Verkeerde configuraties in slimme contracten worden door oplichters uitgebuit om kwaadaardige cryptocurrency-tokens te maken met als doel geld te stelen van nietsvermoedende gebruikers.
De gevallen van tokenfraude in het wild omvatten het verbergen van 99% vergoedingsfuncties en het verbergen van achterdeurroutines, onderzoekers van Controlepunt zei in een rapport gedeeld met The Hacker News.
Slimme contracten zijn: programma’s opgeslagen op de blockchain die automatisch worden uitgevoerd wanneer aan vooraf bepaalde voorwaarden wordt voldaan volgens de voorwaarden van een contract of overeenkomst. Hiermee kunnen vertrouwde transacties en afspraken tussen anonieme partijen worden uitgevoerd zonder dat er een centrale autoriteit nodig is.
Door het onderzoeken van de Stevigheid broncode gebruikt voor het implementeren van slimme contracten, vond het Israëlische cyberbeveiligingsbedrijf gevallen van: verborgen en hardcoded kosten dat kan niet worden veranderd, terwijl kwaadwillende actoren controle kunnen uitoefenen over “wie mag verkopen”.
In een ander geval, een legitiem contract genaamd Leviathan was gehackt nadat de ontwikkelaars per ongeluk de privésleutel van de portemonnee naar hun GitHub-repository hadden geüpload, inschakelen de uitbuiter om in juli 2021 een oneindig aantal tokens te slaan en geld van het contract te stelen.
A Rug Pull is een vorm van oplichting die plaatsvindt wanneer de makers het geld van de investeerders uitbetalen en het project verlaten nadat een enorm bedrag is toegewezen aan wat een legitiem cryptoproject lijkt te zijn.
Ten slotte hebben slechte toegangscontroles die door de beheerders van het Zenon-netwerk zijn ingesteld, een aanvaller in staat gesteld om de onbeschermde brandfunctie binnen het slimme contract te misbruiken om de prijs van de munt op te voeren en geld aftappen voor een bedrag van $ 814.570 in november 2021.
De bevindingen komen nadat cyberaanvalcampagnes zijn waargenomen die gebruikmaken van phishing-schema’s die zijn gebouwd op kunstaas rond binnenkort te verschijnen (zij het nep) crypto-tokens om uiteindelijk de slachtoffers te misleiden om ervoor te betalen met hun eigen cryptocurrency.
“Bovendien bood de website, om andere slachtoffers te betrekken en de zwendel in stand te houden, een verwijzingsprogramma voor vrienden en familie”, zegt Akamai-onderzoeker Or Katz. zei. “Door dit te doen, creëerden de dreigingsactoren een nieuw betrouwbaar kanaal waarlangs huidige slachtoffers doorverwezen [to] andere potentiële doelwitten.”
“De implicatie is dat crypto-gebruikers in deze valkuilen zullen blijven vallen en hun geld zullen verliezen”, zegt Oded Vanunu, hoofd onderzoek naar kwetsbaarheden van producten bij Check Point. “Om zwendelmunten te voorkomen, raad ik crypto-gebruikers aan om hun portemonnee te diversifiëren, advertenties te negeren en hun transacties te testen.”
