Rug-pulls i Honeypots to klasyka bezpieczeństwa Web3 i mimo, że współczesna produkcja smartkontraktowych coinów, a szczególnie memecoinów jest właściwie zabawą i z definicji zabezpiecza inwestujących, to wciąż można natknąć się na prywatne przedsprzedaże z masowa reklamą skierowane do mało zorientowanych osób (pialiśmy o tym tu: Ostrzeżenie o Pepe Unchained, Flockerz, Crypto All-Stars). Oba te rodzaje oszustw stosowane są osobno lub w parze i dotyczą z reguły nowych, nieznanych jeszcze szerzej monet wprowadzanych dopiero do danego blockchain. Ponieważ istnieje w historii kilka udokumentowanych wzrostów wartości coinów, to nie brakuje chętnych na szybkie wzbogacenie się.
Rug-pull
Atak przeprowadzany po osiągnięciu przez dany coin statusu wymienialności na zdecentralizowanej giełdzie typu AMM, gdzie automatyczne mechanizmy pozwalają sterować ceną waluty, obsługiwać transakcje kupna i sprzedaży bez innych kupujących oraz sprzedających. Giełdy AMM (inaczej nazywane zdecentralizowanymi giełdami – DEX) bazują na pulach płynności, czyli określonej dla danej pary ilości środków umożliwiających wymianę. Gdy środki w danej parze wymiany się kończą , cena automatycznie rośnie lub spada, kiedy sprzedajesz swoją walutę, np. $WTOR, to gdy znajdujesz dużo kupców w parze z kryptodolarem $WTOR/$USDT, to pula w dolarach powiększa się. Oszust czeka na wzrost popularności waluty, dużą ilość $USDT w puli, które może wykorzystać jak chce i… likwiduje ją wycofując środki na prywatne konto. Ponieważ do każdej puli potrzebny jest założyciel, który dostarcza inicjalnych środków, dostaje też opcję zlikwidowania puli i może ją wykorzystać.
Popularne i rozpowszechnione kryptowaluty są obecne na wielu giełdach CEX i DEX, a środki w pulach są dostarczane przez specjalizowane waluty do tego powołane. Oszustwo typu rug-pull jest spotykane w nowych walutach, w ramach procesu ich wprowadzania na rynek nazywanego klasycznie ICO (Initial Coin Offering) lub współcześnie IDO (Initial DEX Offering). Klasyczny proces ICO wymagał często sporej opłaty dla scentralizowanej giełdy CEX, aby wprowadziła nowego coina do handlu. W procesie IDO nie ma scentralizowanej giełdy, ale jest właściciel puli zdecentralizowanej, co czyni rozwiązanie podatnym na oszustwo. Jednak jest to nieuniknione, skuteczne wprowadzenie nowej kryptowaluty wymaga ustalenia wstępnej puli płynności, bo pieniądz którego nie da się wymienić, nie ma sensu. Współczesne platformy wspomagające emisję tokenów (launchpad), jak PinkSale oferują możliwość założenia blokady puli wymienialności przez zaufaną trzecią stronę (np. PinkLock). Najnowsze platformy startowe dla memcoin-ów (PinkMeme, PumpFun) automatycznie zakładają na DEX pule ze środków uzyskanych w procesie wstępnej sprzedaży.
Honeypot
Wyobraź sobie garnek miodu, do którego nie możesz się dostać. Oszuści sprzedają ci miód, ale nie pozwolą z niego skorzystać. Jak to przekłada się na świat kryptowalut? Nowe tokeny w łańcuchach ze wsparciem programowalnych kontraktów może założyć każdy, aczkolwiek opłata transakcyjna za taką operację jest całkiem spora, szczególnie w najbardziej obciążonej sieci – Ethereum. Osoba która wprowadza nowy token do łańcucha bloków, musi przygotować specjalny program, który zapewni algorytmy dla transferu, odczytywania balansu czy nawet pobrania symbolu tokena. Dzięki użyciu języka programowania (np. Solidity) , programista ma spore możliwości zaprogramowania dodatkowych funkcjonalności, np. wprowadzenia czarnej lub białej listy adresów, które określają gdzie mogą być transferowane środki. Co więcej, dzięki wykorzystaniu tzw. mechanizmu Proxy, właściciel smartkontraktu może zmienić jego zachowanie w przyszłości. Możliwości te można wykorzystać w zły sposób, na przykład ustawiając blokadę transferów na określonych warunkach. Przykładowe złośliwe wstawki w kodzie smartkontraktu można zobaczyć na tej stronie. Inwencja oszustów jest olbrzymia i można spodziewać się nowych wynalazków.
