Команда Check Point Research (CPR) из компании Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, показывает, как мошенники используют метод «дергания коврика», определенным образом настраивая смарт-контракты. Исследователи подробно описали схему злоумышленников, а также привели примеры конфигураций смарт-контрактов, которые могут привести к потере денег.

Такие выводы команда Check Point Research (CPR) сделала на основе предыдущих исследований. Например, в октябре прошлого года специалисты CPR предотвратили кражу криптовалютных кошельков на OpenSea, крупнейшей торговой площадке NFT. А в ноябре прошлого года они обнаружили, что хакеры украли полмиллиона долларов за считанные дни с помощью Google Ads.

∙ Команда CPR (Check Point Research) показывает, как может выглядеть мошенничество с смарт-контрактами.
∙ Команда CPR (Check Point Research) рассказывает, какие методы используют злоумышленники: скрытые комиссии при оплате и скрытые бэкдоры
∙ Команда CPR предупреждает, что злоумышленники продолжают разрабатывать мошеннические схемы, и делится советами безопасности.

В новом отчете эксперты Check Point Research (CPR) рассказали, как хакеры крадут деньги, создавая вредоносные токены.

Как выглядит поддельная криптовалюта:

∙ Некоторые токены включают комиссию за покупку и продажу в размере 99%, которая крадет все деньги жертвы на этапе покупки или продажи.
∙ Некоторые токены покупатель не сможет перепродавать, так как продажа доступна только первоначальному владельцу.
∙ Некоторые токены дают возможность обладателю приумножать их в своем кошельке и затем продавать.

Как хакеры пользуются смарт-контрактами

Чтобы создать мошеннические токены, хакеры особым образом настраивают смарт-контракты. Смарт-контракты — программы, хранящиеся в блокчейне, которые запускаются при выполнении заранее определенных условий.

Шаги злоумышленников при этом мошенничестве:

1. Использование мошеннических сервисов. Сначала хакеры используют мошеннические сервисы для создания контракта, либо копируют уже известный мошеннический смарт-контракт и изменяют название и символ токена, а также некоторые названия функций.
2. Управление функциями. Потом они работают функциями с переводом денег, не дают возможности продавать, увеличивают размер комиссии и прочее. Большинство манипуляций связаны с переводами денег.
3. Подключение социальных сетей. Злоумышленники используют Twitter, Discord, Telegram и через фейковые аккаунты раскручивают свой проект, чтобы люди начали покупать валюту.
4. Кража. Это и есть суть метода дергания коврика. После того, как они набирают желаемую сумму, они выводят все деньги из контракта и удаляют все аккаунты социальных сетей.
5. Введение временных блокировок – таймлоков. Далее эти токены блокируют определенную сумму денег в пуле контрактов или даже добавляют временную блокировку к контракту. Таймлоки в основном используются для задержки административных действий и считаются надежным показателем того, что проект законен.

Как оставаться в безопасности и не потерять свои деньги

∙ Заводите несколько кошельков. Чтобы себя обезопасить, нужно иметь как минимум два разных криптокошелька. Один из них можно использовать для хранения средств, другой — для торговли и обмена. Это поможет защитить активы, потому что кошельки хранят пароли и имеют открытый ключ, — чтобы другие пользователи могли отправлять криптовалюты на этот кошелек. Если киберпреступнику удастся получить доступ к одному вашему кошельку, то скорее всего, это будет доступ только к тому, с которого вы торгуете. А тот кошелек, где вы храните свои накопления, будет в безопасности.

∙ Проверяйте, где именно вы вводите свои данные. Пользователи часто ищут платформы биткойн-кошельков через Google. На этом этапе они могут случайно кликнуть на одну из рекламных ссылок, которые появляются в самом верху страницы. Но это могут быть вредоносные объявления – злоумышленники вставляют в них ссылки на свои сайты. Если пользователь не проверит этот момент и введет там свои данные, они могут попасть к мошенникам.

∙ Совершайте тестовые транзакции. Злоумышленники пользуются невнимательностью пользователей. Поэтому перед отправкой большой суммы криптовалюты сначала отправьте минимальную тестовую транзакцию. В этом случае, даже если вы отправите ее на поддельный кошелек, вы сразу обнаружите обман и потеряете гораздо меньше.

∙ Используйте двухфакторную аутентификацию. Одна из лучших мер защиты от любого типа кибератак — активация двухфакторной аутентификации на всех платформах, где у вас есть учетная запись. В этом случае, если злоумышленник попытается войти в ваш аккаунт, он не получит сообщение для дополнительной проверки, которое придет на вашу почту или устройство.

«Check Point Research вкладывает значительные ресурсы в изучение безопасности криптовалют,  рассказывает Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point Software. — В прошлом году мы выявили кражу криптовалютных кошельков на OpenSea, крупнейшем в мире рынке NFT. А также предупредили владельцев криптовалюты о масштабной фишинговой кампании в Google Ads, в результате которой за несколько дней было украдено около полумиллиона долларов. нашей последней публикации мы показываем, как выглядит мошенничество с реальными смарт-контрактами, и разоблачаем реальное мошенничество с токенами. Есть все основания предположить, что пользователи криптовалюты и дальше будут попадать в эти ловушки и терять свои деньги. Наша цель — предупредить криптосообщество о том, что злоумышленники действительно создают мошеннические токены для кражи средств. Чтобы избежать потери денег, рекомендую владельцам криптовалюты диверсифицировать свои кошельки, игнорировать рекламные объявления и совершать тестовые транзакции».