LawCoder

В видосе к предыдущему посту мне надо было показать как получить токен от апи. Замазывать сам токен в видосе мне было лень. Поэтому решил выпустить временный ключ специально для демо, а потом сразу же удалить. Еще когда записывал демо, был уверен что придет народ в комменты и скажут мне что я лох и зараспространил свой ключ от апи, хе-хе, а еще LawCoder'ом себя называю.

Рассказываю ниже почему такая самоуверенность может выйти боком

В мире крипты есть очень популярный скам мамонтов, который называют «honeypot-мошенничеством» (мёдовая ловушка) или «смарт-контрактным скамом-ловушкой». Суть его такова:

Притворный “лох” раскрывает кошелёк
Мошенник создаёт или снимает видео/пост, где якобы «случайно» под видом новичка делится приватным ключом или прямым доступом к кошельку, полный криптовалюты (ETH, токены ERC-20 и т. п.). Он демонстрирует баланс, чтобы убедить зрителей, что на кошельке много денег и он не знает как их достать и просит помочь с этим.

Ловушка в смарт-контракте
На самом деле в кошельке лежит не просто эфир, а токены, привязанные к хитро запрограммированному смарт-контракту. Внешний кошелёк имеет возможность «ввести» или «вывести» токены только при выполнении особых условий — например, чтобы вывести токен A, нужно сначала отправить 1 ETH или выполнить какую-то функцию, которая на самом деле переведёт ваш эфир мошеннику.

Жертвы “пытаются украсть” и теряют средства
Пользователи, желающие «поживиться», выполняют транзакцию: вызывают функцию контракта (обычно transfer() или withdraw()) и в результате теряют либо всю сумму газа (ETH на покрытие комиссии), либо они переводят свой эфир (или другие токены) на адрес мошенника. При этом сами «хозяева» контракта успешно не получают ничего — все «оттянутые» деньги идут на счёт злоумышленника.

Почему это работает
Большинство пользователей проверяют только баланс токена в кошельке и упускают из виду код контракта.
Смарт-контракт может блокировать вывод средств на любые адреса, кроме одного заранее зарегистрированного в логике (адрес мошенника).
Часто эти контракты запрещают массовое чтение кода или используют минимизированный/обфусцированный байткод, чтобы усложнить аудит.

Так что, если вдруг увидели лоха и хотите его обуть, посмотритесь для начала в зеркало, может быть лох в этой схеме - вы)))

www.group-telegram.com/id/law_coder.com/187

745 viewsВладимир Глебовец, May 23 at 10:33

В видосе к предыдущему посту мне надо было показать как получить токен от апи. Замазывать сам токен в видосе мне было лень. Поэтому решил выпустить временный ключ специально для демо, а потом сразу же удалить. Еще когда записывал демо, был уверен что придет народ в комменты и скажут мне что я лох и зараспространил свой ключ от апи, хе-хе, а еще LawCoder'ом себя называю.

Рассказываю ниже почему такая самоуверенность может выйти боком

В мире крипты есть очень популярный скам мамонтов, который называют «honeypot-мошенничеством» (мёдовая ловушка) или «смарт-контрактным скамом-ловушкой». Суть его такова:

Притворный “лох” раскрывает кошелёк
Мошенник создаёт или снимает видео/пост, где якобы «случайно» под видом новичка делится приватным ключом или прямым доступом к кошельку, полный криптовалюты (ETH, токены ERC-20 и т. п.). Он демонстрирует баланс, чтобы убедить зрителей, что на кошельке много денег и он не знает как их достать и просит помочь с этим.

Ловушка в смарт-контракте
На самом деле в кошельке лежит не просто эфир, а токены, привязанные к хитро запрограммированному смарт-контракту. Внешний кошелёк имеет возможность «ввести» или «вывести» токены только при выполнении особых условий — например, чтобы вывести токен A, нужно сначала отправить 1 ETH или выполнить какую-то функцию, которая на самом деле переведёт ваш эфир мошеннику.

Жертвы “пытаются украсть” и теряют средства
Пользователи, желающие «поживиться», выполняют транзакцию: вызывают функцию контракта (обычно transfer() или withdraw()) и в результате теряют либо всю сумму газа (ETH на покрытие комиссии), либо они переводят свой эфир (или другие токены) на адрес мошенника. При этом сами «хозяева» контракта успешно не получают ничего — все «оттянутые» деньги идут на счёт злоумышленника.

Почему это работает
Большинство пользователей проверяют только баланс токена в кошельке и упускают из виду код контракта.
Смарт-контракт может блокировать вывод средств на любые адреса, кроме одного заранее зарегистрированного в логике (адрес мошенника).
Часто эти контракты запрещают массовое чтение кода или используют минимизированный/обфусцированный байткод, чтобы усложнить аудит.

Так что, если вдруг увидели лоха и хотите его обуть, посмотритесь для начала в зеркало, может быть лох в этой схеме - вы)))

BY LawCoder