Jeżeli moneta znajduje się w obrocie, to można zweryfikować transakcje wykonywane na niej. Jeżeli wyglądają jak poniżej, to raczej wszystko jest w porządku – transfery pomiędzy różnymi portfelami oraz giełda DEX. Czasem oszuści mogą korzystać z wielu portfeli i symulować ruch transakcyjny. Wymaga to jednak sporego zaangażowania i czasu.
Innym środkiem zapobiegawczym może być analiza kodu smartkontraktu, sprawdzenie zawartości kodu dla metody _transfer jak poniżej, wygląda standardowo. Nie można jednak od każdego wymagać znajomości programowania, a programiści z łatwością mogą zaciemnić kod tak, że będzie bardzo trudny do przeanalizowania. Jeżeli kod nie zawiera Proxy, to taka analiza daje prawie 100% gwarancję uniknięcia pułapki Honeypots. Duzi inwestorzy powinni zainwestować w audyt niezależnej firmy – tutaj jest trochę linków w tym temacie.
Dla mniejszych inwestorów najprostszym sposobem weryfikacji smartkontraktu wydaje się użycie gotowych narzędzi jak: https://tokensniffer.com
lub https://check.quillai.network
Wynik nie musi być w 100% skuteczny, bo smartkontrakt może być napisany w sposób specjalnie je oszukujący. Nie oznacza to jednak, że należy pomijać te serwisy w procesie weryfikacji, wręcz przeciwnie.
Wysoce bezpieczne wydaje się inwestowanie w tokeny z uznanych platform startowych – tzw. launchpads, jak PinkSale. Oferowane tu nowe tokeny oparte są o stałe wzory smartkontraktów i wielokrotnie wcześniej zweryfikowane. Warto jednak poszukać aktualnych opinii o danym serwisie przed zainwestowaniem większych kwot.
Najsłynniejsze oszustwo
Najbardziej znany przypadek oszustwa „rug pull” to tzw. „2021 Squid Game cryptocurrency scam”. Przypadek wyjścia z oferty inicjalnej przez autorów z 3,3 miliona dolarów USA w kieszeni po wzroście wartości waluty o o 86000%, opisany w WikiPedii, opisywany w 2021 roku przez największe światowe media: BBC czy CNN. Był to rok ogromnej popularności koreańskego serialu „Squid Game”, do którego sławy podpięli się nieznani twórcy tokena, który rzekomo miał być związany z grą online bazującą na jego fabule. Jak donoszą źródła z tego okresu, tokena nie można było sprzedać, wskazuje to na to, że w istocie było to oszustwo „honeypot”. Token w ciągu tygodnia podniósł cenę z $0.01235 do $2,861, co zaczęło być opisywane w mediach i dodatkowo nakręcało inwestorów.
Oszustwa typu „rug-pull” i „honeypot” to klasyka pionierskiego okresu ICO, czyli wydawania własnych tokenów z mapa drogową i często niezwykle rozbudowaną historią i obietnicą stworzenia jakiejś gry. Inwestorzy poszukują jednak takich aktywów licząc się z dużym ryzykiem. Po okresie ICO, nastąpiła era tokenów NFT, która ustąpiła masowej produkcji memecoinów na launchpadach przeznaczonych dla blockchain Solana. Dzięki niskim opłatom transakcyjnym w tej sieci, można produkować tyle różnych memecoins ile się podoba, a wszyscy czekają na tego jednego, który wystrzeli „na Księżyc”, bo będzie miał „to coś”. Ale właściwie to nie inwestorzy czekają, tylko boty snajperskie, ale to już inna opowieść…
Dodaj komentarz