Le configurazioni errate nei contratti intelligenti vengono sfruttate dai truffatori per creare token di criptovaluta dannosi con l’obiettivo di rubare fondi da utenti ignari.
I casi di frode nell’universo dei token sono sempre più frequenti e includono il nascondere le funzioni di commissione del 99%, unitamente alle “routine backdoor“.
Gli smart contract sono programmi archiviati sulla blockchain che vengono eseguiti automaticamente quando vengono soddisfatte condizioni predeterminate in base ai termini di un contratto o di un accordo. Consentono di effettuare transazioni e accordi affidabili tra parti anonime senza la necessità di un’autorità centrale.
Esaminando il codice sorgente di Solidity utilizzato per l’implementazione di contratti intelligenti, una società di sicurezza informatica israeliana ha scoperto istanze di tariffe nascoste e codificate che non possono essere modificate, che hanno scopo di consentire al contempo ad attori malintenzionati di esercitare il controllo su “chi è autorizzato a vendere“.
In un altro caso, un contratto legittimo chiamato Levyathan è stato violato dopo che i suoi sviluppatori hanno inavvertitamente caricato la chiave privata del portafoglio nel loro repository GitHub, consentendo allo sfruttatore di coniare un numero infinito di token e rubare fondi dal contratto nel luglio 2021.
Un rug pull è un tipo di truffa che si verifica quando i creatori incassano i soldi degli investitori e abbandonano il progetto dopo che un’enorme quantità è stata assegnata a quello che sembra essere un legittimo progetto crittografico.
Infine, gli scarsi controlli di accesso messi in atto dai manutentori della rete Zenon hanno consentito a un utente malintenzionato di abusare della funzione di masterizzazione non protetta all’interno dello smart contract per aumentare il prezzo della moneta e drenare fondi fino a 814.570 dollari nel novembre 2021.
Sono state osservate campagne di attacchi informatici che sfruttano schemi di phishing basati su esche che circondano token crittografici di prossima pubblicazione (anche se falsi) ed incucono le vittime a pagarli con la propria criptovaluta.
In uno sviluppo correlato, le società di sicurezza blockchain Elliptic e PeckShield hanno rivelato i dettagli di un difetto, ad oggi ancora irrisolto, nel mercato NFT OpenSea che viene sfruttato da parti senza scrupoli per acquistare preziosi token non fungibili (NFT) a un prezzo molto inferiore rispetto al loro valore di mercato per poi rivenderli con un profitto maggiore.
