#043 Najpopularniejsze oszustwa w świecie kryptowalut | Rug pull, jak nie paść jego ofiarą?
- Jak działają oszuści na rynkach kryptowalut?
- Deep fake, hakowanie kanałów i spam;
- Na czym polega rug pull i jak nie paść jego ofiarą?
- Jak chronić swoje kryptowaluty przed zatrutymi adresami?
Tego wszystkiego dowiesz się z fragmentu publikacji „Kryptowaluty i świat wokół nich” autorstwa Piotra Wójcika i Tomasza Kabarowskiego. Publikacja wprowadza czytelnika w świat wirtualnych aktywów i udowadnia, że bezpieczne korzystanie z nich wcale nie jest takie skomplikowane – warto jednak najpierw poznać najważniejsze zagadnienia technologiczne, ekonomiczne i psychologiczne, które są nierozerwalnie związane z inwestowaniem.
Książka dostępna na maklerska.pl „Kryptowaluty i świat wokół nich”.
Transkrypcja: Najpopularniejsze oszustwa kryptowalutowe
Spam, natarczywe reklamy, podszywanie się pod innych użytkowników, zapchana skrzynka pocztowa od podejrzanych wiadomości to plagi dzisiejszych czasów, jeśli chodzi o oszustwa. Mimo że niewielki ułamek ludzi się na to nabiera, rozpowszechnia się to przez specjalnie napisane w tym celu boty na taką skalę, że trafiają do dziesiątek milionów osób dziennie, z których zawsze znajdzie się ktoś, kto, niestety, da się podejść. Skala tego procederu wykracza poza branżę kryptowalut i dotyczy dosłownie wszystkiego. Czasami wystarczy, że raz podamy gdzieś przypadkiem swojego maila lub polajkujemy jakiś fanpage bądź profil w social mediach, skąd akurat oszuści pobierają sobie „bazę użytkowników”, by zalać ich falą spamu.
Często nasze próby zablokowania spamu są nieskuteczne, bo hakerzy tworzą coraz to nowe konta i metody na obejście blokad. Wraz ze zwiększaniem się ilości zabezpieczeń i bardziej szczegółowymi metodami weryfikacji rośnie także kreatywność oszustów działających w różnych branżach, którzy starają się wyłudzić pieniądze od nieświadomych użytkowników lub w inny sposób naruszyć ich prywatność, aby na późniejszym etapie oszustwa wykorzystać pozyskane dane do kradzieży. Standardowe metody wykorzystywane do podrabiania dokumentów z czasem są coraz lepiej wychwytywane. W ich miejsce często pojawiają się tzw. głębokie fałszerstwa (ang. deep fake), czyli metody obróbki obrazu – przy wykorzystaniu sztucznej inteligencji – polegającej na włączeniu wizerunku twarzy jakiejś osoby w inny obraz. Pozwala to na bardzo wiarygodne manipulowanie obrazem i jest niezwykle trudne do wychwycenia. Dlatego też wszystkie instytucje finansowe oraz giełdy i kantory kryptowalutowe na różne sposoby na różne sposoby weryfikują tożsamość swoich klientów. Jest to także spowodowane regulacjami, jakie nałożone zostały na te platformy. Jeśli któraś z nich nie przestrzega ich można poddawać w wątpliwość wiarygodność i legalność działania. W
Europie kantory i giełdy kryptowalutowe zostały zobowiązane do przestrzegania tego wymogu wraz z wejściem w życie piątej dyrektywy dotyczącej przeciwdziałania praniu pieniędzy. Oszustwa mogą mieć bezpośredni charakter, gdy kombinatorzy wprost próbują wyłudzić od nas środki. Często zdarzają się jednak kradzieże pośrednie, gdy pozyskują oni wrażliwe dane z kart kredytowych czy dowodów osobistych, aby je następnie sprzedać komuś innemu lub wykorzystać do popełnienia następnego przestępstwa. Według zestawienia „Sumsub Identity Fraud Report 2022” w znacznej większości przypadków (8 na 10 razy) dochodziło do wyłudzeń dokumentu tożsamości, jakim jest dowód osobisty. Około 80% ofiar stanowili mężczyźni, a prawie 30% dokumentów należało do osób w przedziale wiekowym 20–25 lat. W zaledwie rok (od 2021 roku) ilość płatności skorelowanych z wyłudzeniami przez internet wzrosła o 40%, a najczęściej spotykanymi krajami, gdzie znajdowały się ośrodki operacyjne oszustów były Pakistan, Bangladesz czy Wietnam.
Co ciekawe, na piątym miejscu uplasowały się Stany Zjednoczone, które uchodzą raczej za kraj dość bezpieczny pod tym względem. Podczas weryfikacji oprócz oczywistych danych nowoczesne systemy sprawdzają także wzorce behawioralne, takie jak to, jak szybko została dokonana weryfikacja. Jeśli przebiegła ona z mocnym odchyleniem od wartości, w jakiej mieści się czas dla przeciętnego użytkownika, to może być dla instytucji weryfikującej sygnał ostrzegawczy wskazujący, że coś jest nie tak. Z całej puli przestępstw i kradzieży te związane z kryptowalutami stanowią zaledwie 1,5%. Prym wiodą wyłudzenia związane z e-sportem. Duży wzrost mogliśmy zaobserwować także w branży dotyczącej E-commerce, gdzie w ciągu roku dochodziło do 1,3% (z 0,1%) wszystkich wyłudzeń.
Zazwyczaj najwięcej oszustw (w tym kradzieży tożsamości) przybywa tam, gdzie pojawia się największy przypływ użytkowników, a więc potencjalnych ofiar. W przypadku branży kryptowalut 2022 rok nie był zbyt dobry dla inwestorów, czyli nie obserwowaliśmy tak wzmożonego zainteresowania jak w poprzednich latach, a mimo to liczba oszustw zwiększyła się prawie dwukrotnie.
Jednym z częstych przestępstw jakich dokonują wyłudzacze za pośrednictwem platform streaamingowych, jest hakowanie kanałów popularnych użytkowników, czyli posiadających dużą liczbę subskrybentów. Ich celem jest zmiana nazwy kanału, a następnie uruchamianie transmisji na żywo z konferencji kryptowalutowych, z dodatkową nakładką, która promuje oszustwo. Zazwyczaj polega ono na tym, że oszuści podają swój adres portfela, a następnie informują, że np. za każde wysłane im 0,1 BTC odeślą nadawcy 0,2 BTC, co oczywiście nigdy się nie zdarza. Czasami też zachęcają do rejestrowania kont na podejrzanych stronach, które również mają na celu wyłudzić od nas pakiet danych, a często klucze prywatne do portfeli krypotwalutowych. Jest to oczywista próba oszustwa, na którą łapie się niewielki ułamek użytkowników, ale, niestety, często możemy na nią trafić przypadkiem, tym bardziej że twórcy tych platform są bezsilni względem mnożących się oszustw.
Czasami może się zdarzyć, że będą do nas dzwonić obce numery i podawać się za konsultantów z różnych giełd kryptowalutowych lub kantorów. Następnie poinformują nas, że dawno temu założyliśmy u nich konto, na którym została „do wypłacenia” określona liczba środków w postaci bitcoina lub innej kryptowaluty. Najpierw jednak musimy przejść weryfikację i zainstalować odpowiednie oprogramowanie na naszym komputerze, które często daje oszustom dostęp do naszego pulpitu. Pod żadnym pozorem nigdy tego nie róbcie. Giełdy kryptowalutowe, kantory lub inne serwisy pośredniczące czy też twórcy portfeli webowych nigdy nie dzwonią w takich sprawach do swoich użytkowników. Jeśli kiedykolwiek otrzymacie taki telefon, możecie z 99% pewnością uznać to za oszustwo i się rozłączyć, a następnie zablokować numer.
