Un falso token Metamask e un token chiamato $YEAR in riferimento al nuovo anno sono riusciti a prendere soldi da molti utenti. Purtroppo questa pratica è tornata di moda nel 2021.
Una truffa con token MetaMask
I truffatori sono riusciti a truffare quasi 400 persone per circa 1,8 milioni di dollari.
Gli autori hanno approfittato delle voci su un futuro token ufficiale del portafoglio MetaMask annunciando un token chiamato MASK e offrendo agli interessati di mettere i loro soldi su una coppia wETH/MASK sulla piattaforma di scambio Uniswap. La coppia è ancora visibile qui.
Alcuni utenti hanno riferito che sono stati in grado di rivendere i loro token per un po’, qualcosa che è stato probabilmente reso possibile dai truffatori per evitare di suscitare sospetti tra gli acquirenti.
Poi la vendita è diventata impossibile una volta che il valore totale in contanti della piscina ha raggiunto 1 milione di dollari, privando gli acquirenti della loro proprietà.
Secondo un thread su Twitter dell’utente coby.eth, i truffatori sono riusciti a sfruttare una falla nel codice frontend del sito web DexTools, mostrando il token MASK come verificato e sicuro agli utenti della piattaforma:
Catture del pop-up di verifica e cattura del token verificato (Fonte: Twitter)
Secondo etherscan, uno strumento che tiene traccia delle transazioni che avvengono sulla blockchain di Ethereum (ETH), la persona o le persone che hanno organizzato la frode sono riuscite a trasferire 475 ETH (equivalente a 1.594.575 dollari al momento della scrittura) e avevano anche quasi 10 milioni di token $MASK.
Entrambe le transazioni sono state effettuate dal pool di liquidità ospitato sulla piattaforma Uniswap e poi trasferite in un portafoglio digitale.
Il denaro è stato poi trasferito su Tornado Cash, una piattaforma che permette di “mescolare” le monete per rendere le transazioni completamente anonime. Questo significa che la persona che ha ricevuto i profitti non può essere rintracciata.
Ad oggi, Dextools non ha ancora rilasciato una risposta alle falle di sicurezza nel loro codice che sono state il principale motore del successo della truffa.
La prima truffa del 2022
Purtroppo questo non è un caso isolato, poiché un progetto che si fa chiamare “EtherWrapped” è emerso il 31 dicembre, spacciandosi per un airdrop per gli utenti della blockchain Ethereum.
L’annuncio iniziale è stato fatto da un account Twitter chiamato @etherwrapped, ma che da allora è stato cancellato.
Gli utenti sono stati invitati ad andare sul sito della truffa e a collegare il loro portafoglio MetaMask per ricevere una ricompensa di token chiamati “YEAR” in proporzione ai loro investimenti sulla blockchain.
Catturando le ricompense offerte dall’airdrop del token YEAR (Fonte: Twitter)
Lo smart contract del token YEAR è apparso inizialmente non verificato con la Ethereum Virtual Machine (EVM), poi il creatore del token ha reso pubblico il suo codice in modo che tutti potessero controllarlo per il codice maligno, che è la procedura standard.
Secondo l’utente di Twitter meows.eth, è stato un codice apparentemente innocuo a rendere possibile il furto.
La persona dietro la truffa avrebbe usato questa linea di codice per impedire ai proprietari del token di venderlo, quindi c’era una curva ascendente senza alcuna rivendita e basata solo sugli acquisti.
Poi, dopo 30 minuti, il truffatore avrebbe ritirato tutto il contante dal pool, cioè 30 ETH (equivalenti a 100.410 dollari in questo momento), facendo così scendere il token YEAR a un valore di 0 dollari.
Va notato che, nonostante il fatto che gli acquirenti hanno collegato il loro portafoglio MetaMask al sito della truffa, nessun furto è stato ancora segnalato direttamente dai portafogli degli acquirenti. Il ladro avrebbe beneficiato “solo” dei 30 ETH del pool di liquidità, ottenuti grazie agli acquirenti del token fraudolento.
