Kẻ lừa đảo tìm cách đốt token từ ví Solana

Những kẻ lừa đảo đã phát hiện ra một cách mới để rug-pull người dùng Solana — lần này, bằng cách đốt token mà họ đã sở hữu từ trong ví của họ.

Theo Slorg, một thành viên của Jupiter’s Core Working Group dựa trên Solana, những kẻ lừa đảo đã bắt đầu sử dụng một tiện ích mở rộng token Solana tích hợp sẵn để lén lút xóa bỏ tài sản crypto của mục tiêu.

“Hãy tưởng tượng bạn hoán đổi lấy một token và lịch sử ví xác nhận rằng bạn đã nhận được nó. Nhưng sau đó bạn nhìn vào và không thấy gì,” Slorg nói trong một bài đăng ngày 3 tháng 9 trên X.

“Thời gian trôi qua và không có token nào, vì vậy bạn bắt đầu tìm hiểu và liên hệ với ai đó có thể biết chuyện gì đang xảy ra. Đây là thực tế của một thành viên cộng đồng Jupiter cách đây 4 ngày,” anh ấy nói thêm.

Lạm dụng Permanent Delegate

Đối với người dùng này, hóa ra họ đã hoán đổi lấy một token gọi là “RED” có tiện ích mở rộng “Permanent Delegate”. Điều này cho phép những kẻ lừa đảo đốt tất cả các token trong giao dịch chỉ sau bảy giây sau khi nó được thực hiện.

“Permanent Delegate là một tính năng mở rộng trong tiêu chuẩn Token 2022 của Solana,” PeckShield giải thích với Chain Việt Nam.

Trang web chính thức của Solana mô tả tiện ích mở rộng Permanent Delegate như một chức năng cho phép “quyền đại diện không giới hạn đối với tất cả các tài khoản Token cho mint đó, cho phép họ đốt hoặc chuyển token mà không bị hạn chế.”

Nó được dự định cho các trường hợp sử dụng hợp lý, chẳng hạn như thu hồi token đã được chuyển nhầm, sử dụng trong các token truy cập có thể thu hồi hoặc tuân thủ lệnh trừng phạt. Nó cũng có thể được sử dụng cho các khoản thanh toán và hoàn tiền tự động.

Tuy nhiên, ngay cả Solana cũng lưu ý rằng nó là một “con dao hai lưỡi” và có thể bị lạm dụng.

Tại sao đốt token của nạn nhân?

Nói chuyện với Chain Việt Nam, Slorg cho biết có thể có nhiều lý do khiến kẻ lừa đảo muốn đốt token.

“Lý do đầu tiên là gây ra hỗn loạn chung,” Slorg nói. “Đôi khi những kẻ lừa đảo chỉ muốn thấy sự phá hủy và hỗn loạn. Giống như một trò đùa và một ‘fuck u.’”

Lý do thứ hai, Slorg nói, là để giảm float.

“Nếu ai đó không thể bán, giá sẽ không giảm. Nhiều lần những kẻ lừa đảo nhắm vào hầu hết nguồn cung ban đầu và điều đó là họ không cần hơn 50 đô la lợi nhuận để làm cho nó đáng giá.”

“Tôi đã quan sát một kẻ lừa đảo đơn độc vào tháng 11 năm ngoái, người đã tung ra token sau token trước pump.fun, và anh ta chỉ kiếm được 50-100 đô la mỗi lần nhưng trải rộng trên 50 lần một ngày, anh ta đã kiếm được hàng ngàn mỗi tuần,” Slorg nói thêm:

“Có lẽ đó không phải là một chiến lược siêu hiệu quả, nhưng họ chắc chắn đang thử nghiệm ngoài kia.”

Các nhà cung cấp dịch vụ bảo mật blockchain Beosin và Peckshield cũng chia sẻ các lý thuyết tương tự trong các bình luận với Chain Việt Nam.

PeckShield suy đoán rằng những kẻ lừa đảo đang cố gắng ảnh hưởng đến tokenomics của tiền điện tử, vì nó “cơ bản cho phép thao túng nguồn cung lưu hành của các token liên quan.”

Trong khi đó, Beosin tin rằng kẻ lừa đảo có thể sử dụng chức năng này để lừa người dùng nghĩ rằng lưu hành của token mà họ tạo ra vẫn giữ nguyên bằng cách phá hủy token của người dùng.

“Ví dụ, đốt token của người khác để tăng giá token và thu lợi nhuận từ một số giao thức DeFi liên quan đến token đó.”

Slorg lưu ý rằng Jupiter và RugCheck là hai trong số các thực thể đã tạo ra các chỉ báo khi tiện ích mở rộng này được bật.

“Dù sao đi nữa, việc thực hiện thẩm định với bất kỳ token nào là rất quan trọng. Luôn có một quy trình mà bạn không lệch khỏi, và dành thời gian để đọc tất cả văn bản khi thực hiện hoán đổi.”

“Nếu không, nó có thể khiến bạn phải trả giá vào một ngày nào đó — đặc biệt là khi các khả năng token mới được phát triển.”

Những người khác cũng đã báo cáo bị tấn công với một trò lừa đảo tương tự gần đây, Slorg lưu ý.

Chain Việt Nam