Розуміння фальшивих токенів і те, як уникнути вмовляння

Час читання: 5 протокол

Безпека активів значною мірою впливає на те, скільки грошей користувачі заробляють на своїх інвестиціях. Отже, ось блог безпеки, щоб бути в курсі та бути в курсі Web3.

Криптовалюти відомі своєю волатильністю. Це говорить про те, наскільки ціна активу впливає на прийняття інвестиційних рішень. У хакерів є заковика, яка грає з цінами та обманює користувачів заради отримання прибутку. 

Будь-хто, хто є завзятим криптоінвестором, зіткнувся б із ситуацією, коли ціни на криптотокени маніпулюють, щоб створити ілюзію песимізму чи оптимізму. Це спонукало б користувачів купувати їх, а потім виявляти, що вони потрапили на спуфінг. 

Отже, що таке спуфінг? Як їх визначити та бути уважним, щоб не побачити, як ваші гроші зникають у повітрі? Ми розглянемо все це в цьому блозі. 

«Спуфінг» – Коротко

Нарешті випущено довгоочікуваний токен, який викликав стільки галасу, що користувачі чекають його покупки, з таким же символом і офіційним логотипом. І з великим азартом користувач хоче їх купити.

Але як користувач переконається в автентичності токенів і приступить до їх масової покупки? 

Користувач виявляє в провіднику блоків, що адреси, пов’язані з передачею токенів, є впливовими/відомими особистостями. 

Тут хакер маніпулював адресою відправника знак, що створює враження, ніби воно пов’язане з адресою відомого впливового користувача. Побачивши це, користувачі залюбки торгують цими токенами, вважаючи їх оригінальними. 

За лаштунками – як це зробив хакер?

Дані передачі в смарт-контрактах можна легко змінити. Тому, використовуючи це, зловмисник змінить адресу відправника на будь-яку іншу, хоча він/вона ініціює транзакцію.

Давайте подивимося на передачу токенів в Etherscan для кращої зрозумілості підроблених передачі токенів. 

Тут ви можете побачити, що адреса Віталіка 0xab5801a7d398351b8be11c439e05c5b3259aec9b отримала токени zkSync. 

Токени можуть бути перераховані будь-ким на адресу Віталіка, що не є особливою проблемою. 

Але тут видно, що Віталік розсилає жетони. Отже, це спонукало б користувачів думати, що ці токени, надіслані Віталіком, стануть справжнім джекпотом. 

Але це неправда! Давайте дізнаємося, що нас чекає попереду!

Віталік не ініціював переказ, але власник контракту, який ініціював транзакцію, зробив так, ніби його надіслав Віталік. Тут відбувається підробка провідника блоків для відображення маніпульованої транзакції, оскільки провідник блоків може лише читати події. 

Це можна дізнатися, переглянувши деталі транзакції, де чітко показано адресу ініціатора (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc), яка продовжила транзакцію, маніпулюючи нею так, щоб її виконав Віталік.  

Придивившись уважніше, можна побачити, що вхідні дані підживлені адресою Віталіка. Це також може бути жорстко закодовано в контракті.

Крім того, під час декомпіляції ми можемо знайти нестандартну функцію передачі, яка приймає вхідні дані для З адреси і ініціює подію передачі. І саме тут власник контракту вписав адресу Віталіка, щоб виглядало, ніби він здійснює переказ.

Невдачі під час передачі токенів

Ось як користувач помилково приймає адресу відправника за адресу ініціатора транзакції. Трюк спуфінгу працює для запуску успішних атак на користувача, використовуючи стандарт дизайну маркера ERC-20 і прозоре відображення даних Block explorer. 

Функції передачі та transferFrom стандарту ERC-20 спрощують додавання будь-якої довільної адреси як відправника токенів і що адреса From змінюється з адреси ініціатора контракту. 

Провідники блоків, такі як Etherscan, відображають адресу From, а не адресу ініціатора tx, що призводить до того, що користувач збирає безцінні токени. 

Будь-яка недавня подія спаму підміни маркерів?

Нещодавній анонс про український «айрдроп» для винагороди за пожертви користувачів у криптовалюті опублікували на ручках Twitter.

джерело: Україна / Україна у Twitter: “Airdrop підтверджено. Знімок буде зроблений завтра, 3 березня, о 6:2 за київським часом (UTC/GMT +XNUMX години). Нагорода, щоб слідувати! Слідкуйте за наступними новинами щодо кампанії криптопожертвувань в Україні на @FedorovMykhailo” / Twitter

Незабаром після цього дослідник блоків Ethereum Etherscan показав офіційний гаманець України, що містить 7 мільярдів токенів “Peaceful World” для секретного криптографічного розвантаження. 

Були також дії з офіційного гаманця України, які надсилали токени на адресу криптогаманця, який пожертвував кошти України. 

Але не було жодних подробиць офіційної події скидання після початкового повідомлення від влади (наприклад, щодо типу токена чи кількості токенів, які будуть запущені тощо).

Пізніше аналітики блокчейну підтвердили, що токени мирного світу (WORLD) можуть бути підробкою, і Etherscan позначив їх як «оманливі» та позначив як спам. 

Цей приклад показує, як Адреса українського гаманця використовується для запуску фейкового еірдропу– екземпляр підробки маркера. 

Як уникнути покупки фальшивих жетонів?

Найкращий спосіб — розібратися в деталях транзакції та перевірити, чи збігаються адреса відправника та адреса ініціатора передачі маркера.

Хоча не всі передачі токенів, ініційовані з різних адрес, обов’язково можуть бути підробкою, використовуючи функцію «Список ігнорованих токенів» в EtherScan, яка містить список підозрілих токенів у цій категорії, користувачі можуть залишатися напоготові та стежити за токенами, з якими вони взаємодіють. 

QuillAudits у системі безпеки Web3 

QuillAudits є провідною фірмою безпеки, яка пропонує захист створеним і зростаючим підприємствам, надаючи аудит смарт-контрактів і послуги з належної перевірки, щоб бути пильними щодо злому web3. 

Зв’яжіться з нашими експертами для безкоштовної консультації всього за 10 хвилин: 

https://t.me/quillaudits_official

15 думки