1. Phân tích

Danh sách 'xu hướng' của Memecoin bị kẻ lừa đảo khai thác để đánh cắp tiền điện tử

  • 30/09/2024

Nhà nghiên cứu bảo mật Roffet.eth đã phát hiện rằng một số memecoin trên nền tảng GMGN chứa mã ẩn cho phép nhà phát triển đánh cắp token của người dùng.

Kẻ lừa đảo đang khai thác danh sách 'xu hướng' trên nền tảng phân tích memecoin GMGN để lừa gạt và cướp đoạt tài sản của các nhà đầu tư tiền điện tử không biết gì, như được tiết lộ bởi nhà nghiên cứu bảo mật Roffet.eth trong một bài đăng gần đây.

Phương thức gian lận này liên quan đến việc tạo ra các đồng tiền với mã cho phép nhà phát triển chuyển bất kỳ token nào của người dùng vào tài khoản của họ. Bằng cách giao dịch các token này giữa nhiều tài khoản, kẻ lừa đảo tăng cường khối lượng giao dịch một cách giả tạo, đẩy đồng tiền vào danh sách 'xu hướng' của GMGN.

Các nhà đầu tư không nghi ngờ gì, bị thu hút bởi sự nổi tiếng rõ ràng của những đồng tiền này, mua chúng, chỉ để thấy các token của họ bị rút cạn ngay lập tức trong vài phút. Nhà phát triển sau đó tái sử dụng các token bị đánh cắp trở lại vào nhóm thanh khoản, chuẩn bị sẵn sàng để lừa đảo nạn nhân tiếp theo.

Roffet.eth đã nêu bật ba đồng tiền cụ thể trong danh sách này là ví dụ về thực tiễn độc hại này: Robotaxi, DFC, và Billy's Dog (NICK).

GMGN là một ứng dụng web được thiết kế cho các nhà giao dịch memecoin trên nhiều blockchain bao gồm Base, Solana, Tron, Blast, và Ethereum. Giao diện của nó có các tab như 'cặp mới,' 'xu hướng,' và 'khám phá,' mỗi tab hiển thị các đồng tiền dựa trên các tiêu chí khác nhau.

Trò lừa đảo này được Roffet.eth phát hiện sau khi bạn bè báo cáo rằng các đồng tiền họ mua đã biến mất khỏi ví của họ. Ban đầu nghi ngờ bị hack, một người bạn thậm chí đã thử sử dụng ví mới, chỉ để mất các đồng tiền lần nữa.

Đi sâu hơn, Roffet.eth đã sử dụng một trình khám phá khối để phân tích các giao dịch và ban đầu nghĩ rằng đó có thể là một cuộc tấn công phishing điển hình. Tuy nhiên, các giao dịch liên quan đến một hàm 'permit,' yêu cầu chữ ký của người dùng, nhưng người bạn phủ nhận bất kỳ tương tác nào với các trang web phishing.

Điều tra thêm về một trong những token bị ảnh hưởng, NICK, đã tiết lộ rằng mã hợp đồng của nó rất phức tạp. Roffet.eth lưu ý sự hiện diện của 'các phương pháp kỳ lạ và mờ ám,' trưng bày hình ảnh của các hàm 'performance' và 'novel' của NICK làm bằng chứng.

Các hàm performance và novel của NICK. Nguồn: Roffet.eth

Sau khi kiểm tra kỹ hơn, Roffet.eth phát hiện mã độc trong một trong những thư viện của NICK. Mã này cho phép 'người thu hồi' (nhà phát triển) gọi hàm 'permit' mà không cần chữ ký của người giữ token. Địa chỉ của người thu hồi được che giấu khéo léo, được liệt kê dưới dạng số 256-bit với một hàm để suy ra địa chỉ thực, kết thúc bằng f261.

Dữ liệu blockchain xác nhận rằng hợp đồng 'người thu hồi' này đã thực hiện hơn 100 giao dịch, chuyển các token NICK từ người giữ hợp pháp sang các tài khoản khác.

Tài khoản độc hại đang rút cạn NICK từ người dùng. Nguồn: Basescan.

Sự kiểm tra thêm của Roffet.eth về danh sách 'xu hướng' đã tiết lộ ít nhất hai token khác, Robotaxi và DFC, với mã độc hại tương tự.

Anh kết luận rằng kỹ thuật lừa đảo này có lẽ đã được sử dụng trong một thời gian dài và cảnh báo các nhà đầu tư nên tránh xa danh sách 'xu hướng' để tránh mất tiền. Anh nhấn mạnh mối nguy hiểm mà những danh sách này gây ra cho các nhà đầu tư mới và kêu gọi tăng cường nhận thức.

Mối đe dọa từ các token lừa đảo hoặc 'bẫy mật' vẫn tồn tại trong không gian tiền điện tử. Trong một sự cố đáng chú ý vào tháng Tư, một nhà phát triển token lừa đảo đã lừa đảo các nạn nhân với số tiền 1,62 triệu đô la bằng token BONKKILLER mà không thể bán được. Một báo cáo năm 2022 của công ty quản lý rủi ro blockchain Solidus đã nêu bật việc tạo ra hơn 350 token lừa đảo trong suốt năm đó.

Theo Cointelegraph