گزارشها حاکی از آن است که کلاهبرداران به روشی جدید برای تخلیه ارزهای دیجیتال کاربران سولانا، این بار، با سوزاندن توکنهای کاربران، تنها چند ثانیه پس از خرید، دست یافتهاند.
به گزارش میهن بلاکچین، به گفته اسلورگ (Slorg)، یکی از اعضای «Core Working Group» جوپیتر (Jupiter)، کلاهبرداران شروع به استفاده از یک افزونه داخلی توکن سولانا کردهاند تا به طور مخفیانه داراییهای رمزارزی هدف را حذف کنند.
سواستفادهکنندگان از نمایندگی دائم
اسلورگ در تاریخ ۳ سپتامبر (۱۳ شهریور ) در پستی در شبکه اجتماعی X نوشت:
تصور کنید که شما یک توکن را سواپ میکنید و تاریخچه کیف پول تأیید میکند که آن را دریافت کردهاید. اما وقتی داخل کیف پول خود را نگاه میکنید، چیزی نمایش داده نمیشود.
او اضافه کرد:
زمان میگذرد و توکنی نمیبینید، بنابراین به جستجو میپردازید و با کسی که ممکن است بداند چه اتفاقی افتاده تماس میگیرید. این اتفاق ۴ روز پیش برای یکی از اعضای جامعه جوپیتر افتاد.
مشخص شد که این کاربر یک توکن به نام «RED» را سواپ کرده که دارای یک افزونه به نام «نمایندگی دائم (Permanent Delegate)» بوده است. این افزونه به کلاهبرداران اجازه میداد تا تمام توکنهای معامله شده را تنها هفت ثانیه پس از تکمیل معامله بسوزانند.
پکشیلد (PeckShield) توضیح داد:
نمایندگی دائم یک ویژگی افزونهای در استاندارد توکن ۲۰۲۲ سولانا است.
وبسایت رسمی سولانا نمایندگی دائم را به عنوان یک عملکرد معرفی میکند که مجوزهای نمایندگی شده نامحدود بر تمام حسابهای توکن برای نسخه مینت شده را ارائه میدهد، به گونهای که میتوان بدون محدودیت توکنها را سوزاند یا انتقال داد.
این عملکرد برای موارد استفاده مناسب، مانند بازیابی توکنهایی که به اشتباه منتقل شدهاند، استفاده در توکنهایی با دسترسی قابل فسخ یا تطابق با تحریمها طراحی شده است. همچنین میتواند برای پرداختها و بازپرداختهای خودکار استفاده شود.
با این حال، حتی سولانا نیز اذعان دارد که این ویژگی یک «شمشیر دو لبه» است و میتواند مورد سوءاستفاده قرار گیرد.
چرا کلاهبرداران توکنهای قربانی را میسوزانند؟
اسلورگ اظهار داشت که ممکن است چندین دلیل برای سوزاندن توکنها توسط کلاهبرداران وجود داشته باشد.
وی گفت:
دلیل اول ایجاد هرج و مرج عمومی است. گاهی اوقات کلاهبرداران فقط میخواهند نابودی و آشفتگی ایجاد کنند. چیزی مانند ترکیبی از یک شوخی و دشنام.
دلیل دوم، کاهش توکن در گردش است. اگر کسی نتواند بفروشد، قیمت کاهش نخواهد یافت. بسیاری از اوقات کلاهبرداران بیشتر موجودی اولیه را اسنایپ میکنند و نکته اینجاست که آنها به ۵۰ دلار سود هم راضی میشوند.
اسلورگ افزود:
من یک کلاهبردار را در نوامبر گذشته قبل از راهاندازی پامپفان (Pump.Fun) مشاهده کردم که توکنها را یکی پس از دیگری راهاندازی میکرد و هر بار تنها ۵۰ تا ۱۰۰ دلار درآمد داشت، اما در روز ۵۰ توکن میفروخت و در هفته هزاران دلار درآمد کسب میکرد.
احتمالاً این یک استراتژی بسیار کارآمد نیست، اما آنها به وضوح در حال آزمایش هستند.
ارائهدهندگان خدمات امنیت بلاکچین مانند بیوسین (Beosin) و پکشیلد نیز نظریات مشابهی را مطرح کردند.
پکشیلد گمان میکند که کلاهبرداران در تلاشند تا توکنومیک ارز دیجیتال را تحت تأثیر قرار دهند، زیرا این ویژگی «اساساً اجازه میدهد تا عرضه در گردش توکنهای مربوطه دستکاری شود».
در همین حال، بیوسین معتقد است که کلاهبردار ممکن است از این ویژگی برای فریب کاربران به این باور استفاده کند که تعداد توکنهای مینت شده ثابت مانده است، در حالی که در واقع توکنهای کاربران را از بین برده است.
به عنوان مثال، ممکن است توکنهای شخص دیگری را بسوزاند تا قیمت توکن را بالا ببرد و از برخی پروتکلهای دیفای که به این توکن مرتبط هستند سود ببرد.
اسلورگ اشاره کرد که جوپیتر و راگچک (RugCheck) از جمله نهادهایی هستند که شاخصهایی را برای فعال بودن این افزونه ایجاد کردهاند.
او تأکید کرد:
صرفنظر از این، انجام دقت روی هر توکن ضروری است. همیشه یک روال ثابت داشته باشید که از آن منحرف نشوید و هنگام انجام سواپ تمام متنها را به دقت بخوانید.
در غیر این صورت، ممکن است انجام ندادن این اقدامات، روزی برایتان هزینه داشته باشد؛ به ویژه هنگامی که قابلیتهای جدید توکنها توسعه پیدا میکنند.
اسلورگ اضافه کرد که افراد دیگری نیز اخیراً گزارش دادهاند قربانی یک کلاهبرداری مشابه شدهاند.
