Rug-Pull: как легко обнаружить мошенничество с помощью кодов смарт-контрактов

Rug-Pull: как легко обнаружить мошенничество с помощью кодов смарт-контрактов

20 апреля 2022 г.

Rug pulls — это прибыльное мошенничество, при котором разработчики создают новые крипто-токены и продают их инвесторам, чтобы повысить их стоимость и общую ликвидность. Затем они истощают пул финансирования и сводят стоимость токена к нулю, прежде чем, наконец, раствориться в воздухе и исчезнуть вместе с наличными. По данным системы отслеживания данных Blockchain, Chainalaysis, в 2021 году мошенничество с ковриками привело к незаконной деятельности на сумму более 2,8 миллиарда долларов США, что близко к рекордному максимуму и на 81 процент больше, чем в 2020 году.


Токен SQUID, например, достиг пиковой стоимости в 2850 долларов, а затем упал более чем на 99,99%, когда разработчики выдернули ковер, что сделало его бесполезным, а разработчики получили миллионы долларов.


Как это было сделано? Разработчики манипулировали и заблокировали код смарт-контракта, чтобы инвесторы не могли обменивать или продавать свои токены после того, как они достигли пика прибыли.


В Cryptoverse коды смарт-контрактов являются основой криптопроектов: крипто, DeFi, dApps или NFT. Эти коды представляют собой автоматизированные самоисполняющиеся цифровые соглашения и строки кодов, которые в основном написаны на Solidity или других языках программирования. Это позволяет пользователям беспрепятственно взаимодействовать с другими пользователями и платформами удаленно, исключая посредников или централизованные учреждения.


Мы часто слышим DYOR (Проведите собственное исследование) в отношении любого криптопроекта, прежде чем вложить в него хоть копейку. Тем не менее, вопреки совету многих, что первым шагом к DYOR является просмотр технического документа, чтение кодов смарт-контрактов — это первый шаг к DYOR. Технический документ, если им занимается профессионал или мастер слова, может отвлечь ваше внимание и заманить вас к инвестированию, не задумываясь.


Неспособность читать смарт-контракты — распространенный вектор мошенничества; таким образом, умение их читать является обязательным навыком для всех, кто заинтересован в инвестировании в криптопроекты. Поскольку смарт-контракты очень важны в экосистеме, знание того, как понимать их данные, является обязательным умением для всех, кто их использует.


Почему понимание смарт-контрактов является ключом к безопасности?


Согласно [Ledger] (https://www.ledger.com/academy/how-to-read-smart-contract-data), [Этот твит] (https://twitter.com/thomasg_eth/status/1492663192404779013) из thomas.eg 13 февраля 2022 года — отличный пример того, почему способность читать смарт-контракты так важна. Здесь два мошенника подражали основателям популярной игры Space Falcon, основанной на Солане, и подарили жертве два NFT, которые он мог поставить, чтобы заработать вознаграждение.


Единственная загвоздка заключалась в том, что это был не настоящий Space Falcon, и рассматриваемый смарт-контракт фактически позволял мошенникам сливать 100% средств из кошелька, как только владелец кошелька одобрял транзакцию. К счастью, потенциальный клиент провел комплексную проверку и прочитал смарт-контракт (благодаря прозрачности!), чтобы понять, что на самом деле это был «мошеннический контракт». Вы можете думать о смарт-контрактах как о T и C транзакций криптовалюты. Они выходят за рамки ажиотажа и FOMO, чтобы дать вам точную информацию о том, что именно представляет собой проект, кому он принадлежит и на что вы соглашаетесь.


И вам не нужно быть программистом или проходить долгие часы курсов Solidity, чтобы понять, как читать смарт-контракты большинства этих криптопроектов. Найдите время, чтобы прочитать [твит] (https://twitter.com/thomasg_eth/status/1492663192404779013), если вы еще этого не сделали.


Прежде чем вкладывать деньги в какой-либо криптопроект, найдите время, чтобы изучить код смарт-контракта проекта. Как вы это делаете?


Обычный проект по вытягиванию коврика почти наверняка будет включать это в свой код смарт-контракта:


функция миграции () общедоступная {


требуют(msg.sender == ceoAddress, "unauthorized");


ceoAddress.transfer (адрес (это). баланс);


Остерегайтесь следующих красных флажков: Сверху эта функция позволяет ceoAddress (владельцу контракта) перемещать средства из контракта на его адрес.


  • Тем не менее, его не обязательно вызывать =="==function migrate=="==; они могут назвать это как угодно, но важно то, что находится внутри «Функции»! Наблюдайте четко!

Скорее всего, это вытягивание коврика, если «функция» при вызове позволяет владельцу контракта или любому конкретному адресу вывести все средства из контракта.


  • Если звонит "ceoAddress", весь баланс контракта переводится на "ceoAddress". Также обратите внимание, что его не обязательно называть «ceoAddress». Киберпреступники или разработчики мошеннического проекта могут называть это как угодно.

  • Еще один важный фактор, на который не стоит обманываться, — это статус контракта «подтвержденный». Контракт, который был «подтвержден», отличается от того, который прошел аудит! Не обманывайтесь. «Подтверждено» означает, что выходные данные развернутого контракта в формате JSON соответствуют ABI контракта в блокчейне! Короче говоря, это не означает, что контракт безопасен!!!

  • Аудит обычно означает, что сторонняя уважаемая организация потратила время и усилия, чтобы убедиться, что ==контракт не содержит ошибок и не содержит скрытых кодов==. Даже если контракт прошел «аудит», неплохо перепроверить легитимность «аудиторской» организации.

И наконец, существует множество различных способов изменить код смарт-контракта разработчиками, чтобы обмануть невинных инвесторов. Тем не менее, это наиболее очевидный и наиболее часто используемый метод. Это руководство должно помочь вам избежать вопиющих дневных мошенничеств, происходящих каждый день в криптомире.


Оставайтесь в безопасности и оставайтесь под защитой.


Приятного чтения!



Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE