Transférer le titre original : Révélation des escroqueries pot de miel

Plongez dans le code des jetons et sécurisez la sécurité de Web3

Préface

Si vous êtes un utilisateur de plateformes décentralisées, le concept d'une arnaque au "pot de miel" ne vous sera pas étranger. Même si vous n'avez jamais entendu ce terme auparavant, vous avez probablement rencontré de telles activités frauduleuses.

« Pot de miel » est en fait une analogie qui fait référence à attirer délibérément les autres dans un piège. Dans le cas des jetons Pot de miel, diverses illusions (telles qu'une liquidité extrêmement élevée et des augmentations de prix) sont créées pour inciter les investisseurs à acheter les jetons. Cependant, une fois qu'ils ont effectué l'achat, ils réalisent qu'en raison du déploiement de code malveillant dans le contrat, ils ne peuvent pas du tout vendre ces jetons. C'est l'arnaque du Pot de miel.

Dans le but d'exploiter leurs utilisateurs, les schémas de pot de miel mettent souvent à jour en continu et itèrent le code de contrat. Ils utilisent une logique de mise en œuvre de plus en plus complexe pour masquer leurs véritables motivations, cherchant soit à éviter la vigilance des mécanismes de sécurité, soit à augmenter la complexité analytique pour les experts en sécurité.

Caractéristiques des attaques d'escroquerie au pot de miel

Les données de GoPlus révèlent que le nombre total de jetons Pot de Miel sur le marché de la crypto a connu une augmentation substantielle en 2022, avec 64 661 jetons Pot de Miel nouvellement introduits. Cela marque une croissance impressionnante de 83,39% par rapport à la même période en 2021. Parmi ceux-ci, 92,8% des jetons Pot de Miel ont été créés sur la chaîne BNB, tandis que 6,6% viennent d'Ethereum. Ces deux blockchains se distinguent également comme faisant partie des réseaux les plus actifs et peuplés en termes de jetons.

L'un des facteurs contributifs à la forte hausse des jetons Honeypot peut être attribué à l'impact de l'incident FTX fin 2022. Un nombre significatif d'utilisateurs ont transféré leurs actifs numériques des bourses centralisées vers des portefeuilles décentralisés, entraînant une hausse des utilisateurs actifs on-chain. Par conséquent, les attaquants sont également devenus plus actifs. Selon les données, en seulement une semaine après l'incident FTX, plus de 120 nouvelles méthodes d'attaque Honeypot ont émergé, marquant une augmentation six fois plus élevée de la fréquence des attaques.

Au-delà de l'augmentation absolue des chiffres, les caractéristiques des jetons pot de miel sont devenues plus diverses et complexes. En analysant les données de sécurité de l'année dernière, GoPlus a observé que les attaques de jetons pot de miel ont évolué pour devenir de plus en plus difficiles à détecter et plus furtives. En général, ils présentent les caractéristiques clés suivantes:

1. Obscurcissement du code : En réduisant la lisibilité du code, en introduisant une logique non pertinente ou en confuse les relations d'invocation, les attaquants créent une logique d'implémentation complexe pour augmenter la difficulté d'analyse pour les moteurs de sécurité.
2. Forge de contrats bien connus: Ces types de contrats d'attaque imitent des contrats de projet réputés en utilisant des noms de contrat faux et en mettant en œuvre des processus, trompant le moteur et augmentant ainsi la probabilité d'identifier incorrectement les risques.
3. Employer des mécanismes de déclenchement cachés: Ces contrats d'attaque enfouissent des conditions de déclenchement profondément, les cachant souvent dans les comportements de transaction des utilisateurs. Ils peuvent également utiliser une manipulation complexe du comportement de transaction, telle que l'imbrication de plusieurs couches de vérifications conditionnelles avant d'invoquer des actions telles que l'arrêt des transactions, l'inflation de l'offre ou le transfert d'actifs. Cela permet la modification en temps réel des états de contrat et facilite le vol des actifs des utilisateurs.
4. Falsification des données de transaction : Pour rendre les transactions plus authentiques, les attaquants peuvent déclencher de manière aléatoire des actions telles que des largages aériens ou des opérations de blanchiment. Cela sert un double objectif : attirer plus d'utilisateurs et rendre le comportement de la transaction plus naturel.

Analyse de cas

Ce jeton est émis sur l'ETH Mainnet, avec l'adresse du contrat :0x43571a39f5f7799607075883d9ccD10427AF69Be.

Après avoir analysé le code du contrat, on peut observer que ce contrat tente de mettre en œuvre un mécanisme de "liste noire de transfert" pour les adresses de compte des détenteurs. Si l'adresse de transfert figure sur la liste noire, la transaction de transfert échouera. Il s'agit d'un mécanisme de jeton Honeypot typique qui empêche finalement les détenteurs de vendre leurs actifs.

Cependant, pour la majorité des utilisateurs, ils peuvent ne pas avoir la capacité de lire et d'analyser le code, ce qui rend difficile l'identification de ces risques de sécurité par le biais d'un audit de code. Cet article liste les outils principaux disponibles sur le marché pour analyser les risques de fraude dans les contrats intelligents EVM. Si vous souhaitez évaluer le risque de fraude associé aux contrats intelligents déjà déployés, vous pouvez utiliser les outils suivants, l'adresse du contrat mentionnée ci-dessus servant d'illustration :

Sécurité GoPlus

1. Ouvrez le site Web GoPlus et sélectionnez le réseau blockchain, tel que le réseau Ethereum Mainnet ou d'autres réseaux Layer2.

1. Entrez l'adresse du contrat que vous souhaitez consulter, et cliquez sur le bouton "Vérifier" pour obtenir des informations sur les risques liés au contrat. Le résultat de la requête indique qu'un avertissement de risque est répertorié sous "Risque de pot de miel", ce qui indique que le contrat a une liste noire de transferts en place.

Token Sniffer

1. Ouvrez Token Sniffer, saisissez l'adresse du contrat que vous souhaitez interroger, et sélectionnez le contrat correspondant parmi les résultats de la recherche.

1. Par la suite, le résultat de la requête de risque est affiché. Nous pouvons voir que dans la section "Analyse d'échange", ce contrat n'a pas passé ce test, ce qui indique que le contrat lui-même porte un risque de pot de miel.

En utilisant les outils d'analyse susmentionnés, les utilisateurs peuvent rapidement identifier les risques de fraude dans les contrats intelligents et analyser les dangers. Une fois que le risque de pot de miel est détecté, il est fortement recommandé de s'abstenir de participer afin d'éviter de tomber dans les pièges de contrats de cette nature.

Conclusion

À mesure que les pirates informatiques perfectionnent constamment leurs stratégies d'attaque, la défense de la sécurité devient une tâche de plus en plus difficile. En tant qu'utilisateurs de la blockchain, lorsque nous sommes confrontés à des escroqueries au pot de miel, nous devons prêter attention aux points suivants :

• Il est crucial de comprendre parfaitement la vraie nature des jetons, y compris leur liquidité, les tendances des prix, et plus encore avant d'acheter des jetons.
• Examinez attentivement le code du contrat de jeton pour vérifier la présence de code malveillant ou d'anomalies. Si vous n'avez pas les compétences en codage, vous pouvez utiliser des outils ou visiter des sites Web de marché réputés pour évaluer le risque associé au contrat de jeton.
• Ne faites pas confiance facilement aux soi-disant largages aériens ou aux schémas de "pompage et de vidage", car ils font souvent partie des escroqueries.
• Évitez d'acheter des jetons sur des échanges ou des portefeuilles inconnus ; optez plutôt pour des échanges ou des portefeuilles réputés.

L’apprentissage de la sécurité des cryptomonnaies doit rester un processus continu. Ce n’est qu’ainsi que l’on pourra relever efficacement les défis posés par les risques de sécurité émergents et en constante évolution.

Avis de non-responsabilité :

1. Cet article est repris de [ Moyen]. Tous les droits d'auteur appartiennent à l'auteur original [Sécurité GoPlus]. Si des objections sont formulées à cette reproduction, veuillez contacter le Gate Apprendrel'équipe, et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent pas un conseil en investissement.
3. L'équipe de Gate Learn a traduit l'article dans d'autres langues. La copie, la distribution ou le plagiat des articles traduits est interdit sauf mention contraire.