Fałszywy token Metamask oraz token o nazwie $YEAR w nawiązaniu do nowego roku zdołały wyciągnąć pieniądze od wielu użytkowników. Niestety, ta praktyka wróciła do mody w 2021 roku.
A MetaMask token scam
Oszustom udało się wyłudzić od prawie 400 osób około 1,8 mln dolarów.
Sprawcy wykorzystali pogłoski o przyszłym oficjalnym tokenie portfela MetaMask, ogłaszając token o nazwie MASK i oferując zainteresowanym osobom postawienie pieniędzy na parę wETH/MASK na platformie wymiany Uniswap. Para ta jest nadal widoczna w tym miejscu.
Niektórzy użytkownicy poinformowali, że byli w stanie odsprzedać swoje tokeny przez jakiś czas, co prawdopodobnie było możliwe przez oszustów, aby uniknąć wzbudzania podejrzeń wśród kupujących.
Następnie sprzedaż stała się niemożliwa, gdy całkowita wartość gotówkowa basenu osiągnęła 1 milion dolarów, pozbawiając nabywców ich własności.
Według wątku na Twitterze autorstwa użytkownika coby.eth, oszustom udało się wykorzystać błąd w kodzie frontendowym na stronie DexTools, wyświetlając token MASK jako zweryfikowany i bezpieczny dla użytkowników platformy:
Ujęcia wyskakującego okienka weryfikacji i przechwycenia zweryfikowanego tokena (Źródło: Twitter)
Według etherscan, narzędzia, które śledzi transakcje odbywające się na blockchainie Ethereum (ETH), osoba lub osoby, które zorganizowały oszustwo, zdołały przelać 475 ETH (równowartość 1 594 575 dolarów w momencie pisania tego tekstu), a także posiadały prawie 10 milionów tokenów $MASK.
Obie transakcje zostały dokonane z puli płynnościowej hostowanej na platformie Uniswap, a następnie przekazane do portfela cyfrowego.
Pieniądze zostały następnie przekazane do Tornado Cash, platformy, która pozwala na „mieszanie” monet, aby transakcje były całkowicie anonimowe. Oznacza to, że osoba, która otrzymała zyski, nie może zostać odnaleziona.
Na dzień dzisiejszy Dextools nie opublikowało jeszcze odpowiedzi na temat luk w zabezpieczeniach swojego kodu, które były głównym motorem sukcesu oszustwa.
Pierwsze oszustwo 2022
Niestety nie jest to odosobniony przypadek, ponieważ 31 grudnia pojawił się projekt nazywający siebie „EtherWrapped”, pozujący jako zrzut dla użytkowników blockchaina Ethereum.
Początkowe ogłoszenie zostało dokonane z konta na Twitterze o nazwie @etherwrapped, które jednak zostało usunięte.
Użytkownicy zostali zaproszeni do przejścia na stronę oszustwa i podłączenia portfela MetaMask, aby otrzymać nagrodę w postaci tokenów o nazwie „YEAR” proporcjonalnie do swoich inwestycji na blockchainie.
Przechwytywanie nagród oferowanych przez zrzut tokenów YEAR (Źródło: Twitter)
Smartfoniczny kontrakt tokena YEAR najpierw pojawił się niezweryfikowany za pomocą maszyny wirtualnej Ethereum (EVM), następnie twórca tokena upublicznił jego kod, aby każdy mógł go sprawdzić pod kątem złośliwego kodu, co jest standardową procedurą.
Według użytkownika Twittera meows.eth, kradzież była możliwa dzięki pozornie nieszkodliwemu kodowi.
Osoba stojąca za oszustwem użyłaby tej linii kodu, aby uniemożliwić właścicielom tokena jego sprzedaż, więc nastąpiłaby krzywa w górę bez żadnej odsprzedaży i tylko na podstawie zakupów.
Następnie, po 30 minutach, oszust wypłaciłby całą gotówkę z puli, czyli 30 ETH (równowartość 100 410 dolarów w tej chwili), przez co token YEAR spadłby do wartości 0 dolarów.
Należy zauważyć, że pomimo faktu, że kupujący połączyli swój portfel MetaMask z witryną oszustwa, nie było bezpośredniej kradzieży z portfeli kupujących. Złodziej skorzystałby „tylko” z 30 ETH z puli płynności, uzyskanych dzięki nabywcom oszukańczego tokena.