Rug pull
Rug pull jest to rodzaj oszustwa, który polega na wyciągnięciu jak największej ilości środków od potencjalnych inwestorów, a następnie pozostawieniu ich z bezwartościowym tokenem oraz porzuceniu stworzonego wcześniej projektu. Zanim jednak do tego dojdzie, cena jest zazwyczaj sztucznie pompowana. Wcześniej możemy mieć do czynienia ze zjawiskiem, w którym deweloper ustawia inteligentny kontrakt w taki sposób, że wymiana może zachodzić tylko w jedną stronę tzw. garnek miodu (ang. honeypot). Proces ten czasowo pozwala również na dodatkowe windowanie ceny ponieważ nabywcy nie są w stanie sprzedawać swoich kryptowalut.
Pierwszy krok oszustów polega na stworzeniu własnego tokenu kryptograficznego, który jest reklamowany najszerzej, jak to możliwe. Często nazwa nowego tokenu dla zachęty nawiązuje do innych kryptowalut, które wcześniej odniosły już jakiś sukces lub posiadają bardzo dużą społeczność. Bywa też, że oszuści składają obietnice nierealne do spełnienia, by przyciągnąć do projektu jak najwięcej osób. Proceder ten odbywa się z wykorzystaniem zdecentralizowanych sieci kryptowalut, w których cofnięcie raz wykonanej transakcji okazuje się już niemożliwe. Zjawisko decentralizacji zapewnia wysoki poziom bezpieczeństwa przed potencjalnymi atakami hakerskimi, jednak wykorzystywane w niewłaściwy sposób może stać się narzędziem do wyciągania środków od nieświadomych inwestorów.
Sam proces polega na tym, że deweloperzy wyciągają całą płynność danej kryptowaluty z jej puli płynności. Aby użytkownicy mogli handlować określonym tokenem, na zdecentralizowanej giełdzie tworzone są specjalne pary walutowe, które umożliwiają wymianę. Można je tworzyć na wiele sposobów, a jeden z najbardziej popularnych polega na tym, że podstawowa pula płynności zapewniana jest przez deweloperów, a w miarę rozwoju projektu wszyscy chętni użytkownicy mogą ją powiększać, wykorzystując do tego swoje środki. Jednak zdarza się, że po uruchomieniu projektu deweloperzy z jakiegoś ważnego powodu (a czasem tylko pod jego płaszczykiem, gdy chcą dokonać oszustwa) nie zrzekają się praw do wprowadzania dalszych zmian w inteligentnym kontrakcie, który umożliwił uruchomienie danej kryptowaluty. Gdy po pewnym czasie w puli płynności w puli płynności uzbiera się określona ilość środków, nieuczciwi deweloperzy są w stanie dodrukować sobie nieskończoną ilość stworzonych przez siebie tokenów i wymienić je na drugą kryptowalutę, tworzącą parę walutową. W ten sposób cała pula płynności zostaje wyssana przez oszustów, a reszta użytkowników projektu traci możliwość wymiany swoich tokenów na inne. W branży kryptowalut nosi to nazwę rug pull.
Jest kilka sygnałów alarmowych, których pojawienie się powinno dać nam do myślenia, czy na pewno chcemy zainwestować w dany projekt. Warto na nie zwrócić uwagę zwłaszcza na etapie przedsprzedaży lub tuż po uruchomieniu, ponieważ mogą one pozwolić nam na zabezpieczenie naszego kapitału. Inwestycja w projekty kryptowalutowe w tak wczesnej fazie zawsze wiąże się z bardzo dużym ryzykiem, które nagradzane bywa poprzez ogromne zwroty, jeśli się ona powiedzie. Jeszcze kilka lat temu najpopularniejszym sposobem inwestycji w projekty na tak wczesnym etapie były odpowiedniki pierwszych ofert publicznych, zwane ICO (ang. initial coin offering). Z czasem jednak stały się już mniej popularne.
