Tel que rapporté par @ cat5749, une arnaque est apparue le 31 décembre 2021 pour récompenser les jetons $ YEAR pour les transactions ETH en fonction du contenu de leur portefeuille Metamask.
Les investisseurs dans une nouvelle crypto-monnaie appelée $ YEAR ont fait l'objet d' une arnaque au pot de miel , comme l'a tweeté @cat5749 . Essentiellement, un créateur de jetons a utilisé un site Web appelé EtherWrapped lié à un portefeuille Metamask. L'individu ou le groupe d'individus a attribué des récompenses symboliques de $ YEAR aux utilisateurs en fonction de leurs transactions ETH au cours de l'année précédente.
Tout sur Ethereum est géré via des contrats intelligents qui s'exécutent sur la machine virtuelle Ethereum. Les contrats intelligents peuvent être consultés librement à l' aide d'Etherscan . Pour créer un nouveau jeton, une entité doit créer un nouveau contrat intelligent dans un langage d'application décentralisé appelé Solidity et le déployer sur la machine virtuelle Ethereum. Initialement, lorsque le contrat est chargé, il s'agit d'un contrat « non vérifié ».
Dans le cas de cette arnaque, le contrat intelligent a été vérifié lorsque des membres de la communauté Ethereum ont réclamé une vérification. Pour vérification, le contrat a été rendu public. Cela signifiait que le code des contrats intelligents était ouvert à un examen minutieux.
Caché à la vue
Un nouvel exploit permet à des entités malveillantes de créer des contrats intelligents apparemment bénins, avec des pièges cachés à la vue de tous. Ceux-ci sont imperméables aux inspections de code, car il n'y a souvent aucun signe évident que le propriétaire du contrat intelligent souhaite se livrer à une activité malveillante. Dans le cas du contrat symbolique et intelligent ANNÉE $, un utilisateur Twitter nommé @ cat5749 et d' autres regardé dans ce contrat intelligent pour les pièges apparents dans le code. Ils n'ont rien trouvé de suspect. Ils sont tombés sur une fonction appelée "_burnMechanism" qui aurait échoué s'ils avaient essayé de contacter le propriétaire du contrat. Cela n'a déclenché aucune sonnette d'alarme, mais cela s'avérerait déterminant pour diagnostiquer comment l'attaque s'est produite.
Révoquer la propriété pour planter une nouvelle devise
Le propriétaire a révoqué la propriété du contrat et a fait de son nouveau propriétaire l'échange décentralisé, UniSwap V2. Cela signifiait que seuls les achats pouvaient être effectués à partir d'UniSwap V2, mais rien ne pouvait être vendu à UniSwap V2. Le propriétaire du contrat intelligent deviendrait alors le seul vendeur, ce qui entraînerait une augmentation du prix du jeton $ YEAR. Alors que les utilisateurs voyaient la hausse des prix, FOMO leur a donné envie d'acheter.
Lorsqu'un nouveau jeton est créé, le créateur doit développer un moyen pour les utilisateurs d'acheter et de vendre le jeton. Cela signifie parfois que le créateur placera un jeton de valeur tel que l'ETH et son nouveau jeton dans un pool d'échange. Les acheteurs du nouveau jeton devront fournir le précieux jeton pour obtenir le nouveau jeton. Ce qui peut arriver, c'est que le créateur peut extraire son précieux jeton d'origine ainsi que le nouveau jeton. En raison du fonctionnement des teneurs de marché automatisés, cela supprimera un jeton plus précieux que le jeton sans valeur.
Le créateur a ensuite retiré de l'argent à UniSwap V2, dont plus de 30 ETH, et a fait planter le nouveau jeton, laissant certains investisseurs très mécontents.
Que penses-tu de ce sujet? Écrivez-nous et dites-nous !
Après Airdrop Mania, le dernier tapis Airdrop attirant des acheteurs via Smart Contract Exploit est apparu pour la première fois sur BeInCrypto .