Un supposé airdrop s’avère être une fraude crypto de contrat intelligent

Les investisseurs d’une nouvelle cryptomonnaie appelée $YEAR ont été vicctimes d’une escroquerie appelée “honeypot“, selon le tweet de @cat5749. En résumé, un créateur de tokens utilisait un site Web appelé EtherWrapped, qui se connectait à un portefeuille Metamask. L’individu ou le groupe d’individus attribuait des récompenses en tokens crypto $YEAR aux utilisateurs en fonction de leurs transactions en ETH au cours de l’année 2021.

Sur Ethereum, tout est géré par le biais de contrats intelligents, ou “smart contracts” qui fonctionnent sur la machine virtuelle Ethereum. Ces smart contracts peuvent être consultés librement grâce à Etherscan. Pour créer un nouveau token, une entité doit créer un nouveau contrat intelligent dans un langage d’application décentralisé appelé Solidity et le déployer sur la machine virtuelle Ethereum. Initialement, lorsque le contrat est téléchargé, il s’agit d’un contrat “non vérifié”.

Dans le cas de cette fraude, le contrat intelligent a été vérifié lorsque les membres de la communauté Ethereum l’ont réclamé. Par le biais de cette vérification, le contrat est devenu public. Cela signifie que le code du contrat intelligent était ouvert à l’examen.

Un piège visible aux yeux de tous

Un nouveau cas d’exploitation de failles consiste, pour des entités malveillantes, à créer des contrats intelligents apparemment inoffensifs, comme des pièges visibles par tous, mais indétectables. Ces derniers sont imperméables aux inspections de code, car il n’y a souvent aucun signe évident que le propriétaire du contrat intelligent a l’intention de s’engager dans une activité malveillante.

Dans le cas du token et du contrat intelligent $YEAR, un utilisateur de Twitter nommé @cat5749 ainsi que d’autres personnes ont examiné ce smart contract à la recherche de pièges apparents dans le code. Ils n’ont rien trouvé de suspect. Ils ont seulement trouvé une fonction appelée “_burnMechanism” qui était censée échouer en cas de tentative de contact avec le propriétaire du contrat. Cette fonction n’a pas déclenché de signaux d’alarme évidents, mais elle s’est avérée utile pour diagnostiquer le déroulement de l’attaque.

Révocation de propriété pour faire “crasher” le cours de la nouvelle crypto

Le propriétaire a ainsi révoqué la propriété du contrat, et a fait de son nouveau propriétaire l’exchange crypto décentralisée, UniSwap V2. Cela signifie que seuls les achats peuvent être effectués auprès d’UniSwap V2, mais que rien ne peut être vendu à l’exchange. Le propriétaire du contrat intelligent devenait alors le seul vendeur, ce qui entraînait une augmentation du prix du token $YEAR. Lorsque les utilisateurs ont vu le cours augmenter, la FOMO [ou peur de passer à côté d’une opportunité] les a incités à acheter.

Lorsqu’un nouveau token est créé, le créateur doit mettre au point un moyen pour les utilisateurs de l’acheter et le vendre. Cela signifie parfois que le créateur place un token de valeur tel que l’ETH et son nouveau token dans un pool d’échange. Les acheteurs du nouveau token devront fournir le jeton de valeur pour obtenir le nouveau token. Il peut arriver que le créateur retire son token de valeur initial ainsi que le nouveau jeton. En raison du mode de fonctionnement des teneurs de marché automatisés tels qu’Uniswap, le nombre de tokens de valeur retirés sera supérieur à celui des tokens sans valeur.

Le créateur a alors retiré des liquidités d’UniSwap V2, dont plus de 30 ETH, et a provoqué le crash du nouveau token, laissant derrière lui des investisseurs très mécontents.

Les meilleures plateformes de cryptos | Mai 2024

Exodus Explorer →

SunContract Explorer →

BYDFi Explorer →

Coinrule Explorer →

De.Fi Explorer →