Verkeerde configuraties in slimme contracten worden door oplichters uitgebuit om kwaadaardige cryptocurrency-tokens te creëren met als doel geld te stelen van nietsvermoedende gebruikers.
Tot de voorbeelden van tokenfraude in het wild behoren onder meer het verbergen van 99% van de vergoedingsfuncties en het verbergen van achterdeurroutines, zeggen onderzoekers van Check Point zei in een rapport gedeeld met The Hacker News.
Slimme contracten zijn: programma's opgeslagen op de blockchain die automatisch worden uitgevoerd wanneer aan vooraf bepaalde voorwaarden wordt voldaan volgens de voorwaarden van een contract of een overeenkomst. Ze maken het mogelijk om vertrouwde transacties en overeenkomsten tussen anonieme partijen uit te voeren zonder dat er een centrale autoriteit nodig is.
Door het onderzoeken van de Stevigheid broncode die wordt gebruikt voor het implementeren van slimme contracten, heeft het Israëlische cyberbeveiligingsbedrijf voorbeelden gevonden verborgen en hardgecodeerde kosten dat kan niet worden veranderd, terwijl kwaadwillende actoren controle kunnen uitoefenen over ‘wie mag verkopen’.
In een ander geval werd er een legitiem contract gebeld Levyathan was gehackt nadat de ontwikkelaars per ongeluk de privésleutel van de portemonnee naar hun GitHub-repository hadden geüpload, waardoor de uitbuiter die in juli 2021 een oneindig aantal tokens zou slaan en geld uit het contract zou stelen.
Een rug pull is een vorm van oplichting die plaatsvindt wanneer de makers het geld van de investeerders uitbetalen en het project verlaten nadat een groot bedrag is toegewezen aan wat een legitiem cryptoproject lijkt te zijn.
Ten slotte zorgden de slechte toegangscontroles van de beheerders van het Zenon-netwerk ervoor dat een aanvaller de onbeschermde brandfunctie binnen het slimme contract kon misbruiken om de prijs van de munt te verhogen en geld aftappen voor een bedrag van $ 814,570 in november 2021.
De bevindingen komen nadat is waargenomen dat er cyberaanvalcampagnes zijn waarbij gebruik wordt gemaakt van phishing-programma's die zijn gebaseerd op lokmiddelen rond binnenkort uit te brengen (zij het valse) crypto-tokens om uiteindelijk de slachtoffers te misleiden om ervoor te betalen met hun eigen cryptocurrency.
“Bovendien bood de website, om andere slachtoffers te betrekken en de zwendel te bestendigen, een verwijzingsprogramma voor vrienden en familie”, zegt Akamai-onderzoeker Or Katz. zei. “Door dit te doen creëerden de dreigingsactoren een nieuw betrouwbaar kanaal waarmee huidige slachtoffers andere potentiële doelwitten doorverwezen.”
“De implicatie is dat crypto-gebruikers in deze valkuilen zullen blijven trappen en hun geld zullen verliezen”, zegt Oded Vanunu, hoofd van productkwetsbaarhedenonderzoek bij Check Point. “Om zwendelmunten te voorkomen, raad ik crypto-gebruikers aan om hun portemonnee te diversifiëren, advertenties te negeren en hun transacties te testen.”
