Компания Check Point, работающая в сфере IT-безопасности, рассказала, как мошенники используют метод «дергания коврика», определенным образом настраивая смарт-контракты. Исследователи подробно описали схему злоумышленников, а также привели примеры конфигураций смарт-контрактов, которые могут привести к потере денег.
В ноябре прошлого года специалисты Check Point Research обнаружили, что хакеры украли полмиллиона долларов за считанные дни с помощью Google Ads. А в новом отчете эксперты Check Point Research рассказали, как хакеры крадут деньги, создавая вредоносные токены.
Как выглядит поддельная криптовалюта:
- Некоторые токены включают комиссию за покупку и продажу в размере 99%, которая крадет все деньги жертвы на этапе покупки или продажи.
- Некоторые токены покупатель не сможет перепродавать, так как продажа доступна только первоначальному владельцу.
- Некоторые токены дают возможность обладателю приумножать их в своем кошельке и затем продавать.
Как хакеры пользуются смарт-контрактами
Чтобы создать мошеннические токены, хакеры особым образом настраивают смарт-контракты. Смарт-контракты — программы, хранящиеся в блокчейне, которые запускаются при выполнении заранее определенных условий.
Шаги злоумышленников при этом мошенничестве:
- Использование мошеннических сервисов. Сначала хакеры используют мошеннические сервисы для создания контракта, либо копируют уже известный мошеннический смарт-контракт и изменяют название и символ токена, а также некоторые названия функций.
- Управление функциями. Потом они работают функциями с переводом денег, не дают возможности продавать, увеличивают размер комиссии и прочее. Большинство манипуляций связаны с переводами денег.
- Подключение социальных сетей. Злоумышленники используют Twitter, Discord, Telegram и через фейковые аккаунты раскручивают свой проект, чтобы люди начали покупать валюту.
- Кража. Это и есть суть метода дергания коврика. После того, как они набирают желаемую сумму, они выводят все деньги из контракта и удаляют все аккаунты социальных сетей.
- Введение временных блокировок – таймлоков. Далее эти токены блокируют определенную сумму денег в пуле контрактов или даже добавляют временную блокировку к контракту. Таймлоки в основном используются для задержки административных действий и считаются надежным показателем того, что проект законен.