Nem no último dia do ano os golpistas deram folga. Em apenas seis horas, uma nova criptomoeda chamada YEAR foi lançada no mercado, viu seu preço disparar e logo desabar após os desenvolvedores do projeto aplicarem um rug pull de R$ 620 mil.
A criptomoeda foi criada por EtherWrapped, um site que permitia o usuário ver o seu histórico de transações com Ethereum e NFTs ao conectar sua carteira Metamask no site.
A plataforma então mostrava as estatísticas da sua carteira e calculava uma recompensa simbólica na forma de token YEAR. O problema era que dentro do contrato inteligente do token, havia uma linha de código maliciosa que impedia a sua venda no mercado.
Como ninguém conseguia vender, o preço do ativo disparou de forma artificial. A alta saltou aos olhos de muitos usuários que decidiram entrar no projeto, sem saber que era um golpe honeypot.
Em poucas horas, os golpistas que colocaram YEAR no mercado liquidaram suas posições, lucrando cerca de R$ 620 mil no processo.
Como o golpe aconteceu
No Twitter, o usuário @cat5749 contou que quando o projeto saiu, vários membros da comunidade analisaram o código em busca de algo malicioso, mas não encontraram nada. “À primeira vista, esse contrato é muito pequeno. Eu e outros examinamos e não encontramos nenhuma bandeira vermelha”, explicou.
Entre os problemas que a comunidade geralmente procura em contratos estão: Esse contrato pode drenar suas moedas? Pode roubar seus NFTs? Pode fazer outras coisas maliciosas?
O problema estava na função ‘_burnMechanism’, que parecia inocente em um primeiro momento. “O que eu e os outros perdemos é como alguém pode usar isso como arma para o mal”, explicou o desenvolvedor.
Poucas horas depois do token ser lançado, o criador do contrato chamou a função e definiu seu novo proprietário para o endereço de contrato Uniswap V2, uma ação que passou a impedir a venda do token na DEX.
“Com isso, o contrato evoluiu para um honeypot onde as pessoas só podiam fazer compras, mas não qualquer tipo de venda. Isso significava que em um gráfico DEX, as pessoas apenas veriam as velas subindo e induziriam o FOMO a comprar mais antes de o preço aumentar ainda mais”, relatou o usuário.
O golpe final veio cerca de meia hora depois, quando o golpista por trás do contrato retirou a liquidez do Uniswap V2, drenando um pool de mais de 30 ETH (R$ 620 mil) em várias transações e levando o preço da moeda a zero.
“Eu sei que todos nós vamos ficar melhores em detectar esses maus atores no futuro. A Web3 depende disso. Vamos pegar o que aprendemos aqui e melhorar”, finalizou o usuário.