«На сайте аналитики мемкоина GMGN мошенники используют список «трендов», чтобы заманить ничего не подозревающих жертв и украсть их криптовалюту», - говорится в сообщении от 25 сентября от исследователя безопасности Roffett.eth.
Злоумышленники создают монеты, которые позволяют разработчику переводить себе токены любого пользователя. Затем они передают токен между несколькими аккаунтами, искусственно увеличивая его объем и помещая его в «список трендов» GMGN.
Как только монета попадает в список популярных, ничего не подозревающие пользователи раскупают ее. Но через несколько минут монеты из их кошельков исчезают. Затем разработчик повторно размещает токен в своем пуле ликвидности и перепродает его другой жертве.
Roffett назвал Robotaxi, DFC и Billy's Dog (NICK) в качестве трех примеров вредоносных монет, обнаруженных в списке.
GMGN - это аналитическое веб-приложение, которое предназначено для трейдеров мемкоинов на Base, Solana, Tron, Blast и Ethereum. В интерфейсе есть несколько различных вкладок, в том числе «новые пары», «тренды» и «узнать», в каждой из которых перечислены токены по разным критериям.
Roffett утверждает, что обнаружил мошеннический метод, когда его друзья приобрели монеты из списка и обнаружили, что они таинственным образом исчезли. Один друг полагал, что его кошелек был взломан, но когда он создал новый кошелек и снова купил те монеты, они опять были выведены из его кошелька.
Заинтригованный этой загадкой, Roffett исследовал эти эксплойты с помощью блокчейн-обозревателя и обнаружил, что они выглядят как обычные фишинговые атаки. Злоумышленник вызвал функцию «разрешить» и, по-видимому, предоставил подпись пользователя, что было невозможно, если только пользователь не был обманут фишинговым сайтом. Однако друг отрицал, что он взаимодействовал с подозрительными веб-сайтами до любой из двух атак.
Одним из украденных токенов был NICK. Roffett изучил код контракта NICK и обнаружил, что он «несколько странный». Вместо обычного биржевого кода, который содержится в большинстве токеновых контрактов, в нем были «некоторые очень странные и запутанные методы».
В качестве доказательства этих странных методов Roffett опубликовал изображение «рабочих» и «новых» функций NICK, на которых есть неясный текст без очевидного назначения.
Рисунок 1. Улучшенная производительность и новые функции. Источник: Roffett.eth.
В конце концов, Roffett обнаружил, что в одной из библиотек контракта содержится вредоносный код. Этот код позволял «восстановителю» (разработчику) вызывать функцию «разрешения» без предоставления подписи владельца токена. Roffett заявил:
«Если адрес вызывающего абонента совпадает с адресом получателя, то, создав определенную подпись вручную, можно получить разрешение на доступ от любого владельца токена и затем передать токены».
Однако адрес восстановителя также был скрыт. Он был указан как 256-разрядное положительное ненулевое число. Чуть ниже этого числа была функция, которую контракт использовал для получения адреса из этого числа. Roffett использовал эту функцию, чтобы определить, что вредоносным «восстановителем» был контракт, адрес которого заканчивался на f261.
Данные блокчейна показывают, что этот контракт «восстановителя» выполнил более 100 транзакций, переведя токены NICK от владельцев на другие учетные записи.
Рисунок 2. Вредоносная учетная запись, из-за которой у пользователя удаляется NICK. Источник: Basescan.
Выяснив, как работает эта афера, Roffett изучил список «трендовых» токенов и нашел по крайней мере два других токена, которые содержали похожий код: Robotaxi и DFC.
Roffett пришел к выводу, что мошенники, вероятно, использовали этот метод в течение некоторого времени. Он предупредил пользователей, чтобы они держались подальше от этого списка, поскольку его использование может привести к потере средств. Он заявил:
«Разработчики-злоумышленники сначала используют несколько адресов для имитации торговли и удержания токена, помещая токен в список трендовых. Это привлекает мелких розничных инвесторов к покупке, и в конечном итоге токены ERC-20 похищаются, что завершает аферу. Существование таких трендовых списков для начинающих розничных инвесторов крайне вредно. Я надеюсь, что все осознают это и не попадутся на эту удочку».
На сегодняшний день мошеннические токены или «приманки» продолжают представлять опасность для пользователей криптовалют. В апреле разработчик мошеннических токенов лишил жертв 1,62 миллиона долларов, продав им токен BONKKILLER, который не позволял пользователям продавать его. В 2022 году блокчейн-компания Solidus, занимающаяся управлением рисками, опубликовала отчет, который предупреждает о том, что в течение года было создано более 350 мошеннических токенов.