Oszuści często zostawiają sobie otwartą furtkę w postaci odblokowanej puli płynności, co pozwala im na dostęp do środków, które się w niej znajdują. W wielu projektach, które faktycznie stawiają na rozwój, aby przyciągnąć inwestorów, deweloperzy mogą za pomocą tzw. blokady czasowej (ang. timelocka) zamknąć płynność na określoną liczbę dni, miesięcy lub lat, co daje nam gwarancję, że nie będą mieć technicznych możliwości wykonania rug pulla, czyli „wyssania” znajdujących się w puli płynności środków. Warto więc śledzić ten parametr, aby mieć kontrolę na tym, jak długo nasze aktywa będą bezpieczne. Timelock nie chroni jednak przed spadkami cen, które wywołane są przez inne czynniki.
Wiele z nowo tworzonych projektów charakteryzuje się kompletnym brakiem innowacji, a ich kod powstaje na zasadzie kopiuj–wklej, gdzie edytowana jest nazwa, ilość oraz inne „stałe” parametry, których zmiana nie wymaga praktycznie żadnej wiedzy technicznej. Często w takich „gotowcach” pojawiają się błędy lub ich twórcy popełniają je specjalnie, aby wykorzystać je na dalszych etapach rozwoju projektu do kradzieży środków. Autorzy projektów, którzy faktycznie mają w planach ich dalszy rozwój, często płacą za audyty zewnętrznym firmom. Celem jest profesjonalne prześwietlenie kodu pod względem potencjalnych błędów i usprawnień, jakie można by w nim wdrożyć.
Największą czerwoną flagą, jaką możemy spotkać, jest ograniczenie możliwości sprzedaży danej kryptowaluty. Jeśli z jakiegokolwiek powodu twórcy projektu ograniczają lub blokują możliwość sprzedaży zakupionych tokenów, to z dużą pewnością możemy powiedzieć, że dojdzie do rug pulla. Nawet jeśli płynność będzie czasowo zablokowana, a kupujący nie będą w stanie wypłacić swoich środków, to fakt, że nie możemy sprzedać nabytego tokenu, powoduje, że kryptowaluta użyta przez nas do zakupu tokena zostanie w puli płynności, która kiedyś się odblokuje. Wtedy po czasie (nawet po kilku latach) oszuści będą w stanie ukraść te środki i wydać w dowolny sposób.
Warto podkreślić, że żaden z sygnałów alarmowych nie daje nam 100% gwarancji, że dojdzie do rug pulla, ale z pewnością powinniśmy o nich pamiętać, zanim podejmiemy się inwestycji w projekt.
Niestety, ale w świetle prawa może zdarzyć się tzw. łagodny rug pull, który nie zostanie uznany za oszustwo. Ma to miejsce, gdy deweloperzy zapowiadają wcześniej, że przekazują między sobą określoną pulę środków pochodzących od inwestorów do dalszej pracy nad projektem. Następnie zaprzestają działań, sprzedają uzyskane aktywa i tłumaczą się, że nie podołali, bo cele projektu ich przerosły. W takim przypadku ze względu na brak jakichkolwiek regulacji prawnych nie będzie to uznane za przestępstwo, ale za działanie bardzo nieetyczne.
Kolejnym dość mocno spopularyzowanym oszustwem, które coraz częściej pojawia się w ostatnim czasie, jest tzw. zatrucie adresu (ang. adress poisoning). To rodzaj oszustwa, które wykorzystując brak ostrożności ofiary, pozwala przekierować transakcje na adres portfela należącego do oszusta. Odbywa się to w bardzo prymitywny, ale – o dziwo – w wielu przypadkach skuteczny sposób.
