Переменная в программном обеспечении, реализующем токен Dingo, позволяет его создателям взимать 99% комиссионных за каждую транзакцию, по сути, похищая средства, как выяснили исследователи.
Создатель токена Dingo - криптовалюты с предполагаемой рыночной капитализацией в 11 миллионов долларов - включил в код бэкдор, позволяющий взимать комиссию за каждую транзакцию в размере до 99% от стоимости токена.
По данным компании Check Point Software, занимающейся вопросами кибербезопасности, компания выпустила рекомендацию, предупреждающую потенциальных инвесторов о том, что компания называет «мошенничеством».
Хотя в документах, описывающих токен Dingo, утверждалось, что схема взимает 10% за транзакцию, исследователи Check Point обнаружили 47 транзакций, в которых общая комиссия за транзакцию была увеличена до 99%. Создатель также установил комиссию в 99% для будущих транзакций, по сути, похищая средства трейдеров криптовалюты, согласно отчету, опубликованному на этой неделе.
Создатель Dingo Token уже перевел ранее собранные средства на другие счета, не оставив денег никому из держателей токенов Dingo, говорит Одед Вануну, руководитель отдела исследований уязвимостей продуктов в Check Point Software.
«Функция вызывалась владельцами много раз, чтобы помешать пользователям продать свои авуары» - говорит он.
Криптовалюты в значительной степени основаны на математике, а также на хорошем маркетинге, дозе либертарианских идеалов и притоке наличности с серого рынка. В целом, были созданы сотни криптовалют, и не все они будут законными и свободными от мошенничества. Например, в отчете за 2019 год компания Alameda Research выявила крупное мошенничество на многих криптовалютных биржах. Это иронично, учитывая, что два года спустя эта фирма и ее родственная компания, криптовалютная биржа FTX, объявили о банкротстве, а их руководители, включая соучредителя FTX и Alameda Сэма Бэнкмана-Фрида, были обвинены в многочисленных финансовых преступлениях.
Хотя эти компании, возможно, начинали как легальные предприятия, схема с токенами Dingo, скорее всего, с самого начала была мошеннической, заявила Check Point в своем анализе.
«Мы изучили смарт-контракт Dingo и быстро обнаружили, что он похож на мошенничество» - заявила компания. «На сайте проекта нет никакой реальной информации о его владельцах».
Быстрый скачок популярности.
Хотя токен Dingo Token находится далеко внизу списка популярных криптовалют - под номером 774 на момент выпуска Check Point своей рекомендации - транзакции с использованием этой валюты подскочили на 8 400% за последний год, согласно данным компании по кибербезопасности. Такой стремительный рост популярности, а также тот факт, что описание криптовалюты было скудным, вызвали подозрения, в результате чего Check Point проанализировала цифровой смарт-контракт, на котором основан токен.
Анализ выявил систематическую кражу средств трейдеров с использованием переменной под названием «TaxFee» для установки суммы, которую необходимо взять с каждой транзакции.
«Мы не верим, что это была ошибка из-за природы криптомошеннических проектов» - говорит Вануну. «В данном случае код функции setTaxFeePercent... работает как черный ход, позволяя владельцу динамически изменять размер комиссии, что не является лучшей практикой для легитимных проектов».
Фальшивая криптовалютная схема может быть самой техничной атакой, но мошенничество становится все более опасным для криптовалютных инвесторов и пользователей, резко возросшим после перерыва, вызванного падением стоимости многих криптовалют более чем на 60%. В 2022 году, например, ФБР предупредило, что криптовалютные мошенники снова нацелились на бизнес и потребителей, на этот раз с помощью поддельных инвестиционных приложений, которые привели к краже более 40 миллионов долларов.
Знайте свой код.
Инцидент с Dingo Token подчеркивает тот факт, что компаниям необходимо проводить должную проверку любой криптовалюты, которую они планируют использовать или разрешают использовать клиентам. По словам Вануну, необходимо выявлять пробелы в системе безопасности, такие как код бэкдора, использованный Dingo Token, а криптовалютные инвесторы нуждаются в дополнительном просвещении относительно рисков.
«Мы рекомендуем пользователям использовать только известные биржи и покупать известные токены, за которыми стоит несколько транзакций» - говорит он. «Мы считаем, что в ближайшем будущем пользователям будет доступно больше превентивных решений для борьбы с этими киберугрозами».
Создатели токена Dingo не ответили на просьбу о комментарии, отправленную на их контактный адрес электронной почты к моменту публикации. Check Point считает, что создатели исчезли, но на их месте, скорее всего, появятся новые мошенники.
«Пользователям важно быть осторожными с токенами, которые они покупают» - заявила компания в анализе, добавив, что «криптовалюта - это волатильный рынок. Мошенники всегда найдут новые способы украсть ваши деньги с помощью криптовалюты, и постоянно появляются новые формы криптовалют».
Источник: https://www.darkreading.com
