1,8 million de dollars perdus à cause d’une fausse escroquerie de pot de miel Metamask Token

Un faux jeton Metamask a dupé les commerçants sur plus de 1,8 million de dollars. Les pirates ont injecté du code dans le front-end de l’application DEXTools, convaincant les commerçants que le jeton était vérifié.

L’arnaque des jetons Metamask

Un faux jeton Metamask a laissé les commerçants spéculatifs sous le choc.

Des centaines de commerçants ont été victimes d’une arnaque au pot de miel Metamask lundi soir, les arnaqueurs s’enfuyant avec plus de 1,8 million de dollars.

L’arnaque, qui a joué sur l’anticipation par les commerçants d’un jeton de portefeuille Metamask, a utilisé une faille dans la populaire application de trading DeFi DEXTools pour convaincre les utilisateurs de la légitimité du jeton. Un escroc a pu injecter du code dans le frontal de l’application DEXTools pour Uniswap Paire WETH / MASQUE, qui, une fois affiché, lancerait une fenêtre contextuelle indiquant aux utilisateurs que le jeton MASK a été vérifié.

Après avoir acheté le faux jeton MASK, des utilisateurs peu méfiants ont découvert qu’ils n’étaient pas en mesure de le vendre. Ce style d’escroquerie est souvent appelé « pot de miel », permettant aux utilisateurs d’entrer, pour découvrir que le contrat intelligent régissant les interactions du jeton les empêche de vendre.

Dans le cas du faux jeton Metamask, l’escroc semble avoir programmé le contrat intelligent pour attendre jusqu’à ce que plus d’un million de dollars de liquidités y soient échangés, puis pour empêcher les détenteurs de vendre. L’escroc sorti 475 ETH du pool de liquidités Uniswap du jeton, selon les données de transaction d’Etherscan, d’une valeur de 1,79 million de dollars au moment de la publication. Les gains illicites ont été expédié à Tornado Cash, une application populaire de mélange de pièces, et ont été blanchis dans un portefeuille non connecté.

Des informations faisant état de l’escroquerie sont apparues pour la première fois sur Twitter lundi soir, plusieurs comptes avertissant que le jeton MASK était une arnaque malgré la fenêtre contextuelle de DEXTools indiquant aux commerçants qu’elle était légitime. Depuis lors, l’utilisateur de Twitter @cobynft a fourni une ventilation de la façon dont l’arnaque s’est produite, expliquant comment c’était une « faute grave » des développeurs de l’application DEXTools qui a permis à l’arnaque de convaincre tant de personnes d’acheter les jetons.

Une autre raison pour laquelle l’escroquerie du jeton Metamask était si efficace est l’anticipation actuelle d’un jeton Metamask légitime. L’équipe Metamask a fait allusion à plusieurs reprises à la décentralisation du portefeuille EVM populaire en émettant un jeton, beaucoup spéculant que cela pourrait être fait par le biais d’un largage.

Le faux jeton Metamask est la troisième arnaque majeure à frapper l’espace crypto au cours de la période des fêtes. Dimanche, le projet Binance Smart Chain MetaSwapMGAS a volé 1 100 BNB aux utilisateurs dans une apparente traction de tapis. Pas plus tard qu’hier, un autre projet Ethereum appelé MetaDAO semble avoir tiré sur ses investisseurs, s’envolant avec 800 ETH, d’une valeur de plus de 3,2 millions de dollars.

Crypto Briefing a contacté DEXTools pour commenter l’attaque sur le front-end de son application, mais n’a pas reçu de réponse avant l’heure de la presse.

Divulgation: Au moment de la rédaction de cette fonctionnalité, l’auteur possédait ETH et plusieurs autres crypto-monnaies.