Scams are becoming increasingly popular in the crypto space, so make sure to do your research before you move your crypto anywhere. I recently was contacted by a medium author named Cryptocoach. They offered to follow me if I followed them first. Looking into their profile I found this article: How To Get Free 4 ETH on Uniswap — Full Tutorial 2022. Sounds like a scam already…
Las estafas se están volviendo cada vez más populares en el espacio criptográfico, así que asegúrese de investigar antes de mover su criptografía a cualquier lugar. Recientemente fui contactado por un autor medio llamado Cryptocoach. Se ofrecieron a seguirme si yo los seguía primero. Buscando en su perfil encontré este artículo: Cómo obtener 4 ETH gratis en Uniswap — Tutorial completo 2022. Ya suena como una estafa…
Looking at the article, it’s step by step instructions on how to steal 4 ethereum from Uniswap using a smart contract that the author has made. Let’s take a look at the smart contract. The first thing you’ll notice is that half of the code in the “smart contract” is commented out. Block comments start with “/” and end with “/”, and everything between them is not run as code.Looking at the article, it’s step by step instructions on how to steal 4 ethereum from Uniswap using a smart contract that the author has made. Let’s take a look at the smart contract. The first thing you’ll notice is that half of the code in the “smart contract” is commented out. Block comments start with “/” and end with “/”, and everything between them is not run as code.
Mirando el artículo, son instrucciones paso a paso sobre cómo robar 4 ethereum de Uniswap usando un contrato inteligente que ha hecho el autor. Echemos un vistazo al contrato inteligente. Lo primero que notará es que la mitad del código en el "contrato inteligente" está comentado. Los comentarios de bloque comienzan con "/" y terminan con "/", y todo lo que hay entre ellos no se ejecuta como código.
Scammer’s smart contract is mostly a block comment.
El contrato inteligente del estafador es principalmente un comentario en bloque
Next, let’s take a look at their import statements, which are shown below:
A continuación, echemos un vistazo a sus declaraciones de importación, que se muestran a continuación:
Most of the import statements here look valid; however, nothing good can come from an imported file from IPFS. Lets take a look at that:
La mayoría de las declaraciones de importación aquí parecen válidas; sin embargo, nada bueno puede salir de un archivo importado de IPFS. Echemos un vistazo a eso:
Scammer stores their address here, so the main solidity function doesn’t look suspicious
El estafador almacena su dirección aquí, por lo que la función de solidez principal no parece sospechosa
Ah ha! Here we have the scammers private ethereum address, where they plan to deposit all of your funds! They define the “Manager” object in the IPFS file, so that you can’t see their malicious code that returns their address rather than the Uniswap address. Also note that the “performTasks” function does absolutely nothing. Now that we know everything about their smart contract, lets take a look at the actual code that will run:
Ajá! Aquí tenemos la dirección privada de ethereum de los estafadores, donde planean depositar todos sus fondos! Definen el objeto "Administrador" en el archivo IPFS, de modo que no puede ver su código malicioso que devuelve su dirección en lugar de la dirección Uniswap. También tenga en cuenta que la función "performTasks" no hace absolutamente nada. Ahora que sabemos todo sobre su contrato inteligente, echemos un vistazo al código real que se ejecutará:
Malicious code that sends your ethereum to the scammer’s address
Código malicioso que envía su ethereum a la dirección del estafador
Here we can see that when you call the “action” function, as directed in the scammer’s article, it simply gets the scammers address using the “manager.uniswapDepositAddress” function and transfers the entire balance of the smart contract to them. The scammer has written misleading comments in the code to make it sound like it’s doing useful things to help you, but really it’s all buzzwords and does nothing. Stay safe out there everyone!
Aquí podemos ver que cuando llama a la función de "acción", como se indica en el artículo del estafador, simplemente obtiene la dirección de los estafadores usando la función "manager.uniswapDepositAddress" y les transfiere todo el saldo del contrato inteligente. El estafador ha escrito comentarios engañosos en el código para que parezca que está haciendo cosas útiles para ayudarte, pero en realidad son palabras de moda y no hace nada. Manténganse a salvo todos!