Un scam de token MetaMask

Des scammers ont réussi à arnaquer quasiment 400 personnes pour une somme avoisinant 1,8 million de dollars.

Les auteurs ont profité des rumeurs autour d'un futur token officiel du wallet MetaMask en annonçant ainsi un token baptisé MASK et en proposant aux intéressés de mettre leur argent sur une paire wETH/MASK sur la plateforme d'échange Uniswap. La paire est toujours visible ici.

Certains utilisateurs ont déclaré avoir pu revendre leurs tokens pendant un temps, chose probablement rendue possible par les arnaqueurs pour éviter d'éveiller les soupçons auprès des acheteurs.

Puis la vente est devenue impossible une fois la valeur totale de liquidités de la pool atteignant 1 million de dollars, privant ainsi les acheteurs de leur bien.

Selon un thread Twitter de l'utilisateur coby.eth, les scammers auraient réussi à exploiter une faille dans la partie frontend du code sur le site DexTools, affichant ainsi le token MASK comme vérifié et sûr auprès des utilisateurs de la plateforme :

certif scam metamask

Captures du pop-up de vérification et capture du token vérifié- Source : Twitter

D'après etherscan, un outil permettant de traquer les transactions ayant lieu sur la blockchain Ethereum (ETH), la ou les personnes ayant mis en place la fraude auraient réussi à transférer 475 ETH (équivalent à 1 594 575$ à l'heure où nous écrivons ces lignes) et auraient également près de 10 millions de tokens $MASK.

Les deux transactions ont été effectuées depuis la pool de liquidité hébergée sur la plateforme Uniswap puis ont été transférées vers un portefeuille numérique.

L'argent a ensuite été transféré sur Tornado Cash, une plateforme permettant de « mixer » les coins afin de rendre les transactions totalement anonymes. Ainsi, la personne ayant reçu les bénéfices ne peut être retrouvée.

À l'heure actuelle, Dextools n'a toujours pas publié de réponse concernant les failles de sécurité au sein de leur code, qui ont été le principal moteur de la réussite de ce scam.

👉 À lire sur le même sujet : 3,6 milliards de dollars en Bitcoin (BTC) s’envolent d’Africrypt – Le plus gros exit scam de l’histoire ?

Découvrir notre Groupe Privé

Du contenu à haute valeur ajoutée et rapide à consommer

Le premier scam de 2022

Malheureusement il ne s'agit pas d'un cas isolé puisqu'un projet se présentant sous le nom d' « EtherWrapped » a vu le jour le 31 décembre, se présentant comme un airdrop destiné aux utilisateurs de la blockchain Ethereum.

L'annonce initiale a été faite depuis un compte Twitter nommé @etherwrapped mais qui a été supprimé depuis.

Les utilisateurs étaient ainsi conviés à se rendre sur le site du scam et à y connecter leur wallet MetaMask afin d'avoir une récompense sous forme de tokens baptisés « YEAR » proportionnellement à leurs investissements sur la blockchain.

scam récompenses airdrop YEAR

Capture des récompenses proposées par l'airdrop de tokens YEAR - Source : Twitter

Le smart contract du token YEAR est d'abord apparu comme non vérifié auprès de l'Ethereum Virtual Machine (EVM), puis le créateur du token a rendu son code public afin de faire vérifier celui-ci afin que chacun puisse vérifier si un code malveillant ne s'y trouvait pas, ce qui est la procédure classique.

Selon l'utilisateur Twitter meows.eth, c'est un code au premier abord inoffensif qui aurait permis de rendre le vol possible.

La personne à l'origine du scam aurait utilisé cette ligne de code afin d'empêcher les possesseurs du token de le vendre, ainsi, on a pu observer une courbe à la hausse sans aucune revente et basée seulement sur des achats.

Puis, au bout de 30 minutes, le malfrat aurait retiré la totalité des liquidités de la pool, soit 30 ETH (équivalent à 100 410$ en ce moment même), faisant ainsi baisser le token YEAR à une valeur de 0$.

Notons que malgré le fait que les acheteurs aient lié leur wallet MetaMask au site du scam, aucun vol n'est encore à signaler directement sur le portefeuille des acheteurs. Le voleur n'aurait donc eu « que » comme bénéfice les 30 ETH de la pool de liquidité, obtenus grâce aux acheteurs du token frauduleux.

Un scam « Meta » circule sur Facebook

Certains scams osent tout : ainsi, on peut voir en ce moment une publicité pour un token « Meta », en référence au changement de nom de Facebook.

Seulement, la publicité est mise en avant... sur le site Facebook lui-même.

