Explotan las configuraciones incorrectas en los contratos inteligentes
Los estafadores están explotando las configuraciones incorrectas en los contratos inteligentes para crear tokens de criptomoneda maliciosos con el objetivo de robar fondos de usuarios desprevenidos.
Los casos en la naturaleza de fraude de tokens incluyen ocultar funciones de tarifa del 99% y ocultar rutinas de puerta trasera, dijeron en un informe investigadores de Check Point.
Los contratos inteligentes son programas almacenados en la cadena de bloques que se ejecutan automáticamente cuando se cumplen condiciones predeterminadas según los términos de un contrato o acuerdo. Permiten realizar transacciones y acuerdos de confianza entre partes anónimas sin necesidad de una autoridad central.
Al examinar el código fuente de Solidity utilizado para implementar contratos inteligentes, la compañía de ciberseguridad israelí encontró instancias de tarifas ocultas y codificadas que no se pueden cambiar, al tiempo que permite que los actores malintencionados ejerzan control sobre "quién puede vender".
En otro caso, un contrato legítimo llamado Levyathan fue pirateado después de que sus desarrolladores subieran inadvertidamente a su repositorio de GitHub la clave privada de la billetera, lo que permitió al explotador acuñar una cantidad infinita de tokens y robar fondos del contrato en julio de 2021.
Un Rug Pull (tirón de alfombra) es un tipo de estafa que ocurre cuando los creadores retiran el dinero de los inversores y abandonan el proyecto después de que se asigna una gran cantidad a lo que parece ser un proyecto criptográfico legítimo.
Por último, los deficientes controles de acceso implementados por los mantenedores de Zenon Network permitieron que en noviembre de 2021 un atacante abusara de la función de grabación sin protección dentro del contrato inteligente para aumentar el precio de la moneda y drenar fondos por una suma de $ 814.570.
Los hallazgos se producen cuando se han observado campañas de ciberataques que aprovechan esquemas de phishing basados en señuelos que rodean tokens criptográficos que pronto se lanzarán (aunque sean falsos) para finalmente engañar a las víctimas para que paguen con su propia criptomoneda.
"Además de eso, para involucrar a otras víctimas y perpetuar la estafa, el sitio web ofreció un programa de referencia para amigos y familiares", dijo Or Katz, investigador de Akamai. "Al hacer esto, los actores de amenazas crearon un nuevo canal confiable a través del cual las víctimas actuales se referían [a] otros objetivos potenciales".
"La implicación es que los usuarios de criptomonedas seguirán cayendo en estas trampas y perderán su dinero", dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point. "Para evitar las monedas fraudulentas, recomiendo a los usuarios de criptomonedas que diversifiquen sus billeteras, ignoren los anuncios y testen sus transacciones".
