Een nep Metamask token en een token met de naam $YEAR als verwijzing naar het nieuwe jaar zijn erin geslaagd om veel gebruikers geld afhandig te maken. Helaas is deze praktijk in 2021 weer in de mode gekomen.
Een MetaMask token oplichterij
Oplichters zijn erin geslaagd om bijna 400 mensen op te lichten voor ongeveer 1,8 miljoen dollar.
De daders maakten gebruik van geruchten over een toekomstig officieel MetaMask portemonnee token door een token genaamd MASK aan te kondigen en geïnteresseerden aan te bieden hun geld te zetten op een wETH/MASK paar op het Uniswap uitwisselingsplatform. Het paar is hier nog te zien.
Sommige gebruikers meldden dat ze hun tokens een tijdje konden doorverkopen, iets wat waarschijnlijk mogelijk werd gemaakt door de oplichters om geen argwaan te wekken bij kopers.
Toen de totale contante waarde van het zwembad 1 miljoen dollar bereikte, werd de verkoop onmogelijk, waardoor de kopers van hun eigendom werden beroofd.
Volgens een Twitter thread van gebruiker coby.eth, zijn de oplichters erin geslaagd om misbruik te maken van een fout in de frontend code op de DexTools website, waardoor het MASK token als geverifieerd en veilig wordt weergegeven aan de gebruikers van het platform:
Captures van de verificatie pop-up en vangst van het geverifieerde token (Bron: Twitter)
Volgens etherscan, een tool die transacties volgt die plaatsvinden op de Ethereum blockchain (ETH), slaagde(n) die de fraude opzette(n) erin om 475 ETH over te maken (gelijk aan $1.594.575 op het moment van schrijven) en had(den) ook bijna 10 miljoen $MASK tokens.
Beide transacties werden verricht vanuit de op het Uniswap-platform gehoste liquiditeitenpool en vervolgens overgebracht naar een digitale portemonnee.
Het geld werd vervolgens overgemaakt naar Tornado Cash, een platform dat het “mengen” van munten mogelijk maakt om de transacties volledig anoniem te maken. Dit betekent dat de persoon die de winst heeft ontvangen, niet kan worden opgespoord.
Tot op de dag van vandaag heeft Dextools nog geen reactie gegeven op de veiligheidslekken in hun code die de belangrijkste drijfveer waren voor het succes van de zwendel.
De eerste oplichterij van 2022
Helaas is dit geen geïsoleerd geval, want op 31 december dook een project op dat zichzelf “EtherWrapped” noemt en zich voordeed als een airdrop voor gebruikers van de Ethereum-blockchain.
De eerste aankondiging werd gedaan vanaf een Twitter-account met de naam @etherwrapped, maar dat account is inmiddels verwijderd.
Gebruikers werden uitgenodigd om naar de zwendelsite te gaan en hun MetaMask-portemonnee aan te sluiten om een beloning van tokens genaamd “YEAR” te ontvangen in verhouding tot hun investeringen op de blockchain.
De beloningen van de YEAR token airdrop vangen (Bron: Twitter)
Het smart contract van het YEAR-token verscheen eerst ongeverifieerd bij de Ethereum Virtual Machine (EVM), daarna maakte de maker van het token zijn code openbaar zodat iedereen het kon controleren op kwaadaardige code, wat een standaardprocedure is.
Volgens Twitter-gebruiker meows.eth was het een schijnbaar onschuldige code die de diefstal mogelijk maakte.
De persoon achter de zwendel zou deze coderegel hebben gebruikt om te voorkomen dat eigenaars van het token het konden verkopen, zodat er een opwaartse curve was zonder enige wederverkoop en alleen gebaseerd op aankopen.
Dan, na 30 minuten, zou de oplichter al het geld uit de pool hebben gehaald, d.w.z. 30 ETH (gelijk aan $100.410 op dit moment), waardoor het YEAR token zou dalen naar een waarde van $0.
Er moet worden opgemerkt dat ondanks het feit dat de kopers hun MetaMask portemonnee aan de zwendel site hebben gekoppeld, er geen directe diefstal uit de portemonnees van de kopers heeft plaatsgevonden. De dief zou “slechts” hebben geprofiteerd van de 30 ETH van de liquiditeitspool, verkregen dankzij de kopers van het frauduleuze token.
Een “Meta” zwendel doet de ronde op Facebook.
Sommige oplichters durven alles: zo is er momenteel een advertentie voor een “Meta”-token, in verwijzing naar de naamsverandering van Facebook.
Alleen, de advertentie is te zien… op de Facebook site zelf.
Dit lijkt misschien buitengewoon en dat is het probleem, het is gemakkelijk om erin te trappen omdat het moeilijk te geloven kan zijn dat een zwendel kan worden uitgezonden op het platform dat het nabootst!
Voorbeelden van oplichtingsadvertenties (Bron: Facebook)
In dit geval kunt u de Scam Detector tool gebruiken. Hier scoort deze site 0,6/100 in termen van betrouwbaarheid, wat het minimum is. Het is een simpele truc die je een hoop moeite kan besparen.
The rug pull method
De hierboven beschreven oplichting maakt gebruik van de zogenaamde rug pull-methode, een procedure die helaas maar al te gebruikelijk is in de cryptocurrency-wereld.
Simpel gezegd, de oplichter wedt op het FOMO (Fear Of Missing Out) effect.
Hij zal een penning lanceren door zorg te dragen voor zijn imago, met name door geld uit te geven aan advertenties of zelfs door mensen met bekendheid ervan te overtuigen dat zijn project veilig is en dat het elke keer zal werken.
Sommige adverteren ook op populaire sociale netwerken zoals Instagram, Facebook of Twitter, vaak door het sturen van privéberichten naar gebruikers waarin hun aantrekkelijke airdrops of giveaways worden beloofd.
Zodra het project wordt gelanceerd, zal de waarde van de token dus omhoogschieten, waardoor de beroemde angst ontstaat dat men de kans mist om zijn tokens tegen een gereduceerde prijs te krijgen om ze vervolgens tegen een hogere prijs door te verkopen.
Als de oplichters het gewenste bedrag hebben bereikt, kunnen ze gewoon weglopen met de kassa.
Rug trek voorbeeld (Bron: ByBit)
Er zijn een paar basisstappen die je moet nemen voordat je in een nieuw project investeert:
De eerste is om het project wit papier te controleren. Hoewel het geen 100% garantie is voor veiligheid, geeft het u een idee van de betrouwbaarheid van het project, kijkt u of het consistent is en of het schrijven ervan serieus lijkt. Tussen een witboek van 5 bladzijden en een van 50 bladzijden ligt het voor de hand dat het laatste waarschijnlijk betrouwbaarder zal zijn.
Vervolgens kunt u kijken naar wie er achter het project zit: zijn ze betrokken geweest bij andere bekende projecten? Hebben ze ervaring in de blockchain- of technologiesector? Wordt het project gesteund door bekende persoonlijkheden of bedrijven uit de sector?
Een meer technische controle is na te gaan hoe de middelen voor een project worden verdeeld. Voor de Ethereum-blockchain kunt u bijvoorbeeld etherscan gebruiken en nagaan of weinig of veel mensen de tokens bezitten: als heel weinig mensen alle tokens bezitten, pas dan op.
Een andere veel voorkomende zwendelmethode is de “Honey Pot”, die volgens een iets complexere methode werkt, maar die u kunt vermijden door dezelfde voorzorgsmaatregelen te nemen.
Om het slachtoffer te misleiden, zal de oplichter een smart contract uitgeven met een veiligheidslek om hen te laten denken dat ze het kunnen uitbuiten om geld te verdienen.
Het slachtoffer kan bijvoorbeeld denken dat een slim contract hem in staat zal stellen regelmatig geld te verdienen, volledig onopgemerkt. Behalve dat om de buit terug te krijgen, het slachtoffer geld zal moeten voorschieten.
Geld dat zij natuurlijk nooit meer zullen terugzien, aangezien de nepfout op een volkomen vrijwillige manier was gecodeerd. Dit is een versie van de meer populaire “4-1-9 fraude” maar dan aangepast aan cryptocurrency.
Je kunt ook het honeypot opsporingsprogramma gebruiken voor Ethereum of voor de Binance Smart Chain.
Wees je ervan bewust dat voor het jaar 2021, het meer dan $ 7,7 miljard was dat werd gestolen via gewetenloze methoden zoals deze in het cryptocurrency universum, 81% meer dan in het jaar 2020.
Volume van cryptocurrencies verkregen door oplichters (Bron: Chainalysis)
Wij kunnen u alleen maar aanraden om uiterst voorzichtig te zijn met nieuwe projecten, vooral als ze u de maan beloven. Wees altijd heel voorzichtig
