Поддельный токен Metamask и токен под названием $YEAR, отсылающий к новому году, успели забрать деньги у многих пользователей. К сожалению, эта практика снова вошла в моду в 2021 году.
Мошенничество с токенами MetaMask
Мошенникам удалось обмануть почти 400 человек на сумму около $1,8 млн.
Преступники воспользовались слухами о будущем официальном токене кошелька MetaMask, анонсировав токен под названием MASK и предложив заинтересованным лицам поставить свои деньги на пару wETH/MASK на биржевой платформе Uniswap. Эта пара до сих пор видна здесь.
Некоторые пользователи сообщили, что им удалось на некоторое время перепродать свои токены, что, вероятно, было сделано мошенниками, чтобы не вызывать подозрений у покупателей.
Затем продажа стала невозможной, когда общая денежная стоимость бассейна достигла 1 миллиона долларов, лишив покупателей их собственности.
Согласно сообщению в Twitter пользователя coby.eth, мошенникам удалось использовать недостаток в коде фронтенда на сайте DexTools, отображая токен MASK как проверенный и безопасный для пользователей платформы:
Кадры всплывающего окна верификации и захвата верифицированного токена (Источник: Twitter)
Согласно данным etherscan, инструмента, отслеживающего транзакции, происходящие на блокчейне Ethereum (ETH), лицо (лица), организовавшее мошенничество, успело перевести 475 ETH (эквивалент $1 594 575 на момент написания статьи), а также располагало почти 10 миллионами токенов $MASK.
Обе сделки были совершены из пула ликвидности, размещенного на платформе Uniswap, а затем переведены на цифровой кошелек.
Затем деньги были переведены на Tornado Cash, платформу, которая позволяет «смешивать» монеты, чтобы сделать транзакции полностью анонимными. Это означает, что лицо, получившее прибыль, не может быть отслежено.
На сегодняшний день компания Dextools еще не представила ответ на устранение дыр в безопасности в своем коде, которые стали главной движущей силой успеха аферы.
Первая афера 2022 года
К сожалению, это не единичный случай: 31 декабря появился проект, называющий себя «EtherWrapped», выдающий себя за airdrop для пользователей блокчейна Ethereum.
Первоначальное объявление было сделано с аккаунта в Twitter под названием @etherwrapped, который с тех пор был удален.
Пользователям предлагалось перейти на мошеннический сайт и подключить свой кошелек MetaMask, чтобы получить вознаграждение в виде токенов под названием «YEAR» пропорционально их инвестициям на блокчейне.
Capturing rewards offered by the YEAR token airdrop (Source: Twitter)
Смарт-контракт токена YEAR сначала появился без проверки в виртуальной машине Ethereum (EVM), затем создатель токена обнародовал его код, чтобы каждый мог проверить его на наличие вредоносного кода, что является стандартной процедурой.
По словам пользователя Twitter meows.eth, кража стала возможной благодаря безобидному на первый взгляд коду.
Человек, стоящий за аферой, использовал бы эту строку кода, чтобы помешать владельцам токена продать его, так что существовала восходящая кривая без перепродажи и только на основе покупок.
Затем, через 30 минут, мошенник вывел бы все деньги из пула, то есть 30 ETH (эквивалент $100 410 на данный момент), в результате чего стоимость токена YEAR упала бы до $0.
Следует отметить, что, несмотря на то, что покупатели привязали свой кошелек MetaMask к мошенническому сайту, прямого хищения из кошельков покупателей не было. Вор получил бы «только» выгоду от 30 ETH из пула ликвидности, полученных благодаря покупателям мошеннического токена.
В Facebook распространяется мошенничество «Мета «
Некоторые мошенники решаются на все: например, сейчас идет реклама токена «Meta», связанного с изменением названия Facebook.
Только вот реклама размещена… на самом сайте Facebook.
Это может показаться необычным, но в том-то и проблема, что на это легко купиться, поскольку трудно поверить, что мошенничество может транслироваться на платформе, которую оно подделывает!
Примеры мошеннических объявлений (Источник: Facebook)
В этом случае вы можете воспользоваться инструментом Scam Detector. Здесь этот сайт набирает 0,6/100 баллов по надежности, что является минимальным показателем. Это простой прием, который может избавить вас от множества проблем.
Метод вытягивания ковра
Описанные выше мошенничества используют так называемый метод вытягивания ковра — процедура, которая, к сожалению, слишком распространена в криптовалютном мире.
Проще говоря, мошенник делает ставку на эффект FOMO (Fear Of Missing Out).
Он запустит токен, позаботившись о своем имидже, в частности, потратив деньги на рекламу или даже убедив людей с дурной славой, что его проект безопасен и что он будет работать всегда.
Некоторые также размещают рекламу в популярных социальных сетях, таких как Instagram, Facebook или Twitter, часто отправляя личные сообщения пользователям, обещая им привлекательные воздушные капли или подарки.
Таким образом, как только проект будет запущен, стоимость токенов резко подскочит, создавая известный страх упустить возможность получить свои токены по сниженной цене, чтобы потом перепродать их по более высокой.
Как только мошенники наберут нужную сумму, они могут просто уйти с кассой.
Пример вытягивания коврика (Источник: ByBit)
Есть несколько основных шагов, которые необходимо предпринять, прежде чем инвестировать в новый проект:
Первое — проверить белую книгу проекта. Хотя это не является 100% гарантией безопасности, это дает вам представление о надежности проекта, посмотреть, является ли он последовательным и кажется ли его написание серьезным. Между 5-страничной белой книгой и 50-страничной, очевидно, что последняя, вероятно, будет более надежной.
Затем вы можете посмотреть, кто стоит за проектом: участвовали ли они в других известных проектах? Есть ли у них опыт работы в секторе блокчейна или технологий? Поддерживают ли проект известные личности или компании в отрасли?
Более техническая проверка заключается в том, чтобы узнать, как распределяются средства на проект. Например, для блокчейна Ethereum можно использовать etherscan и проверить, мало или много людей владеют токенами: если очень мало людей владеют всеми токенами, остерегайтесь.
Еще один распространенный способ мошенничества — «горшочек с медом», работающий по несколько более сложному методу, но которого можно избежать, приняв те же меры предосторожности.
Для того чтобы обмануть жертву, мошенник выпускает смарт-контракт с дырой в безопасности, чтобы заставить ее думать, что она может использовать его для получения денег.
Например, жертва может считать, что смарт-контракт позволит ей регулярно зарабатывать деньги совершенно незаметно. Вот только для того, чтобы вернуть награбленное, жертве придется внести деньги.
Деньги, которые они, конечно, никогда больше не увидят, поскольку фальшивый недостаток был закодирован абсолютно добровольно. Это версия более популярного «мошенничества 4-1-9», но адаптированная к криптовалюте.
Вы также можете использовать инструмент обнаружения медовых точек для Ethereum или для смарт-цепочки Binance.
Имейте в виду, что в 2021 году в криптовалютной вселенной недобросовестными методами было украдено более 7,7 млрд долларов, что на 81% больше, чем в 2020 году.
Объем криптовалют, полученных мошенниками (Источник: Chainalysis)
Мы можем только порекомендовать вам быть крайне осторожными с новыми проектами, особенно если они обещают вам луну. Всегда будьте очень осторожны