Adresy portfeli kryptowalutowych składają się z losowo generowanych ciągów znaków, które w zależności od sieci blockchain, z której korzystamy, mogą mieć średnio od 20 do 40 znaków. W historii transakcji często dla większej przejrzystości wyświetlane są tylko początkowe i końcowe znaki adresu, a reszta widnieje ukryta. Oszuści wykorzystują metodę, w której „zatruwają” historię transakcji użytkowników przy użyciu losowo wygenerowanych adresów o identycznym początku i końcu (różni się jedynie ich środkowa część). Jeśli początkowe i końcowe znaki faktycznie nie będą się różniły, a przesyłając środki, będziemy bazować na historii transakcji naszego portfela, to możemy nawet nie zauważyć, że skopiowaliśmy zły adres, przez co, dokonując transferu, wyślemy środki prosto do oszustów. Często monitorują oni aktywność wielu portfeli, aby uniknąć tych, na których nie ma zbyt wielu transakcji. Po wyselekcjonowaniu tych najbardziej aktywnych złodzieje generują za pomocą odpowiedniego oprogramowania całą masę nowych portfeli, aż któryś z nich będzie przypominał adres potencjalnych ofiar. Do „zatrucia” adresu dochodzi poprzez wysłanie ofierze niewielkiej ilości kryptowaluty (często o równowartości zero USD) z dopasowanego wcześniej adresu portfela. Oszuści liczą na to, że podczas transferu skopiujemy adres bezpośrednio z łańcucha bloków lub bazując na historii naszej transakcji.
Jest to niezwykle prymitywny sposób o sumarycznie niskiej skuteczności, jeśli jednak zostanie wykorzystywany na masową skalę, to za którymś razem metoda ta odniesie sukces. Możemy chronić się przed nią, jeżeli po prostu zachowamy ostrożność lub będziemy korzystać z przygotowanej wcześniej książki adresowej, gdzie mamy zapisane w całości wyłącznie adresy należące do nas lub odbiorców, do których faktycznie planujemy wysłać swoje kryptowaluty. Ta metoda oszustwa częściej wykorzystywana jest w sieciach, które mają niskie opłaty transakcyjne, co ułatwia oszustom spamowanie w tym kontekście to niechciane i nieproszone rozsyłanie dużej ilości mikrotransakcji o zerowej wartości jednocześnie, względnie niskim kosztem.
To, co tu wymieniliśmy, to zaledwie kilka przykładów z całej puli, jaką dysponują oszuści. Pamiętaj: nikt nigdy bezinteresownie nie będzie chciał przekazać ci darmowych kryptowalut, zwłaszcza obcy ludzie z internetu. Jeśli ktokolwiek próbuje wciągnąć cię w jakąkolwiek interakcję, której celem jest zainstalowanie podejrzanego oprogramowania lub transfer kryptowalut czy też pieniędzy, to zachowaj ostrożność i nie rób tego! Jeśli zdarzy ci się taka sytuacja, nie działaj pod wpływem emocji, nastawiając się na szybki zysk. Zastanów się dobrze przed podjęciem jakichkolwiek działań. Jeśli coś jest zbyt piękne, by było prawdziwe, to nie jest prawdziwe.
Kryptowaluty takie jak bitcoin oraz cała technologia blockchain zmieniają oblicze globalnej gospodarki, przynosząc innowacje w sferze finansów, handlu, bezpieczeństwa oraz innych dziedzin. W miarę jak zyskują coraz większą popularność, stwarzają również wyzwania dla finansistów, specjalistów branżowych, prawników, ustawodawców oraz etyków. Należy kontynuować badania i dialog w celu zrozumienia oraz kształtowania tych dynamicznych zmian, aby w przyszłości wykorzystać ich pełny potencjał dla dobra ludzkości. Wraz z rosnącym zainteresowaniem kryptowalutami i technologią blockchain, pojawiają się również nowe modele biznesowe oraz możliwości dla przedsiębiorców i inwestorów. Decentralizacja systemów finansowych oraz rozwój nowych form zarządzania mogą prowadzić do bardziej zrównoważonego i sprawiedliwego społeczeństwa. Jednakże rozwój tych technologii niesie także ryzyko dla prywatności, bezpieczeństwa i stabilności finansowej. Dlatego ważne jest, aby odpowiednio zrozumieć i zdiagnozować te zagrożenia, jednocześnie promując innowacje i dążąc do równowagi między korzyściami a potencjalnymi problemami.