Згідно з CryptoPotato, SlowMist у партнерстві з imToken виявили нове шахрайство з криптовалютою, яке використовує користувачів у фізичних офлайн-транзакціях, причому USDT є кращим способом оплати. Шахрайська схема маніпулює Remote Procedure Calls (RPC) вузла Ethereum, щоб обдурити нічого не підозрюючих жертв.

Спочатку шахрай переконує ціль завантажити законний гаманець imToken і зміцнює довіру, переказуючи 1 USDT і невелику кількість ETH як приманку. Потім шахрай дає вказівку користувачеві перенаправити URL-адресу ETH RPC на вузол під його контролем, зокрема, використовуючи модифікований вузол. За допомогою цієї маніпуляції шахрай фальсифікує баланс USDT користувача, щоб виглядати так, ніби кошти були внесені. Однак, коли користувач намагається переказати USDT, він розуміє, що його обдурили. Згідно з висновками SlowMist, до цього моменту шахрай зник.

Фірма безпеки блокчейну також розкрила, що функція Tenderly's Fork може не тільки змінювати баланси, але й інформацію про контракти, створюючи більшу загрозу для користувачів. Таким чином, розуміння RPC є важливим для розуміння роботи таких шахрайств, зазначив SlowMist. RPC діє як канал для взаємодії з блокчейн-мережами, дозволяючи користувачам виконувати різні дії, наприклад перевіряти баланси та створювати транзакції. Гаманці зазвичай підключаються до безпечних вузлів за замовчуванням, але підключення до ненадійних вузлів може призвести до зловмисних модифікацій, що призведе до фінансових втрат.

Подальший аналіз MistTrack виявив масштаби операцій шахрайства. Розслідування відомої адреси гаманця жертви показує, що вони отримали 1 USDT і 0,002 ETH з іншої адреси. Ця адреса переказала 1 USDT на кілька адрес, що вказує на неодноразові шахрайські дії. MistTrack позначає ці адреси як «шахраї, які розбивають свиней», вони пов’язані з різними торговельними платформами та причетні до багатьох інцидентів шахрайства.