La société de sécurité blockchain CertiK a répertorié trois systèmes de « pot de miel » courants créés par des exploiteurs pour voler la cryptographie des utilisateurs dans la finance décentralisée (DeFi) dans un rapport intitulé « Honeypot Scams » publié le 11 janvier.
Les pots de miel sont des stratagèmes trompeurs ciblant les investisseurs en cryptographie et attirent souvent les victimes avec la promesse de rendements lucratifs, pour ensuite piéger leurs fonds via différents mécanismes. Les graphiques de prix attrayants avec des bougies vertes continues influencent la peur de rater quelque chose (FOMO) des investisseurs, conduisant à des achats impulsifs. Une fois achetés, ces tokens deviennent illiquides en raison de mécanismes spécifiques empêchant leur vente.
Le premier mécanisme est qualifié par CertiK de « liste noire » et son exécution consiste à empêcher les utilisateurs de vendre des jetons frauduleux via un verrou inséré dans le contrat intelligent. Le rapport donne un exemple en mentionnant les fonctions « _snapshot list » et « _snapshotApplied », qui permettent aux utilisateurs de déplacer des jetons. Les deux doivent être définis comme « Vrai » dans le contrat intelligent, sinon l’utilisateur ne pourra pas transférer de fonds, agissant comme une « liste noire ».
Bien que la commande de liste noire puisse être vue via une vérification de contrat intelligente, CertiK souligne que certaines listes noires sont intelligemment dissimulées dans des fonctions apparemment légitimes, piégeant les investisseurs imprudents.
Le « changement de solde » est un autre mécanisme de pot de miel couramment utilisé par les fraudeurs. Cette technique consiste à modifier le solde de jetons d’un utilisateur en un montant nominal fixé par l’escroc et il n’est lisible que par le contrat intelligent.
Cela signifie que les explorateurs de blocs comme Etherscan ne mettront pas à jour le solde et que l’utilisateur ne pourra pas voir que le montant du jeton a été réduit d’un montant significatif, généralement d’un seul jeton.
La dernière tactique courante utilisée par les exploiteurs sur les contrats intelligents des projets DeFi est le « montant minimum de vente ». Bien que le contrat permette aux utilisateurs de vendre leurs jetons, ils ne peuvent le faire qu’au-dessus d’un seuil inaccessible, bloquant ainsi leurs fonds.
Dans ce cas, l’utilisateur ne pourra pas vendre même si le portefeuille contient plus de jetons que le seuil fixé. Cela est dû à la fonction « infosum » utilisée dans cette technique, qui est considérée en plus du montant à vendre.
A titre d’exemple, si un utilisateur achète 35 000 tokens d’un projet dans lequel les contrats intelligents fixent le seuil de vente à 34 000 en utilisant la fonction « infosum », l’opération ne réussira pas. En effet, l’utilisateur devrait vendre 35 000 jetons plus l’ensemble de 34 000. En d’autres termes, l’exigence de 34 000 jetons supplémentaires ne pourra jamais être satisfaite.
L’impact des pots de miel
En plus de l’aspect technique des arnaques aux pots de miel, les exploiteurs ajoutent également une couche sociale au système, imitant des projets de cryptographie réputés pour tromper les investisseurs. De plus, de mauvais acteurs ont imaginé un moyen d’automatiser la création de pots de miel. Le rapport de CertiK mentionne un portefeuille chargé de créer des contrats frauduleux toutes les 30 minutes sur deux mois. Au total, 979 contrats liés à ce service ont été identifiés.
Si une moyenne de 60 $ était volée, ce qui est un montant assez faible par rapport aux escroqueries plus importantes sur DeFi, environ 59 000 $ seraient retirés aux utilisateurs sur deux mois. Selon CertiK, cela fait de « la vigilance et de l’éducation » une question urgente dans DeFi.