Oszustwo „Meta” krąży po Facebooku
Niektóre oszustwa ośmielają się robić wszystko: na przykład, obecnie jest reklama tokena „Meta”, w nawiązaniu do zmiany nazwy Facebooka.
Tyle, że reklama pojawia się… na samej stronie Facebooka.
To może wydawać się niezwykłe i w tym tkwi problem, łatwo się na to nabrać, ponieważ trudno uwierzyć, że oszustwo może być emitowane na platformie, którą spoofinguje!
Przykłady oszukańczych reklam (Źródło: Facebook)
W tym przypadku możesz użyć narzędzia Scam Detector. Tutaj, ta strona ma ocenę 0.6/100 pod względem niezawodności, co jest minimum. To prosta sztuczka, która może zaoszczędzić Ci wielu kłopotów.
The rug pull method
Opisane powyżej oszustwa wykorzystują tzw. metodę rug pull, proceder, który niestety jest aż nazbyt powszechny w świecie kryptowalut.
Mówiąc prościej, oszust postawi na efekt FOMO (Fear Of Missing Out).
Wprowadzi token na rynek dbając o swój wizerunek, zwłaszcza wydając pieniądze na reklamę, a nawet przekonując osoby znane, że jego projekt jest bezpieczny i będzie działał za każdym razem.
Niektóre z nich reklamują się również na popularnych portalach społecznościowych, takich jak Instagram, Facebook czy Twitter, często wysyłając prywatne wiadomości do użytkowników obiecując im atrakcyjne zrzuty lub prezenty.
Tak więc, gdy projekt zostanie uruchomiony, wartość tokena gwałtownie wzrośnie, tworząc słynny strach przed utratą okazji do posiadania swoich tokenów po obniżonej cenie, aby odsprzedać je po wyższej cenie.
Gdy oszuści osiągną pożądaną kwotę, mogą po prostu odejść z kasą fiskalną.
Rug pull example (Source: ByBit)
Jest kilka podstawowych kroków, które należy podjąć przed zainwestowaniem w nowy projekt:
Pierwszym z nich jest sprawdzenie białej księgi projektu. Chociaż nie jest to 100% gwarancja bezpieczeństwa, daje Ci to wyobrażenie o wiarygodności projektu, zobacz czy jest spójny i czy jego pisanie wydaje się być poważne. Pomiędzy 5-stronicową białą księgą a 50-stronicową jest oczywiste, że ta druga będzie prawdopodobnie bardziej wiarygodna.
Następnie można sprawdzić, kto stoi za projektem: czy był zaangażowany w inne znane projekty? Czy mają doświadczenie w sektorze blockchain lub technologii? Czy projekt jest wspierany przez znane osobistości lub firmy z branży?
Bardziej techniczna kontrola polega na sprawdzeniu, w jaki sposób dzielone są fundusze na dany projekt. Na przykład, dla blockchain Ethereum, możesz użyć etherscan i sprawdzić, czy kilka lub wiele osób posiada tokeny: jeśli bardzo niewiele osób posiada wszystkie tokeny, uważaj.
Inną popularną metodą oszustwa jest „Honey Pot”, która działa na nieco bardziej skomplikowanej zasadzie, ale której można uniknąć podejmując te same środki ostrożności.
Aby oszukać ofiarę, oszust wystawia inteligentny kontrakt z luką w zabezpieczeniach, aby ta myślała, że może ją wykorzystać do zarobienia pieniędzy.
Na przykład, ofiara może wierzyć, że inteligentny kontrakt pozwoli jej na regularne zarabianie pieniędzy, zupełnie niezauważalnie. Tyle, że aby odzyskać łup, ofiara będzie musiała wpłacić zaliczkę.
Pieniądze, których oczywiście nigdy już nie zobaczą, ponieważ fałszywa wada została zakodowana w całkowicie dobrowolny sposób. Jest to wersja bardziej popularnego „oszustwa 4-1-9”, ale dostosowana do kryptowalut.
Możesz również użyć narzędzia do wykrywania honeypotów dla Ethereum lub dla Binance Smart Chain.
Należy pamiętać, że w roku 2021 ponad 7,7 miliarda dolarów zostało skradzionych bez skrupułów za pomocą takich metod jak te w świecie kryptowalut, 81% więcej niż w roku 2020.
Wolumen kryptowalut pozyskanych przez oszustów (Źródło: Chainalysis)
Możemy tylko polecić Ci, abyś był bardzo ostrożny z nowymi projektami, zwłaszcza jeśli obiecują Ci księżyc. Zawsze bądź bardzo ostrożny
