Jak donosi @cat5749, 31 grudnia 2021 roku pojawiło się oszustwo polegające na nagradzaniu transakcji ETH za pomocą tokenów $YEAR na podstawie zawartości portfela Metamask.
Inwestorzy w nową kryptowalutę o nazwie $YEAR byli przedmiotem oszustwa honeypot, jak zatweetował @cat5749. Zasadniczo twórca tokena używał strony internetowej o nazwie EtherWrapped, która łączyła się z portfelem Metamask. Osoba ta lub grupa osób przydzielała nagrody w postaci tokenów $YEAR użytkownikom na podstawie ich transakcji ETH w ciągu poprzedniego roku.
Wszystko na Ethereum jest obsługiwane przez inteligentne kontrakty, które działają na wirtualnej maszynie Ethereum. Inteligentne kontrakty mogą być swobodne przeglądanie za pomocą programu Etherscan. Aby utworzyć nowy token, podmiot musi utworzyć nowy inteligentny kontrakt w zdecentralizowanym języku aplikacji o nazwie Solidity i wdrożyć go do wirtualnej maszyny Ethereum. Początkowo, gdy kontrakt jest przesyłany, jest to kontrakt “niezweryfikowany”.
W przypadku tego oszustwa, inteligentny kontrakt został zweryfikowany, gdy członkowie społeczności Ethereum domagali się weryfikacji. Poprzez weryfikację, kontrakt stał się publiczny. Oznacza to, że kod inteligentnego kontraktu pozostał otwarty na kontrolę.
Ukryty w zasięgu wzroku
Nowszym exploitem jest tworzenie przez złośliwe podmioty pozornie łagodnych inteligentnych kontraktów z pułapkami ukrytymi w zasięgu wzroku. Są one odporne na inspekcje kodu, ponieważ często nie ma żadnych oczywistych oznak, że właściciel inteligentnego kontraktu chce zaangażować się w złośliwą działalność.
W przypadku tokena $YEAR i inteligentnego kontraktu, użytkownik Twittera o pseudonimie @cat5749 i inni sprawdzili ten inteligentny kontrakt w poszukiwaniu oczywistych pułapek w kodzie. Nie udało im się znaleźć niczego, co wyglądałoby podejrzanie.
Natknęli się na funkcję o nazwie “_burnMechanism”, która zawodzi w przypadku próby nawiązania kontaktu z właścicielem kontraktu. Nie wzbudziło to żadnych oczywistych zastrzeżeń, ale okazało się bardzo pomocne w zdiagnozowaniu sposobu przeprowadzenia ataku.
Cofnięcie własności w celu utworzenia nowej monety
Właściciel odebrał prawo własności do kontraktu, a jego nowym właścicielem uczynił zdecentralizowaną giełdę UniSwap V2. Oznaczało to, że tylko zakupy mogły być dokonywane z UniSwap V2, ale nic nie mogło być sprzedawane do UniSwap V2. Właściciel inteligentnego kontraktu stałby się wtedy jedynym sprzedawcą, powodując wzrost ceny tokena $YEAR. Gdy użytkownicy widzieli rosnącą cenę, FOMO sprawiało, że chcieli kupować.
Kiedy powstaje nowy token, jego twórca musi opracować sposób, w jaki użytkownicy będą mogli kupować i sprzedawać token. To czasami oznacza, że twórca umieści wartościowy token, taki jak ETH i ich nowy token w puli handlowej.
Nabywcy nowego tokena będą musieli dostarczyć wartościowy token, aby otrzymać nowy token. Co może się zdarzyć, że twórca może wyciągnąć swój oryginalny wartościowy token plus nowy token. Ze względu na sposób działania automatycznych animatorów rynku, spowoduje to usunięcie większej ilości cennego tokena niż bezwartościowego tokena.
Twórca wycofał płynność z UniSwap V2, w tym ponad 30 ETH. Spowodował krach nowego tokena, pozostawiając kilku bardzo niezadowolonych inwestorów.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.