Trusted

Mania airdropów przyciąga kolejnego oszusta $YEAR poprzez exploit smart kontraktu

2 mins
Aktualizacja Piotr Ratajski
Dołącz do Naszej Społeczności na Telegramie

W SKRÓCIE

  • Inwestorzy w nowy token stali się ofiarami rug-pulla.
  • Exploit wykorzystywał pozornie niewinny fragment kodu inteligentnego kontraktu, aby zapobiec sprzedaży nowego tokena.
  • Następnie twórca tokena pozbawił go płynności, co spowodowało spadek ceny nowej monety do zera.
  • promo

Jak donosi @cat5749, 31 grudnia 2021 roku pojawiło się oszustwo polegające na nagradzaniu transakcji ETH za pomocą tokenów $YEAR na podstawie zawartości portfela Metamask.

Inwestorzy w nową kryptowalutę o nazwie $YEAR byli przedmiotem oszustwa honeypot, jak zatweetował @cat5749. Zasadniczo twórca tokena używał strony internetowej o nazwie EtherWrapped, która łączyła się z portfelem Metamask. Osoba ta lub grupa osób przydzielała nagrody w postaci tokenów $YEAR użytkownikom na podstawie ich transakcji ETH w ciągu poprzedniego roku.

Wszystko na Ethereum jest obsługiwane przez inteligentne kontrakty, które działają na wirtualnej maszynie Ethereum. Inteligentne kontrakty mogą być swobodne przeglądanie za pomocą programu Etherscan. Aby utworzyć nowy token, podmiot musi utworzyć nowy inteligentny kontrakt w zdecentralizowanym języku aplikacji o nazwie Solidity i wdrożyć go do wirtualnej maszyny Ethereum. Początkowo, gdy kontrakt jest przesyłany, jest to kontrakt “niezweryfikowany”.

W przypadku tego oszustwa, inteligentny kontrakt został zweryfikowany, gdy członkowie społeczności Ethereum domagali się weryfikacji. Poprzez weryfikację, kontrakt stał się publiczny. Oznacza to, że kod inteligentnego kontraktu pozostał otwarty na kontrolę.

Ukryty w zasięgu wzroku

Nowszym exploitem jest tworzenie przez złośliwe podmioty pozornie łagodnych inteligentnych kontraktów z pułapkami ukrytymi w zasięgu wzroku. Są one odporne na inspekcje kodu, ponieważ często nie ma żadnych oczywistych oznak, że właściciel inteligentnego kontraktu chce zaangażować się w złośliwą działalność.

W przypadku tokena $YEAR i inteligentnego kontraktu, użytkownik Twittera o pseudonimie @cat5749 i inni sprawdzili ten inteligentny kontrakt w poszukiwaniu oczywistych pułapek w kodzie. Nie udało im się znaleźć niczego, co wyglądałoby podejrzanie.

Natknęli się na funkcję o nazwie “_burnMechanism”, która zawodzi w przypadku próby nawiązania kontaktu z właścicielem kontraktu. Nie wzbudziło to żadnych oczywistych zastrzeżeń, ale okazało się bardzo pomocne w zdiagnozowaniu sposobu przeprowadzenia ataku.

Cofnięcie własności w celu utworzenia nowej monety

Właściciel odebrał prawo własności do kontraktu, a jego nowym właścicielem uczynił zdecentralizowaną giełdę UniSwap V2. Oznaczało to, że tylko zakupy mogły być dokonywane z UniSwap V2, ale nic nie mogło być sprzedawane do UniSwap V2. Właściciel inteligentnego kontraktu stałby się wtedy jedynym sprzedawcą, powodując wzrost ceny tokena $YEAR. Gdy użytkownicy widzieli rosnącą cenę, FOMO sprawiało, że chcieli kupować.

Kiedy powstaje nowy token, jego twórca musi opracować sposób, w jaki użytkownicy będą mogli kupować i sprzedawać token. To czasami oznacza, że twórca umieści wartościowy token, taki jak ETH i ich nowy token w puli handlowej.

Nabywcy nowego tokena będą musieli dostarczyć wartościowy token, aby otrzymać nowy token. Co może się zdarzyć, że twórca może wyciągnąć swój oryginalny wartościowy token plus nowy token. Ze względu na sposób działania automatycznych animatorów rynku, spowoduje to usunięcie większej ilości cennego tokena niż bezwartościowego tokena.

Twórca wycofał płynność z UniSwap V2, w tym ponad 30 ETH. Spowodował krach nowego tokena, pozostawiając kilku bardzo niezadowolonych inwestorów.

Najlepsze platformy dla krypto inwestorów | Listopad 2024
Najlepsze platformy dla krypto inwestorów | Listopad 2024
Najlepsze platformy dla krypto inwestorów | Listopad 2024

Wyjaśnienie

Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.

Zbudowane przez Ari10. Możliwość płatności BLIK
Zbudowane przez Ari10. Możliwość płatności BLIK
david-thomas.jpg
David Thomas
David Thomas ukończył z wyróżnieniem studia na Uniwersytecie Kwa-Zulu Natal w Durbanie w Republice Południowej Afryki. Przez osiem lat pracował jako inżynier, opracowując oprogramowanie dla procesów przemysłowych w południowoafrykańskiej firmie Autotronix (Pty) Ltd., systemy sterowania górnictwem dla AngloGold Ashanti oraz produkty konsumenckie w Inhep Digital Security, firmie zajmującej się bezpieczeństwem krajowym, należącej w całości do szwedzkiego konglomeratu Assa Abloy. Ma...
READ FULL BIO
Sponsorowane
Sponsorowane