавшись, як працює ця афера, Роффетт дослідив список «трендових» і знайшов принаймні два інші токени, які містили подібний код: Robotaxi і DFC.

Роффетт дійшов висновку, що шахраї, ймовірно, використовували цю техніку протягом деякого часу. Він попередив користувачів триматися подалі від цього списку, оскільки його використання може призвести до втрати ними коштів. Він заявив:

«Шкідливі розробники спочатку використовують кілька адрес для імітації торгівлі та утримання, висуваючи токен до списку трендів. Це приваблює дрібних роздрібних інвесторів до покупки, і зрештою токени ERC20 викрадають, завершуючи аферу. Існування цих списків трендів надзвичайно шкідливе для роздрібних інвесторів-початківців. Я сподіваюся, що всі це усвідомлять і не піддадуться».

Скам-токени або «приманки» продовжують створювати ризики для користувачів криптовалюти. У квітні розробник шахрайських токенів витяг 1,62 мільйона доларів із жертв, продавши їм токен BONKKILLER, який не дозволяв користувачам продавати його. У 2022 році фірма з управління ризиками блокчейну Solidus опублікувала звіт із попередженням про те, що протягом року було створено понад 350 шахрайських монет.