En este momento estás viendo Scam de Fin de Año: inversores de un nuevo token son víctimas de rug pull

Scam de Fin de Año: inversores de un nuevo token son víctimas de rug pull

Fuente:beincrypto


Según lo informado por @cat5749, el 31 de diciembre de 2021 apareció una estafa para recompensar con tokens $YEAR a las transacciones ETH según el contenido de su monedero MetaMask.

Los inversores de una nueva criptomoneda llamada $YEAR fueron objeto de una estafa de honeypot, como tuiteó @cat5749. Esencialmente, el creador del token usó una página web llamada EtherWrapped que se conectaba a un monedero MetaMask.

El individuo o grupo de individuos asignó recompensas de token de $YEAR a los usuarios en función de sus transacciones ETH durante el año anterior.

Todo en Ethereum se maneja a través de contratos inteligentes que se ejecutan en la Ethereum Virtual Machine (EVM). Los contratos inteligentes se pueden ver libremente usando Etherscan.

Para crear un nuevo token, una entidad debe crear un nuevo contrato inteligente en un lenguaje de aplicación descentralizado llamado Solidity e implementarlo en la EVM. Inicialmente, cuando se carga el contrato, es un contrato “no verificado”.

En el caso de esta estafa, el contrato inteligente se verificó cuando los miembros de la comunidad Ethereum clamaron por la verificación. Mediante verificación, el contrato se hizo público. Esto significa que el código de contrato inteligente estaba abierto a escrutinio.

Oculto a la vista

Un tipo exploit más reciente es que las entidades maliciosas creen contratos inteligentes aparentemente benignos, con trampas ocultas a la vista. Estos son inmunes a las inspecciones de códigos, ya que a menudo no hay señales obvias de que el propietario del contrato inteligente desee participar en una actividad maliciosa.

En el caso del token de $YEAR y el contrato inteligente, un usuario de Twitter llamado @cat5749 y otros examinaron ese contrato inteligente en busca de trampas aparentes en el código. No pudieron encontrar nada que pareciera sospechoso.

Se encontraron con una función llamada “_burnMechanism” que fallaría si se intentaba contactar con el propietario del contrato. Esto no generó ninguna señal de alerta obvia, pero resultaría fundamental para diagnosticar cómo ocurrió el ataque.

Modus operandi

El propietario revocó la propiedad del contrato y convirtió a su nuevo propietario en el exchange descentralizado UniSwap V2. Esto significaba que solo se podían realizar compras desde UniSwap V2, pero no se podía vender nada a UniSwap V2.

El propietario del contrato inteligente se convertiría en el único vendedor, lo que haría que aumentara el precio del token de $YEAR. A medida que los usuarios vieron que el precio aumentaba, el FOMO les hizo querer comprar.

Cuando se crea un nuevo token, el creador debe desarrollar una forma para que los usuarios compren y vendan el token. Esto a veces significa que el creador colocará un token valioso como ETH y su nuevo token en un pool de trading.

Los compradores del nuevo token deberán proporcionar el token valioso para obtener el nuevo token. Lo que puede suceder es que el creador pueda sacar su token valioso original más el token nuevo. Debido a la forma en que funcionan los creadores de mercado automatizados, esto eliminará más token valioso que token inútil.

Después, el creador sacó liquidez de UniSwap V2, incluidos más de 30 ETH, y provocó que el nuevo token colapsara, dejando a algunos inversores muy descontentos.