Cela peut sembler extraordinaire et c'est bel et bien le problème, il est facile de tomber dans le panneau tant il peut être difficile à croire qu'un scam puisse être diffusé sur la plateforme qu'il usurpe !

pubs scam fb

 

Exemples des publicités du scam - Source : Facebook

Dans ce cas de figure, vous pouvez utiliser l'outil Scam Detector. Ici, ce site obtient la note de 0,6/100 en termes de fiabilité, soit le minimum. C'est une astuce simple qui peut vous éviter bien des soucis.

La méthode du Rug pull

Les scams décrit précédemment utilisent la méthode dite du « Rug pull » (tirage de tapis), une procédure malheureusement trop présente dans l'univers des cryptomonnaies.

Pour faire simple, l'arnaqueur va parier sur l'effet FOMO (Fear Of Missing Out - peur de louper).

Il va lancer un token en prenant soin de soigner son image, notamment en dépensant de l'argent pour des publicités voire en convainquant des personnes ayant de la notoriété que son projet est sûr et qu'il marchera à tous les coups.

Certains font également de la publicité sur les réseaux sociaux les plus connus comme Instagram, Facebook ou Twitter, souvent en envoyant des messages privés aux utilisateurs leur promettant des airdrops ou des giveaways alléchants.

Ainsi, une fois le projet lancé, la valeur du token s'envolera à une allure fulgurante, créant ainsi la fameuse peur de louper l'occasion d'avoir ses tokens à prix réduit pour pouvoir les revendre plus chers.

Une fois la somme voulue par les scammers atteinte, ils n'ont plus qu'à filer avec la caisse.

scam rug pull exemple

Exemple de Rug pull - Source : ByBit

Quelques mesures élémentaires sont à prendre avant d'investir dans un nouveau projet :

La première est de vérifier le white paper du projet. Bien qu'il ne soit pas un gage de sûreté à 100%, il permet d'avoir une idée de la fiabilité du projet, regardez s'il est conséquent et si sa rédaction semble sérieuse. Entre un white paper de 5 pages et un de 50, il est évident que le second sera probablement plus sûr.

Ensuite, vous pouvez regarder qui est derrière le projet : est-ce que ses membres ont déjà participé à d'autres projets connus ? Ont-ils une expérience dans le secteur de blockchain ou des technologies ? Le projet est-il appuyé par des personnalités ou des entreprises connues dans le secteur ?

Une vérification plus technique est de vérifier comment sont partagés les fonds d'un projet. Par exemple, pour la blockchain Ethereum, vous pouvez utiliser etherscan et vérifier si peu ou beaucoup de personnes détiennent les jetons : si très peu de personnes possèdent tous les jetons, méfiez vous.

Une autre méthode d'arnaque courante est le « Honey Pot », fonctionnant sur une méthode un peu plus complexe mais que vous pouvez éviter en prenant les mêmes mesures de prudence.

Afin de piéger sa victime, le scammer va émettre un smart contract présentant une faille de sécurité visant à lui faire croire qu'elle va pouvoir l'exploiter afin de gagner de l'argent.

Par exemple, elle pourra croire qu'un smart contract lui fera gagner de l'argent de façon régulière et ce en passant totalement inaperçu. Sauf que pour récupérer son butin, la victime va devoir avancer de l'argent.

Argent que bien sûr, elle ne reverra jamais, puisque la fausse faille était codée de façon totalement volontaire. C'est une version de la « fraude 4-1-9 » plus connue du grand public mais adaptée à la cryptomonnaie.

Vous pouvez également utiliser l'outil de détection de honeypot pour Ethereum ou pour la Binance Smart Chain.

Sachez que pour l'année 2021, c'est plus de 7,7 milliards de dollars qui ont été volés via des méthodes peu scrupuleuses comme celles-ci dans l'univers des cryptomonnaies, soit 81% de plus que pour l'année 2020.

scam progrès par année

Volume de cryptomonnaies obtenues par les scammers - Source : Chainalysis

Nous ne pouvons que vous recommander d'être extrêmement vigilants avec les nouveaux projets surtout s'ils vous promettant la lune. Soyez toujours très prudents

👉 Pour aller plus loin : Arnaque Squid Game Token  : récapitulatif d’un drame en trois actes

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Maximilien Prué

Passionné par le monde de la finance décentralisée et les nouveautés apportées par le Web 3.0, je rédige des articles pour Cryptoast afin d'aider à rendre la blockchain plus accessible à tous. Persuadé que les cryptomonnaies vont changer le futur très prochainement.
Tous les articles de Maximilien Prué.

guest
0 Commentaires
Inline Feedbacks
View all comments