Uma pesquisa realizada pela Check Point Research (CPR) revelou que hackers estão se aproveitando de erros de configuração em contratos inteligentes para aplicar golpes conhecidos como “rug pull”.
Os contratos inteligentes (ou “smart contracts”, em inglês) são contratos digitais autoexecutáveis, criados com a popularização das criptomoedas, que buscam garantir que os acordos serão cumpridos, de forma a oferecer uma maior segurança em transações online.
Já o “rug pull” ocorre quando desenvolvedores de um projeto de criptomoeda ou de um ativo virtual manipulam o valor percebido de um token e depois abandonam o projeto, roubando os fundos fornecidos pelos investidores.
O ano de 2021 registrou um recorde de roubos e fraudes envolvendo criptomoedas. Estima-se que hackers conseguiram roubar um total de US$ 14 bilhões em moedas virtuais e os estudos indicam que os golpes envolvendo ativos digitais continuam em ascensão.
De acordo com a CPR, o alvo mais recente dos cibercriminosos são contratos inteligentes, com erros de configuração, que são utilizados para lançar novos tokens e, posteriormente, resultar em um “rug pull”.
Técnicas fraudulentas
Um exemplo recente desse tipo de golpe ocorreu com o token SQUID, que chegou a atingir o valor de US$ 2.850. Assim que os hackers aplicaram seu golpe, impedindo que os traders vendessem, a moeda caiu cerca de 99,99%, chegando a um valor quase inexistente enquanto os desenvolvedores lucraram milhões.
Para evitar um “rug pull”, existem alguns indicadores que podem revelar uma potencial tentativa de golpe. Isso inclui taxas de compra de 99% e mecanismos que impossibilitam que os investidores revendam.
A CPR ainda alerta que falhas no código de contratos inteligentes e vulnerabilidades também podem ser exploradas por cibercriminosos para aumentar o risco de um projeto perder o dinheiro de investidores.
As táticas utilizadas em golpes “rug pull” são diversas e incluem a utilização de serviços fraudulentos para criar contratos inteligentes, que acabam por ganhar um novo nome e símbolo antes de se tornarem públicos.
Funções ocultas
As redes sociais também fazem parte da estratégia, sendo utilizadas para tornar um token popular, assim como aumentar o seu valor percebido, preparando o cenário para que os hackers apliquem o golpe final.
Geralmente, nesses casos, também não é imposto um “timelock”, que impede que as criptomoedas sejam gastas até um determinado momento. Segundo os pesquisadores da CPR, os timelocks são utilizados para atrasar ações administrativas, sendo considerados um forte indicador de que o projeto é legítimo.
Outra técnica frequentemente utilizada em “rug pulls” é a imposição de taxas de compra e venda. Em um dos contratos analisados pela CPR, os pesquisadores descobriram duas funções similares: “approve” e “aprove”.
Enquanto a primeira é uma função legítima e utilizada por padrão em contratos, a segunda estava oculta e havia sido desenvolvida para permitir que os cibercriminosos estabelecessem uma taxa de 99% após o lançamento do projeto.
Uma função oculta que também costuma ser utilizada em golpes permite que os desenvolvedores criem mais moedas ou controlem quem pode vender os tokens. Ao analisar o código-fonte de um contrato inteligente, a CPR descobriu uma função que impedia a revenda por traders, da mesma forma que ocorreu com o SQUID.