Una truffa “Meta” sta circolando su Facebook
Alcune truffe osano fare qualsiasi cosa: per esempio, c’è attualmente un annuncio per un token “Meta”, in riferimento al cambio di nome di Facebook.
Solo che l’annuncio è presente… sul sito stesso di Facebook.
Questo può sembrare straordinario e questo è il problema, è facile cascarci perché può essere difficile credere che una truffa possa essere trasmessa sulla piattaforma che sta spoofando!
Esempi di annunci truffa (Fonte: Facebook)
In questo caso puoi usare lo strumento Scam Detector. Qui, questo sito segna 0,6/100 in termini di affidabilità, che è il minimo. È un semplice trucco che può farvi risparmiare un sacco di problemi.
Il metodo del tiro del tappeto
Le truffe descritte sopra usano il cosiddetto metodo rug pull, una procedura che purtroppo è fin troppo comune nel mondo delle criptovalute.
In poche parole, il truffatore punterà sull’effetto FOMO (Fear Of Missing Out).
Lancerà un gettone curando la sua immagine, in particolare spendendo soldi in pubblicità o anche convincendo le persone con notorietà che il suo progetto è sicuro e che funzionerà ogni volta.
Alcuni fanno anche pubblicità su popolari social network come Instagram, Facebook o Twitter, spesso inviando messaggi privati agli utenti promettendo loro attraenti gocce d’aria o omaggi.
Così, una volta lanciato il progetto, il valore del token salirà alle stelle, creando la famosa paura di perdere l’opportunità di avere i propri token ad un prezzo ridotto per poterli rivendere ad un prezzo più alto.
Una volta che i truffatori hanno raggiunto l’importo desiderato, possono semplicemente andarsene con la cassa.
Rug pull example (Source: ByBit)
Ci sono alcuni passi fondamentali da fare prima di investire in un nuovo progetto:
Il primo è controllare il libro bianco del progetto. Anche se non è una garanzia di sicurezza al 100%, ti dà un’idea dell’affidabilità del progetto, vedi se è coerente e se la sua scrittura sembra seria. Tra un libro bianco di 5 pagine e uno di 50 pagine, è ovvio che quest’ultimo sarà probabilmente più affidabile.
Poi puoi guardare chi c’è dietro il progetto: sono stati coinvolti in altri progetti famosi? Hanno esperienza nel settore della blockchain o della tecnologia? Il progetto è sostenuto da personalità o aziende ben note del settore?
Un controllo più tecnico è quello di vedere come sono ripartiti i fondi per un progetto. Per esempio, per la blockchain di Ethereum, puoi usare etherscan e controllare se poche o molte persone detengono i token: se pochissime persone detengono tutti i token, stai attento.
Un altro metodo di truffa comune è il “Honey Pot”, che lavora su un metodo leggermente più complesso ma che si può evitare prendendo le stesse misure precauzionali.
Per ingannare la vittima, il truffatore emetterà un contratto intelligente con un buco di sicurezza per farle credere di poterlo sfruttare per fare soldi.
Per esempio, la vittima può credere che un contratto intelligente gli permetterà di guadagnare denaro su base regolare, completamente inosservato. Solo che per riavere il bottino, la vittima dovrà anticipare del denaro.
Soldi che, ovviamente, non vedranno mai più, dato che il falso difetto è stato codificato in modo totalmente volontario. Questa è una versione della più popolare “frode 4-1-9” ma adattata alle criptovalute.
Puoi anche usare lo strumento di rilevamento honeypot per Ethereum o per la Smart Chain di Binance.
Sappiate che per l’anno 2021, sono stati rubati più di 7,7 miliardi di dollari attraverso metodi senza scrupoli come questi nell’universo delle criptovalute, l’81% in più rispetto all’anno 2020.
Volume di criptovalute ottenute dai truffatori (Fonte: Chainalysis)
Possiamo solo raccomandarvi di essere estremamente attenti ai nuovi progetti, specialmente se vi promettono la luna. Stai sempre molto attento
