Jak wyglądają masowe oszustwa na kontraktach kryptowalut?

Pomimo obecnej sytuacji na rynku kryptowalut, pomimo spadków wartości wielu popularnych „coinów” takich jak Bitcoin czy Ethereum, zainteresowanie kryptowalutami, tokenami, w tym NFT, cały czas wzrasta. Liczba powstających projektów opartych o blockchain rośnie wykładniczo. Niestety prawdopodobnie tak samo albo i jeszcze szybciej zwiększa się liczba projektów-scamów, zaplanowanych oszustw i phishingu nakłaniających do zainwestowania pieniędzy w wątpliwe projekty.

2021 był rokiem rekordowym pod względem kradzieży i oszustw związanych z kryptowalutami. Szacuje się, że cyberprzestępcy zarobili około 14 miliardów dolarów w kryptowalutach, a złośliwe, fałszywe schematy obejmujące aktywa cyfrowe wciąż ewoluują.

W poniedziałek firma Check Point Research (CPR) poinformowała, że oszuści zwracają teraz uwagę na inteligentne kontrakty (smart contracts), z błędnymi konfiguracjami wykorzystywanymi do wypuszczania nowych tokenów – zanim nastąpi nieunikniony proces, tzw. „Rug Pull”. Warto zapoznać się z ich pełnym artykułem.

Rug Pull to zachowanie, które występuje, gdy twórcy projektu opartego na kryptowalutach manipulują postrzeganą wartością tokena, a następnie nagle porzucają projekt – zabierając ze sobą fundusze inwestorów.

Najbardziej znanym i chyba największym takim oszustwem w 2021 roku jest token SQUID, który osiągnął wartość 2850 USD w szczytowym momencie. Wtedy właśnie, po nagłych wzrostach, deweloperzy zwinęli się z projektem i uniemożliwili handlowcom sprzedaż tokena. Kryptowaluta spadła o ponad 99,99%, czyniąc ją zasadniczo bezwartościową, a deweloperzy zarabiali miliony dolarów.

Niektóre wskaźniki potencjalnego oszustwa są jasne, np. tokeny, które obejmują 99% opłat za zakup i mechanizmy, które uniemożliwiają inwestorom odsprzedaż. Zdaniem naukowców najefektywniejsze i nowatorskie metody oszustw to specjalnie wstawione, ukryte luki w kodzie kontraktów, które po pierwsze mogą być potem użyte przez samych twórców tokena, ale także mogą specjalnie wystawić kontrakt na ataki podstawionych z zewnątrz hackerów.

Każdy rodzaj zaplanowanego oszustwa rozpoczyna się tym samym etapem – nagłaśnianiem nowego projektu i robieniem zamieszania w mediach. Wykorzystywane do tego są sieci społecznościowe oraz oficjalna strona projektu. W skrócie chodzi o to, aby zachęcić jak największe grono inwestorów. Często są oni zachęcani brakiem czasowej blokady swoich aktywów, czyli że będą mogli je sprzedać w dowolnym momencie po starcie projektu.

Wysokie opłaty za kupno i sprzedaż są powszechną techniką stosowaną przy Rug Pull’ach. W inteligentnym kontrakcie zbadanym przez CPR odkryto, że istnieją dwie bardzo podobne funkcje – „approve”, jak i „aprove”. Pierwsza była legalną, standardową funkcją dla transakcji kontraktowych, podczas gdy „aprove” było ukryte i zaprojektowane tak, aby umożliwić programistom nałożenie 99% opłat po starcie projektu za każdy zakup. Jak wiemy kody i funkcje kontraktów są publiczne na blockchain, jednak często są tak skomplikowane i specjalnie ukrywane, aby nikt poza deweloperami nie mógł zrozumieć wprost ich działania.

Innym przykładem potencjalnych mechanizmów oszustwa jest ukryta funkcja, która pozwala programistom tworzyć więcej monet lub kontrolować, kto może sprzedawać tokeny. W kodzie źródłowym inteligentnego kontraktu o tematyce koszykarskiej zespół znalazł funkcję transferu, która zapobiegała odsprzedaży przez przeciętnych traderów – podobny element używany był właśnie przez twórców SQUID.

„Trudno zignorować atrakcyjność kryptowalut” – mówi CPR. „To błyszcząca nowość, która obiecuje zmienić świat, a jeśli ceny będą nadal rosnąć, ludzie mają szansę na zarobienie znacznej kwoty pieniędzy. Jednak kryptowaluty są niestabilnym rynkiem, oszuści zawsze będą szukać nowych sposobów na kradzież”.

Jeśli już decydujemy się w zainwestowanie w nowy, obiecujący projekt opartych na cyfrowych tokenach, podstawą jest jego dokładna weryfikacja. Należy dokładnie sprawdzić: