Posté le janvier 24, 2022 à 18:27
LES CHERCHEURS DE CHECKPOINT METTENT EN GARDE CONTRE LES ESCROQUERIES À LA SORTIE DE CRYPTO-MONNAIE RUG PULL
Les chercheurs en sécurité de Checkpoint ont révélé que les acteurs de la menace abusent de la mauvaise configuration des contrats intelligents pour lancer des escroqueries à la sortie rug pull.
Selon les chercheurs, ces erreurs de configuration offrent aux acteurs de la menace la possibilité de réaliser des escroqueries aux crypto-monnaies.
Ces cas de fraude aux jetons incluent la dissimulation de routines de porte dérobée et la dissimulation de fonctions payantes à 99 %, selon les chercheurs.
Les contrats intelligents sont généralement des programmes stockés sur la blockchain qui sont automatiquement exécutés lorsque certaines conditions sont remplies. Ces contrats permettent d’exécuter des accords et des transactions fiduciaires entre différentes parties, à l’unanimité et sans qu’il soit nécessaire de faire appel à une autorité centrale.
Une méthode d’attaque similaire a été découverte l’année dernière
Les chercheurs de Checkpoint expliquent dans leur rapport comment les acteurs de la menace créent des jetons frauduleux en configurant mal les contrats intelligents. Ils ont également expliqué les stratégies utilisées par les escrocs pour « soutirer » des fonds à des victimes peu méfiantes. Les chercheurs ont également donné quelques exemples des types de configurations erronées des contrats intelligents qui peuvent entraîner des vols d’argent.
La même équipe de recherche a déjà enquêté sur des vols de crypto-monnaies, et la dernière découverte présente des similitudes avec les résultats précédents. En octobre de l’année dernière, Checkpoint a découvert le vol de portefeuilles de crypto-monnaies sur OpenSeo, la plus grande place de marché NFT au monde.
Un mois plus tard, ils ont découvert une autre campagne de phishing où les acteurs de la menace ont volé près de 500 000 dollars de crypto-monnaies en quelques jours.
Cependant, l’intérêt pour les crypto-monnaies et l’espace NFT reste fort. Alors que les investisseurs cherchent toujours à conserver leurs jetons en prévision d’une nouvelle flambée du marché, les escrocs cherchent des moyens de les voler. Ces escrocs ont maintenant été repérés par les chercheurs de Checkpoint qui accordent plus d’attention aux contrats intelligents afin de voler de nouveaux jetons avant qu’un « rug pull » ne se produise.
Les failles peuvent également être exploitées par des hackers externes
Le terme « rug pull » est utilisé pour désigner une action entreprise par les développeurs d’un actif cryptographique pour manœuvrer la valeur perçue du jeton avant d’abandonner le projet. Ce type d’escroquerie est courant dans l’industrie des crypto et actifs numériques, avec un exemple récent étant le jeton SQUID. À un moment donné, le jeton était évalué à près de 3 000 $ avant de s’effondrer soudainement, perdant 99,9 % de sa valeur et rendant les investissements des gens sans valeur.
Au moment où le jeton a atteint sa valeur maximale, de nombreux investisseurs ont essayé de vendre et d’encaisser. Mais les développeurs ont tiré la couverture à eux et les ont empêchés de vendre. Les développeurs ont manipulé le prix du jeton et encaissé des millions de dollars provenant des fonds des investisseurs.
Les chercheurs ont également déclaré que les développeurs d’un jeton de crypto-monnaie ne sont pas les seuls à pouvoir réaliser des arnaques au code de contrat. Ils ont déclaré que les vulnérabilités dans le code de contrat intelligent peuvent être utilisées par des acteurs de menaces externes pour augmenter la possibilité qu’un projet perde les fonds des investisseurs.
Les attaquants peuvent utiliser différentes techniques
Les escrocs peuvent utiliser plusieurs stratégies pour réaliser des escroqueries de type « rug pull ». Ils peuvent utiliser des services d’escroquerie pour établir des contrats intelligents avant de nommer le nouveau jeton et de le rendre public. Ils peuvent également manipuler des fonctions pour générer des déclencheurs cachés avant de procéder à un rug pull.
Une fois le jeton créé, les fraudeurs peuvent utiliser les réseaux de médias sociaux pour faire la promotion et le battage publicitaire du jeton ainsi que de sa valeur perçue. Une fois que les fraudeurs ont lancé une arnaque de sortie, ils placent généralement des timelocks, qui sont utilisés pour retarder les actions administratives.
Selon Checkpoint, une autre technique couramment utilisée par les escrocs dans les rug pulls consiste à imposer des frais d’achat et de vente.
Les chercheurs ont découvert une fonction « aprove » et « approve ». La première est cachée et conçue par les développeurs pour facturer 99,9 % comme frais de transaction après le décollage du projet. Mais la seconde est un frais légitime qui ne représente généralement qu’une infime partie du montant de la transaction.
« Un jeton légitime ne facturera pas de frais ou facturera des valeurs codées en dur qui ne peuvent pas être ajustées par le développeur », indique Checkpoint.
Les escrocs ajoutent également une fonction cachée qui permet aux développeurs d’avoir un contrôle total sur qui peut vendre des jetons ou ajouter des pièces. La fonction de transfert cachée empêche les investisseurs ou les commerçants de revendre leurs jetons lorsque le prix a été gonflé.
Dernièrement, les chercheurs ont découvert une fonction dans un contrat distinct qui pourrait permettre de fabriquer des pièces de monnaie. Dans certains cas, les acteurs de la menace peuvent être en mesure de créer des millions de pièces virtuelles. Les attaquants peuvent également utiliser d’autres méthodes, comme la combustion de jetons pour augmenter le prix des pools existants, ce qui s’est produit lors de l’incident Zenon Network en 2021.