Charlie Osborne Bidragsgivare
Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 24 januari 2022 | Ämne: Säkerhet
Hackare missbrukar felkonfigurationer i smarta kontrakt för att lansera token-mattor, säger forskare.
Trots den nuvarande volatiliteten på kryptovalutamarknaden, med priserna för många populära mynt, inklusive Bitcoin (BTC) fallande, är intresset för krypto-, token- och NFT-utrymmen stabilt.
2021 var ett rekordår för kryptovalutarelaterade stölder och bedrägerier. Cyberbrottslingar samlade in uppskattningsvis 14 miljarder dollar i kryptovaluta och bedrägliga system som involverar digitala tillgångar fortsätter att utvecklas.
I måndags sa Check Point Research (CPR) att bedragare nu riktar sin uppmärksamhet mot smarta kontrakt, med felkonfigurationer som används för att lansera nya kryptotokens – innan en oundviklig “rug pull” äger rum.
Rug pulls inträffar när utvecklare av ett krypto- eller virtuellt tillgångsprojekt manipulerar en tokens upplevda värde och sedan överger projektet – tar investerarnas medel med sig.
Ett färskt exempel är SQUID-token som, på sin topp, såg att token nådde $2 850 i värde. När utvecklarens matta drog och hindrade handlare från att sälja, kraschade myntet med över 99,99 %, vilket gjorde det i princip värdelöst samtidigt som det gav utvecklarna miljontals dollar.
Det finns några indikatorer på en potentiell token-bluff, inklusive 99% köpavgifter och mekanismer som hindrar investerare från att sälja vidare. Enligt forskarna kan brister i smart kontraktskod och sårbarheter också utnyttjas av externa angripare för att öka risken för att ett projekt förlorar investerares pengar.
Bedragare använder en rad olika taktiker för att genomföra en mattdragning, inklusive användning av blufftjänster för att skapa smarta kontrakt som sedan får ett nytt tokennamn och symbol innan de blir offentliga. Manipulering av funktioner för att skapa dolda triggers för att starta en mattdragning kan också inkluderas.
Sociala medienätverk används sedan för att hypa upp en token – och dess upplevda värde – innan en exit-bedrägeri inträffar. Dessutom är tidslås vanligtvis inte införda.
“Tidslås används oftast för att fördröja administrativa åtgärder och anses allmänt vara en stark indikator på att ett projekt är legitimt”, konstaterade forskarna.
Köp- och säljavgifter är en vanlig teknik för mattdragning. I ett smart kontrakt som granskats av CPR upptäckte företaget både “godkänna” och “godkänna” funktioner. Den förra var en legitim standardfunktion för kontraktstransaktioner, medan “godkänna” var dolt och utformat för att göra det möjligt för utvecklarna att ta ut 99 % avgifter efter att ett projekt tog fart.
“En legitim token kommer inte att ta ut några avgifter eller kommer att ta ut hårdkodade värden som inte kan justeras av utvecklaren,” säger CPR.
Ett annat exempel på potentiella bluffmekanismer är en dold funktion som gör att utvecklare kan skapa fler mynt eller kontrollera vem som kan sälja tokens. I källkoden för ett smart kontrakt med baskettema hittade teamet en överföringsfunktion som förhindrade återförsäljning av genomsnittliga handlare – ett liknande element som används av SQUID.
En funktion som hittades i ett separat kontrakt som tillät myntprägling utnyttjades av en angripare efter att kontraktets privata nyckel av misstag läckt online. En hotaktör kunde använda nyckeln för att bedrägligt prägla miljontals virtuella mynt innan han drog ut dem. I samma kontrakt utnyttjades också ett fel i nödåterkallelsefunktioner.
Angripare kan också bränna tokens för att höja priset på befintliga pooler. Ett misslyckande med att begränsa externa brännskador i Zenon-nätverket utnyttjades 2021, vilket ledde till ett poolavlopp och stöld av över $814 000 från projektet.
“Det är svårt att ignorera kryptons tilltalande”, säger CPR. “Det är en skinande ny sak som lovar att förändra världen, och om priserna fortsätter på sin uppåtgående bana har människor en möjlighet att vinna en betydande summa pengar. Dock är kryptovaluta en volatil marknad. Bedragare kommer alltid att hitta nya sätt att stjäla dina pengar med kryptovaluta.”
Tidigare och relaterad bevakning
Amazon falska kryptotoken investeringsbedrägeri stjäl Bitcoin från offer
Kryptovalutabedrägerier utgör det största hotet mot investerare
2020 års värsta kryptovalutaintrång, stölder och exitbedrägerier
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter