Τις εσφαλμένες διαμορφώσεις σε έξυπνα συμβόλαια εκμεταλλεύονται απατεώνες για να δημιουργήσουν κακόβουλα tokens κρυπτονομισμάτων με στόχο την κλοπή χρημάτων από ανυποψίαστους χρήστες.
Οι περιπτώσεις απάτης token περιλαμβάνουν απόκρυψη λειτουργιών των τελών κατά 99% και concealing backdoor routine, ανέφεραν ερευνητές από το Check Point που έδειξε μια αναφορά που κοινοποιήθηκε στο The Hacker News.
Τα έξυπνα συμβόλαια είναι προγράμματα που αποθηκεύονται στο blockchain και εκτελούνται αυτόματα όταν πληρούνται προκαθορισμένες προϋποθέσεις σύμφωνα με τους όρους μιας σύμβασης ή μιας συμφωνίας. Επιτρέπουν τη διενέργεια αξιόπιστων συναλλαγών και συμφωνιών μεταξύ ανώνυμων μερών χωρίς την ανάγκη κεντρικής αρχής.
Εξετάζοντας τον πηγαίο κώδικα Solidity που χρησιμοποιείται για την υλοποίηση έξυπνων συμβολαίων, η ισραηλινή εταιρεία κυβερνοασφάλειας εντόπισε περιπτώσεις κρυφών και hardcoded χρεώσεων που δεν μπορούν να αλλάξουν, επιτρέποντας παράλληλα σε κακόβουλους παράγοντες να ασκήσουν έλεγχο ως προς το “ποιος επιτρέπεται να πουλήσει”.
Σε μια άλλη περίπτωση, ένα νόμιμο συμβόλαιο που ονομάζεται Levyathan παραβιάστηκε όταν οι προγραμματιστές του ανέβασαν κατά λάθος το ιδιωτικό κλειδί του πορτοφολιού στο αποθετήριο GitHub, επιτρέποντας στον χάκερ να κόψει άπειρο αριθμό από token και να κλέψει χρήματα από το συμβόλαιο τον Ιούλιο του 2021.
Το rug pull είναι ένας τύπος απάτης που συμβαίνει όταν οι δημιουργοί εξαργυρώνουν τα χρήματα των επενδυτών και εγκαταλείπουν το έργο αφού ένα τεράστιο ποσό διατεθεί σε αυτό που φαίνεται να είναι νόμιμο έργο κρυπτογράφησης.
Τέλος, οι ανεπαρκείς έλεγχοι πρόσβασης που τέθηκαν σε εφαρμογή από τους συντηρητές του Δικτύου Zenon επέτρεψαν σε έναν εισβολέα να κάνει κατάχρηση του burn function στο έξυπνο συμβόλαιο για να αυξήσει την τιμή του νομίσματος και να εξαντλήσει τα χρήματα στα $814.570 τον Νοέμβριο του 2021.
Τα ευρήματα έρχονται καθώς έχουν παρατηρηθεί εκστρατείες κυβερνοεπιθέσεων που αξιοποιούν συστήματα phishing που βασίζονται σε δέλεαρ που περιβάλλουν soon-to-be-released (albeit fake) μάρκες κρυπτογράφησης για να ξεγελάσουν τα θύματα και να πληρώσουν για αυτό με το δικό τους κρυπτονόμισμα.
“Επιπλέον, για να δεσμεύσει άλλα θύματα και να διαιωνίσει την απάτη, ο ιστότοπος πρόσφερε ένα πρόγραμμα παραπομπής για φίλους και οικογένεια”, δήλωσε ο ερευνητής της Akamai, Or Katz. «Κάνοντας αυτό, οι παράγοντες της απειλής δημιούργησαν ένα νέο αξιόπιστο κανάλι μέσω του οποίου τα σημερινά θύματα αναφέρθηκαν σε άλλους πιθανούς στόχους».
“Το συμπέρασμα είναι ότι οι χρήστες κρυπτογράφησης θα συνεχίσουν να πέφτουν σε αυτές τις παγίδες και θα χάσουν τα χρήματά τους”, δήλωσε ο Oded Vanunu, επικεφαλής της έρευνας τρωτών σημείων προϊόντων στο Check Point. “Για να αποφύγετε τα νομίσματα απάτης, συνιστώ στους χρήστες κρυπτογράφησης να διαφοροποιούν τα πορτοφόλια τους, να αγνοούν τις διαφημίσεις και να ελέγχουν τις συναλλαγές τους.”
