Tel que rapporté par @ cat5749, une arnaque a fait surface le 31 décembre 2021 pour récompenser des jetons de $ YEAR aux transactions ETH en fonction du contenu de leur portefeuille Metamask.
Les investisseurs dans une nouvelle crypto-monnaie appelée $ YEAR ont fait l'objet d'une arnaque au pot de miel, comme tweeté par @ cat5749. Essentiellement, un créateur de jetons utilisait un site Web appelé EtherWrapped qui se connectait à un portefeuille Metamask. L'individu ou le groupe d'individus a attribué des récompenses de jetons de $ YEAR aux utilisateurs en fonction de leurs transactions ETH au cours de l'année précédente.
Tout sur Ethereum est géré via des contrats intelligents qui s'exécutent sur la machine virtuelle Ethereum. Les contrats intelligents peuvent être consultés librement à l'aide d'Etherscan. Pour créer un nouveau jeton, une entité doit créer un nouveau contrat intelligent dans un langage d'application décentralisé appelé Solidity et le déployer sur la machine virtuelle Ethereum. Initialement, lorsque le contrat est téléchargé, il s'agit d'un contrat « non vérifié ».
Dans le cas de cette arnaque, le contrat intelligent a été vérifié lorsque des membres de la communauté Ethereum ont réclamé une vérification. Par vérification, le contrat est devenu public. Cela signifie que le code du contrat intelligent était ouvert à l'examen.
Caché à la vue
Un exploit plus récent consiste pour les entités malveillantes à créer des contrats intelligents apparemment bénins, avec des pièges cachés à la vue de tous. Ceux-ci sont imperméables aux inspections de code, car il n'y a souvent aucun signe évident que le propriétaire du contrat intelligent souhaite se livrer à une activité malveillante. Dans le cas du jeton $YEAR et du contrat intelligent, un utilisateur de Twitter nommé @cat5749 et autres examiné ce contrat intelligent pour les pièges apparents dans le code. Ils n'ont rien trouvé de suspect. Ils suis tombé sur une fonction appelée "_burnMechanism" qui échouerait si le contact était tenté avec le propriétaire du contrat. Cela n'a pas soulevé de drapeaux rouges évidents, mais s'avérerait déterminant pour diagnostiquer comment l'attaque s'est produite.
Révoquer la propriété pour faire planter une nouvelle pièce
Le propriétaire a révoqué la propriété du contrat et a fait de son nouveau propriétaire l'échange décentralisé, UniSwap V2. Cela signifiait que seuls les achats pouvaient être effectués à partir d'UniSwap V2, mais rien ne pouvait être vendu à UniSwap V2. Le propriétaire du contrat intelligent deviendrait alors le seul vendeur, ce qui entraînerait une augmentation du prix du jeton $YEAR. Alors que les utilisateurs voyaient le prix augmenter, FOMO leur a donné envie d'acheter.
Lorsqu'un nouveau jeton est créé, le créateur doit développer un moyen pour les utilisateurs d'acheter et de vendre le jeton. Cela signifie parfois que le créateur placera un jeton de valeur tel que l'ETH et son nouveau jeton dans un pool d'échange. Les acheteurs du nouveau jeton devront fournir le précieux jeton pour obtenir le nouveau jeton. Ce qui peut arriver, c'est que le créateur peut retirer son jeton de valeur d'origine ainsi que le nouveau jeton. En raison de la façon dont les teneurs de marché automatisés fonctionnent, cela supprimera davantage le jeton de valeur que le jeton sans valeur.
Le créateur a ensuite retiré des liquidités d'UniSwap V2, dont plus de 30 ETH, et a provoqué le crash du nouveau jeton, laissant des investisseurs très mécontents.
Que pensez-vous de ce sujet ? Écrivez-nous et dites-nous!
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/airdrop-mania-sees-latest-airdrop-rug-pull-on-buyers-through-smart-contract-exploit/