Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 24. januar 2022 | Emne: Sikkerhed
Hackere misbruger fejlkonfigurationer i smarte kontrakter til at lancere token-tæppetræk, siger forskere.
På trods af den nuværende volatilitet på kryptovalutamarkedet, med priserne for mange populære mønter, inklusive Bitcoin (BTC), er interessen for krypto-, token- og NFT-rum stabile.
2021 var et rekordår for kryptovaluta-relateret tyveri og svindel. Cyberkriminelle indtjente anslået 14 milliarder dollars i kryptovaluta, og svigagtige ordninger, der involverer digitale aktiver, fortsætter med at udvikle sig.
I mandags sagde Check Point Research (CPR), at svindlere nu retter deres opmærksomhed mod smarte kontrakter, med fejlkonfigurationer brugt til at lancere nye krypto-tokens – før et uundgåeligt “tæppetræk” finder sted.
Rug pulls opstår, når udviklere af et krypto- eller virtuelt aktivprojekt manipulerer et tokens opfattede værdi og derefter opgiver projektet – tager investormidler med sig.
Et nyligt eksempel er SQUID-tokenet, som på sit højeste så tokenet nå $2.850 i værdi. Da udviklertæppet trak og forhindrede handlende i at sælge, styrtede mønten med over 99,99%, hvilket gjorde den stort set værdiløs, mens den gav udviklerne millioner af dollars.
Der er nogle indikatorer på et potentielt token-svindel, herunder 99% købsgebyrer og mekanismer, der forhindrer investorer i at videresælge. Ifølge forskerne kan fejl i smart kontraktkode og sårbarheder også udnyttes af eksterne angribere for at øge risikoen for, at et projekt mister investorpenge.
Svindlere anvender en række taktikker til at udføre et tæppetræk, herunder brug af svindeltjenester til at skabe smarte kontrakter, som derefter får udstedt et nyt tokennavn og symbol, før de bliver offentlige. Manipulering af funktioner for at skabe skjulte triggere til at starte et tæppetræk kan også være inkluderet.
Sociale medienetværk bruges derefter til at hype et token – og dets opfattede værdi – før en exit-svindel opstår. Derudover pålægges der normalt ikke timelocks.
“Tidslåse bruges mest til at forsinke administrative handlinger og betragtes generelt som en stærk indikator på, at et projekt er legitimt,” bemærkede forskerne.
Køb og salg gebyrer er en almindelig teknik til tæppetræk. I en smart kontrakt undersøgt af CPR opdagede firmaet både “godkend” og “godkend” funktioner. Førstnævnte var en legitim standardfunktion for kontrakttransaktioner, hvorimod “godkend” var skjult og designet til at give udviklerne mulighed for at pålægge 99% gebyrer efter et projekt startede.
“Et legitimt token vil ikke opkræve gebyrer eller vil opkræve hårdkodede værdier, som ikke kan justeres af udvikleren,” siger CPR.
Et andet eksempel på potentielle fidusmekanismer er en skjult funktion, der giver udviklere mulighed for at skabe flere mønter eller kontrollere, hvem der kan sælge tokens. I kildekoden til en smart kontrakt med basketballtema fandt holdet en overførselsfunktion, der forhindrede gensalg af gennemsnitlige handlende – et lignende element brugt af SQUID.
En funktion fundet i en separat kontrakt, der tillod møntprægning, blev udnyttet af en angriber, efter at kontraktens private nøgle ved et uheld blev lækket online. En trusselsaktør var i stand til at bruge nøglen til svigagtigt at præge millioner af virtuelle mønter, før han trak dem tilbage. I samme kontrakt blev der også udnyttet en fejl i nødtilbagetrækningsfunktioner.
Angribere kan også brænde tokens for at hæve prisen på eksisterende pools. En manglende begrænsning af eksterne forbrændinger i Zenon-netværket blev udnyttet i 2021, hvilket førte til et poolafløb og tyveri af over $814.000 fra projektet.
“Det er svært at ignorere tiltrækningen ved krypto,” siger CPR. “Det er en skinnende ny ting, der lover at ændre verden, og hvis priserne fortsætter på deres opadgående bane, har folk mulighed for at vinde et betydeligt beløb. Kryptovaluta er dog et volatilt marked. Svindlere vil altid finde nye måder at stjæle på. dine penge ved hjælp af kryptovaluta.”
Tidligere og relateret dækning
Amazon falsk kryptotoken investeringssvindel stjæler Bitcoin fra ofre
Kryptovaluta-svindel udgør største trussel mod investorer
2020's værste brud på kryptovaluta, tyverier og exit-svindel
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre