Mientras realizaba una investigación en cadena anoche, nuestro equipo estaba experimentando con varias estrategias que involucraban transacciones de Ethereum de primera línea. Durante este proceso, un vector de ataque único apareció en nuestro radar. Mientras ejecutaba un bot de prueba que estaba evaluando comparativamente en algunos grupos de Uniswap, nuestro bot compró por error un grupo creado hace unos momentos.
Era un grupo que intentaba falsificar una venta de tokens en Uniswap de una campaña de venta de tokens existente. Los atacantes habían intentado imitar el token CFI, usando un token Fake-CFI. Crearon una serie de contratos de fichas de señuelo; aquí hay un ejemplo:
https://etherscan.io/token/0xbad7560220d89d39da1403eb854e2db2f27f9f30
Este contrato imita el estándar ERC-20, pero la función de transferencia se limita a una válvula unidireccional. Puede comprar los tokens de Uniswap, pero no puede venderlos más tarde.
La función multiaddress es la única función para establecer direcciones permitidas. Las direcciones permitidas se llaman multiaddress en el código y solo el propietario del contrato puede establecer nuevas direcciones permitidas.
Aquí hay un ejemplo de una transacción de aprobación que permite que las direcciones seleccionadas transfieran tokens:
https://etherscan.io/tx/0x7aafa34cf47c9f0bacc5d325e00008d488bb10092f589b50bd89d557d81cc49e
Se realiza mediante la multiaddress llamada a la función.
Aproximadamente 164 direcciones han comprado este token hasta la fecha y han sido estafadas. Se han causado al menos 25 ETH de daño con un solo contrato, y quedan muchos más contratos que usan el mismo nombre y código.
Este es un ejemplo de un token trampa, que imita a ERC-20 u otro estándar pero no abarca su funcionalidad completa. Dichos tokens trampa son un peligro real para los comerciantes automatizados en Ethereum. Todos los que compraron estos tokens trampa o proporcionaron liquidez al grupo Uniswap de tokens trampa perdieron su ETH.
Para una estrategia comercial automatizada, es difícil distinguir entre un ERC-20 que funciona correctamente y un token trampa. El comportamiento del grupo es similar al de un grupo legítimo. De hecho, el atacante incluso estaba intercambiando su propio ETH a través del grupo, para crear la ilusión de un par de alto volumen con un precio de token falso creciente.
Para evitar tales vectores de ataque, alentamos a los comerciantes algorítmicos a usar listas de tokens verificados para sus estrategias. Esto puede evitar que sean víctimas de fraudes similares.