Compreendendo os tokens falsos e como evitar ser persuadido pela inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Entendendo os tokens falsos e como evitar ser persuadido

Carimbo de data / hora: 19 de outubro de 2022 6h32

Tempo de leitura: 5 minutos

A segurança dos ativos faz muita diferença em quanto dinheiro os usuários ganham com seus investimentos. E aqui está um blog de segurança para ficar atento e informado na Web3.

As criptomoedas são conhecidas por sua volatilidade. Isso diz o quanto o preço do ativo é influente na tomada de decisões de investimento. Há um problema para os hackers brincarem com os preços e enganarem os usuários por seus ganhos. 

Qualquer um que seja um investidor cripto obstinado teria enfrentado uma situação em que os preços dos tokens criptográficos são manipulados para criar uma ilusão de pessimismo ou otimismo. Isso levaria os usuários a comprá-los e mais tarde descobririam que caíram em spoofing. 

Então, o que é spoofing? Como identificá-los e ficar atento para não ver seu dinheiro sumir no ar? Vamos ter tudo coberto neste blog. 

'Spoofing' - em poucas palavras

Um token amplamente antecipado com tanto hype que o usuário está esperando para comprar é finalmente lançado, com o mesmo símbolo e logotipo oficial. E com grande entusiasmo, o usuário quer comprá-los.

Mas como o usuário está convencido da autenticidade dos tokens e procede à compra em massa deles? 

O usuário descobre no explorador de blocos que os endereços associados às transferências de tokens são influenciadores/personalidades aclamadas. 

Aqui é onde o hacker manipulou o endereço De do token, fazendo parecer que está vinculado ao endereço de um influenciador conhecido. Vendo isso, os usuários se envolvem com carinho em negociar esses tokens acreditando que eles são os originais. 

Nos bastidores – Como o hacker fez isso?

Os dados de transferência em contratos inteligentes podem ser facilmente modificados. Portanto, ao utilizar isso, o invasor alteraria o endereço De para qualquer outro, embora seja ele quem inicia a transação.

Vejamos a transferência de token no Etherscan para melhor clareza das transferências de token falsificado. 

Neste você pode ver o endereço de Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b recebeu tokens zkSync. 

Os tokens podem ser transferidos de qualquer pessoa para o endereço de Vitalik, o que não é grande coisa. 

Mas, nisso, você pode ver que Vitalik envia os tokens. Portanto, isso levaria os usuários a pensar que esses tokens enviados por Vitalik seriam um jackpot real. 

Mas isso não é verdade! Vamos descobrir o que vem pela frente!

Compreendendo os tokens falsos e como evitar ser persuadido pela inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

A Vitalik não iniciou a transferência, mas o proprietário do contrato que iniciou a transação fez parecer que foi enviado pela Vitalik. É aqui que o explorador de blocos é falsificado para exibir a transação manipulada, pois o explorador de blocos só pode ler eventos. 

Isso pode ser encontrado examinando os detalhes da transação, que mostra claramente que o endereço do iniciador (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) prosseguiu com a transação manipulando-a para ter sido feita por Vitalik.  

Compreendendo os tokens falsos e como evitar ser persuadido pela inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Olhando mais de perto, você pode descobrir que os dados de entrada são alimentados com o endereço de Vitalik. Isso também pode ser codificado no contrato.

Compreendendo os tokens falsos e como evitar ser persuadido pela inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Além disso, na descompilação, podemos encontrar uma função de transferência não padrão que recebe a entrada para A partir do endereço e inicia o evento de transferência. E é aqui que o proprietário do contrato digitou o endereço de Vitalik para fazer parecer que ele está fazendo a transferência.

Compreendendo os tokens falsos e como evitar ser persuadido pela inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Os percalços na transferência de token

Veja como o usuário confunde o endereço De com o endereço do iniciador da transação. O truque de falsificação funciona para lançar ataques bem-sucedidos ao usuário, aproveitando o padrão de design do token ERC-20 e a exibição de dados transparente do Block explorer. 

As funções transfer e transferFrom do padrão ERC-20 facilitam a adição de qualquer endereço arbitrário como remetente de tokens e que o endereço From seja alterado do endereço do iniciador do contrato. 

Exploradores de bloco como o Etherscan exibem o endereço De em vez do endereço do iniciador tx, o que resulta no empacotamento do usuário dos tokens sem valor. 

Algum evento recente de spam de token de falsificação?

O recente anúncio do “airdrop” da Ucrânia para recompensar doações de criptomoedas pelo usuário foi postado nas alças do Twitter.

Fonte: Ucrânia / Україна no Twitter: “Airdrop confirmado. A foto será tirada amanhã, 3 de março, às 6h, horário de Kyiv (UTC/GMT +2 horas). Recompensa a seguir! Siga as notícias subsequentes sobre a campanha de doação de criptomoedas da Ucrânia em @FedorovMykhailo” / Twitter

Logo depois, o explorador de blocos do Ethereum, Etherscan, exibiu a carteira oficial da Ucrânia com 7 bilhões de tokens “Pacíficos” para o lançamento aéreo secreto de criptomoedas. 

Também houve atividades da carteira oficial da Ucrânia enviando tokens para o endereço da carteira criptográfica que doou para os fundos da Ucrânia. 

Mas não havia detalhes do evento oficial de lançamento aéreo após a postagem inicial das autoridades (como o tipo de token ou o número de tokens a serem lançados etc.)

Mais tarde, os analistas de blockchain confirmaram que os tokens do mundo pacífico (WORLD) podem ser uma paródia, e a Etherscan os rotulou como “enganosos” e os marcou como spam. 

Esta instância mostra como O endereço da carteira da Ucrânia está sendo usado para lançar um airdrop falso– uma instância de falsificação de token. 

Como evitar a compra de tokens falsos?

A melhor maneira é pesquisar os detalhes da transação e verificar se o endereço De e o endereço do iniciador da transferência de token são os mesmos.

Compreendendo os tokens falsos e como evitar ser persuadido pela inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Embora nem todas as transferências de token iniciadas de diferentes endereços possam ser necessariamente uma falsificação, usando o recurso 'Token ignore list' no EtherScan que lista o token suspeito nesta categoria, os usuários podem ficar alertas e atentos aos tokens com os quais interagem. 

QuillAudits em segurança Web3 

QuillAuditorias é uma empresa de segurança líder que oferece proteção para empreendimentos estabelecidos e em crescimento, fornecendo serviços de auditoria de contrato inteligente e due diligence para permanecer vigilante contra hacks da web3. 

Entre em contato com nossos especialistas para uma consulta gratuita em menos de 10 minutos: 

https://t.me/quillaudits_official

15 Visualizações

Carimbo de hora:

Mais de Quilhash