Negli ultimi giorni si stanno registrando diverse segnalazioni di utenti del settore crypto che affermano di aver acquistato un token su piattaforme decentralizzate, per poi vederlo sparire dal proprio wallet dopo pochi secondi dalla conferma della transazione. Il fenomeno, che sta facendo impazzire molti trader, riguarda nello specifico alcune nuove monete scam sulla Robinhood Chain, anche se una dinamica simile potrebbe avvenire tranquillamente su qualsiasi altra rete.
Sembra stia tornando in voga la moda dei token malevoli in DeFi: qualche anno fa si era diffusa la pratica dei cosiddetti “honeypot”, ossia criptovalute progettate per consentire agli utenti di effettuare l’acquisto, ma impedire la loro vendita attraverso particolari limitazioni sui contratti intelligenti. Stavolta lo scam si svolge in modo leggermente diverso, anche se valgono le stesse precauzioni e le stesse regole di base – che vedremo in questo articolo – per evitare di cadere nella trappola.
Il caso dei crypto token scomparsi dai wallet degli utenti: cosa sta succedendo?
In settimana molti utenti hanno lamentato su X di essersi trovati con i token letteralmente scomparsi dal proprio wallet immediatamente dopo averli acquistati su DEX. Questo, come dicevamo sopra, è accaduto all’interno dell’ecosistema Robinhood dopo che si è verificato un boom delle attività di trading sulla nuova chain L2, in particolare su asset poco capitalizzati come le memecoin.
Questo trader, ad esempio, dice di aver comprato il token $WOLF (ticker che presenta molteplici versioni scam in questo momento) e di aver visto l’asset trasferito verso un altro indirizzo solo 4 secondi dopo l’approvazione dello scambio.
Il problema non riguarda la piattaforma in cui è avvenuta l’interazione: in questo caso l’acquisto si è svolto su Uniswap, che rappresenta il maggiore exchange decentralizzato del mondo DeFi, nonché uno dei più sicuri. Le cause dell’incidente non dipendono infatti dal DEX, ma direttamente dallo smart contract del token in questione, che in questo caso è stato programmato per scomparire dal portafoglio degli acquirenti.
Ricordiamo per i meno esperti che nei mercati decentralizzati come Uniswap, chiunque può creare un token scam, implementando un contratto personalizzato malevolo con logiche nascoste, e successivamente listarlo pubblicamente. In pratica acquistando questo tipo di monete si accetta formalmente un contratto automatizzato che non è ben visibile al momento dell’operazione, ma che poi si attiva a danno dell’utente stesso, innescando trasferimenti o limitazioni.
Come funziona tecnicamente lo scam?
Esistono diversi modi in cui lo scam potrebbe palesarsi. Quando creano il token malevolo, gli sviluppatori aggiungono funzioni nascoste all’interno del codice del contratto che, in caso di acquisto o di interazione, vengono richiamate. I casi più comuni riguardano funzioni che:
- Impediscono la vendita, permettendo solo ed esclusivamente di acquistare (honeypot).
- Applicano una tassa del 100% sull’acquisto del token. Tassa che ovviamente va al creatore della moneta.
- Trasferiscono automaticamente il token su un indirizzo di burn o sul wallet del creatore.
- Attivano un’autorizzazione che consente al creatore di spendere tutte le crypto che si trovano nel wallet.
Chiaramente, nell’implementare queste logiche, chi crea il token definisce delle funzioni amministrative che gli permettono di ottenere questi privilegi. Nel gergo si dice che l’owner del contratto, ossia appunto l’indirizzo che detiene il controllo del codice, può inserire funzioni di blacklist, forceTransfer, wipeBalance e altre logiche nascoste.
Come proteggersi da queste crypto scam?
Innanzitutto, una delle prime raccomandazioni è quella di stare molto in campana quando si interagisce con prodotti e blockchain nuovi nel mondo crypto. Robinhood ha lanciato il suo layer-2 di Ethereum solo a inizio luglio, ed è in un certo senso “normale” che circolino molti scam visto l’effetto novità della nuova rete, e visto soprattutto gli importanti volumi che sta mobilitando.
In questi contesti, le infrastrutture di supporto on-chain non hanno avuto ancora il tempo di adattarsi alla nuova rete e ai nuovi contratti, e non sono quindi pronte per bloccare o limitare queste truffe. L’aggregatore di bridge/swap Relay ha infatti affermato che sta cercando di bloccare dalla propria interfaccia utente tutti i contratti malevoli su Robinhood. Dunque attendere qualche giorno prima di tuffarsi nella mischia è sicuramente un ottimo modo per filtrare una parte degli scam.
Un secondo monito è quello di muoversi con moderazione nel trading di token esotici e monete a bassa capitalizzazione. Fare compravendita di memecoin su nuove reti è chiaramente un’operatività che ci espone a contratti non verificati o comunque ad asset privi di uno storico sufficiente per valutarne rischi e affidabilità. C’è una bella differenza tra il tradare $DOGE, $SHIB o $PEPE e il tradare una nuova meme da 10 milioni di market cap su Robinhood Chain.
Oltretutto, non è neanche detto che assumersi tali rischi possa essere effettivamente remunerativo. Ieri il nostro caporedattore Gianluca Grossi vi ha parlato di questo trend che ha già prodotto i primi fortunati ma che potrebbe non durare ancora a lungo. Durante le meme season nascono nuovi milionari, ma spesso si contano sulle dita di una mano rispetto a una platea da migliaia di trader, ed il più delle volte questi fortunati sono semplicemente gli insider con informazioni privilegiate.
Qualche strumento per operare in sicurezza nel mondo DeFi ed evitare le crypto scam
Per i più smanettoni che non possono fare a meno di tuffarsi nella giungla del settore DeFi, è consigliabile installare un’estensione sul proprio browser che sia in grado di analizzare i contratti con cui si sta per interagire, così da verificarne la legittimità prima di passare alla firma irreversibile.
Esistono strumenti come Pocket Universe che permettono di simulare le operazioni prima che vengano eseguite, trasformando il linguaggio tecnico del codice in una schermata comprensibile per l’utente e consentendo dunque di capire in anticipo cosa si sta firmando.
Alcuni wallet come Rabby integrano di default delle protezioni che avvertono l’utente in caso stia per interagire con un contratto malevolo o con un token sospetto. In aggiunta, se si vuole ottenere una sicurezza maggiore, si può incollare il contract address del token che si vuole acquistare su uno scanner come Token Sniffer o De.Fi Scanner.
In ogni caso, quando si opera nel mondo DeFi, la parola d’ordine è prudenza: spesso gli errori più grandi si fanno quando si agisce di fretta e senza fare i dovuti controlli di sicurezza.
Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi

