تحقيق عميق في حالات Rug Pull، يكشف عن الفوضى في نظام عملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي يتم إصدارها يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه الاستفسارات ليس بلا معنى. على مدى الأشهر القليلة الماضية، قامت الفرق الأمنية بالتقاط عدد كبير من حالات عمليات السحب المفاجئة. من الجدير بالذكر أن جميع العملات التي كانت متورطة في هذه الحالات كانت عملات جديدة تم إدراجها حديثاً.
بعد ذلك، تم إجراء تحقيقات معمقة حول حالات سحب السجاد (Rug Pull)، ووجد أن هناك عصابات منظمة تقف وراء هذه الجرائم، وتم تلخيص الخصائص النموذجية لهذه الاحتيالات. من خلال تحليل عميق لأساليب هذه العصابات، تم اكتشاف مسار محتمل للترويج للاحتيال من قبل عصابات سحب السجاد: مجموعات تيليجرام. تستغل هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وتحقيق الأرباح من خلال سحب السجاد.
تم إحصاء معلومات دفع عملات هذه المجموعات على Telegram من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجد أنه تم دفع 93,930 نوعًا من العملات الجديدة، منها 46,526 نوعًا من العملات المتعلقة بـ Rug Pull، مما يشكل نسبة تصل إلى 49.53%. وفقًا للإحصائيات، فإن التكلفة الإجمالية للاستثمارات من قبل العصابات خلف هذه العملات الـ Rug Pull كانت 149,813.72 إثيريوم، وحققت أرباحًا تصل إلى 282,699.96 إثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها من خلال مجموعات Telegram في شبكة إثيريوم الرئيسية، تم جمع بيانات عن العملات الجديدة التي تم إصدارها على شبكة إثيريوم الرئيسية في نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات المدفوعة من خلال مجموعات Telegram 89.99% من الشبكة الرئيسية. يُولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيقات مستمرة، كانت الحقيقة مزعجة - حيث أن ما لا يقل عن 48,265 نوعًا من العملات متورطة في عمليات احتيال Rug Pull، مما يشكل نسبة تصل إلى 48.14%. بعبارة أخرى، هناك واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية متورطة في الاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أنه ليس فقط شبكة إثيريوم الرئيسية، وإنما الوضع الأمني بالكامل لبيئة العملات الجديدة في ويب 3 أكثر خطورة مما كان متوقعًا. لذلك، تم إعداد هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء ويب 3 في تعزيز الوعي بالوقاية، والبقاء vigilant في مواجهة الاحتيالات المتزايدة، واتخاذ التدابير الوقائية اللازمة لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نفهم بعض المفاهيم الأساسية.
عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المواصفات التي تتيح للعملات التفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والاستعلام عن الرصيد، وتفويض الأطراف الثالثة لإدارة العملات، وما إلى ذلك. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة استنادًا إلى معيار ERC-20 وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تندرج العملات المعروفة لدينا مثل USDT و PEPE و DOGE ضمن عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 الخبيثة التي تحتوي على أبواب خلفية ثم إدراجها في البورصات اللامركزية، ومن ثم تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب السجادة
هنا، نستخدم حالة احتيال لعملة Rug Pull لاستكشاف نمط تشغيل الاحتيال بالعملات الضارة. أولاً، يجب التوضيح أن Rug Pull تشير إلى تصرفات احتيالية حيث يقوم فريق المشروع في مشاريع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات التي تم ذكرها في هذه المقالة، تُعرف أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة الاحتيال (Exit Scam)"، ولكن في النص أدناه سنشير إليها بشكل موحد باسم عملة Rug Pull.
حالة
قام المهاجمون (عصابة سحب السجادة) بنشر عملة TOMMI باستخدام عنوان Deployer (0x4bAF) ثم أنشأوا بركة سيولة باستخدام 1.5 ETH و 100,000,000 من عملات TOMMI، واشترو بنشاط عملات TOMMI من عناوين أخرى لتزوير حجم تداول بركة السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملات TOMMI. عندما وقع عدد معين من روبوتات الشراء الجديدة في الفخ، استخدم المهاجم عنوان Rug Puller (0x43a9) لتنفيذ سحب السجادة، حيث قام Rug Puller بضرب بركة السيولة بـ 38,739,354 عملة TOMMI، واستبدلها بحوالي 3.95 ETH. مصدر عملات Rug Puller كان من التفويض الخبيث لـApprove لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحية approve لبركة السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ سحب السجادة.
تم إرسال الأموال الناتجة عن Rug Pull إلى عنوان النقل: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
عنوان التحويل سيرسل الأموال إلى عنوان الاحتفاظ بالأموال: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
عملية سحب السجادة
1. إعداد الأموال للهجوم.
قام المهاجمون من خلال البورصة بشحن 2.47309009 ايثر إلى Token Deployer (0x4bAF) كأموال بدء لعملية السحب.
2. نشر عملة Rug Pull مع باب خلفي.
قام Deployer بإنشاء عملة TOMMI ، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
3. إنشاء بركة السيولة الأولية.
قام المطور بإنشاء حوض سيولة باستخدام 1.5 من ايثر وجميع العملات المستخرجة مسبقًا، وحصل على حوالي 0.387 من رموز LP.
4. تدمير جميع إمدادات العملة المسبقة التعدين.
سيقوم Token Deployer بإرسال جميع LP عملات إلى عنوان 0 لتدميرها، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقدت نظريًا القدرة على Rug Pull في هذه المرحلة. (هذه أيضًا واحدة من الشروط الضرورية لجذب روبوتات الطرح الجديد، حيث تقوم بعض روبوتات الطرح الجديد بتقييم ما إذا كانت عملات الطرح الجديدة تحتوي على مخاطر Rug Pull، كما أن Deployer ستقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال لروبوتات الطرح الجديد).
5. حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI من تجمع السيولة بشكل نشط، مما يرفع حجم التداول في التجمع، ويجذب المزيد من روبوتات الاشتراك (الاستدلال على أن هذه العناوين مزورة من قبل المهاجمين: الأموال من العناوين ذات الصلة تأتي من عناوين تحويل الأموال التاريخية لفرقة Rug Pull).
6. المهاجم بدأ عملية سحب السجادة من خلال عنوان Rug Puller (0x43A9) ، وسحب 38,739,354 عملة مباشرة من حوض السيولة عبر باب خلفي من الرموز ، ثم استخدم هذه العملات لتفريغ الحوض وسحب حوالي 3.95 من ايثر.
7. أرسل المهاجم الأموال الناتجة عن عملية Rug Pull إلى عنوان الترحيل 0xD921.
8. عنوان التحويل 0xD921 يقوم بإرسال الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما يكتمل سحب السجادة (Rug Pull)، يقوم ساحب السجادة (Rug Puller) بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو مكان تجميع الأموال من العديد من حالات سحب السجادة (Rug Pull) التي تم مراقبتها، وسيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة (Rug Pull)، بينما سيتم سحب كمية صغيرة متبقية عبر البورصة.
كود سحب السجادة ثغرة
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ Rug Pull من خلال تدمير LP عملة، إلا أنهم في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء تجمع السيولة بتفويض عنوان Rug Puller لنقل عملة، مما يمكّن عنوان Rug Puller من سحب العملة مباشرة من تجمع السيولة.
الهدف الرئيسي من تنفيذ دالة openTrading هو إنشاء حمام سائل جديد، لكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة، مما سمح لـ uniswapV2Pair بالموافقة على نقل العملة إلى عنوان _chefAddress بكمية تساوي type(uint256). حيث أن uniswapV2Pair هو عنوان حمام السيولة، و _chefAddress هو عنوان Rug Puller، والذي يتم تحديده عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المهاجم بتوفير مصدر تمويل لعنوان النشر (Deployer) من خلال البورصة.
يقوم المطور بإنشاء بركة السيولة وتدمير عملة LP: بعد أن يقوم المطور بإنشاء عملة Rug Pull، يقوم على الفور بإنشاء بركة السيولة الخاصة بها، وتدمير عملة LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم ساحب البساط بتبادل كمية كبيرة من العملات مقابل ETH في صندوق السيولة: عنوان ساحب البساط (Rug Puller) يستخدم كمية كبيرة من العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي عرض العملات) لتبادلها مقابل ETH في صندوق السيولة. في حالات أخرى، يمكن أن يقوم ساحب البساط أيضًا بإزالة السيولة للحصول على ETH الموجود في الصندوق.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: يقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم الانتقال عبر عنوان وسيط.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
2
مشاركة
تعليق
0/400
OnChain_Detective
· 07-21 10:48
تحليل النمط يشير إلى أن 80% من عمليات الاحتيال تتبع مجموعات محافظ متطابقة... لكن المبتدئين لا يتعلمون، يا إلهي
شاهد النسخة الأصليةرد0
RugPullAlarm
· 07-21 10:42
مرة أخرى، تم التحقق من التحذير الخاص ببياناتي داخل السلسلة السابقة، 90% من ما يسمى بالمشاريع الجديدة هي مجرد مخططات.
إثيريوم إيكو تقريبا نصف عملة جديدة مشبوهة بتضليل بحجم يصل إلى 8 مليارات دولار
تحقيق عميق في حالات Rug Pull، يكشف عن الفوضى في نظام عملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي يتم إصدارها يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه الاستفسارات ليس بلا معنى. على مدى الأشهر القليلة الماضية، قامت الفرق الأمنية بالتقاط عدد كبير من حالات عمليات السحب المفاجئة. من الجدير بالذكر أن جميع العملات التي كانت متورطة في هذه الحالات كانت عملات جديدة تم إدراجها حديثاً.
بعد ذلك، تم إجراء تحقيقات معمقة حول حالات سحب السجاد (Rug Pull)، ووجد أن هناك عصابات منظمة تقف وراء هذه الجرائم، وتم تلخيص الخصائص النموذجية لهذه الاحتيالات. من خلال تحليل عميق لأساليب هذه العصابات، تم اكتشاف مسار محتمل للترويج للاحتيال من قبل عصابات سحب السجاد: مجموعات تيليجرام. تستغل هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وتحقيق الأرباح من خلال سحب السجاد.
تم إحصاء معلومات دفع عملات هذه المجموعات على Telegram من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجد أنه تم دفع 93,930 نوعًا من العملات الجديدة، منها 46,526 نوعًا من العملات المتعلقة بـ Rug Pull، مما يشكل نسبة تصل إلى 49.53%. وفقًا للإحصائيات، فإن التكلفة الإجمالية للاستثمارات من قبل العصابات خلف هذه العملات الـ Rug Pull كانت 149,813.72 إثيريوم، وحققت أرباحًا تصل إلى 282,699.96 إثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها من خلال مجموعات Telegram في شبكة إثيريوم الرئيسية، تم جمع بيانات عن العملات الجديدة التي تم إصدارها على شبكة إثيريوم الرئيسية في نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات المدفوعة من خلال مجموعات Telegram 89.99% من الشبكة الرئيسية. يُولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيقات مستمرة، كانت الحقيقة مزعجة - حيث أن ما لا يقل عن 48,265 نوعًا من العملات متورطة في عمليات احتيال Rug Pull، مما يشكل نسبة تصل إلى 48.14%. بعبارة أخرى، هناك واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية متورطة في الاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أنه ليس فقط شبكة إثيريوم الرئيسية، وإنما الوضع الأمني بالكامل لبيئة العملات الجديدة في ويب 3 أكثر خطورة مما كان متوقعًا. لذلك، تم إعداد هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء ويب 3 في تعزيز الوعي بالوقاية، والبقاء vigilant في مواجهة الاحتيالات المتزايدة، واتخاذ التدابير الوقائية اللازمة لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نفهم بعض المفاهيم الأساسية.
عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المواصفات التي تتيح للعملات التفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والاستعلام عن الرصيد، وتفويض الأطراف الثالثة لإدارة العملات، وما إلى ذلك. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة استنادًا إلى معيار ERC-20 وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تندرج العملات المعروفة لدينا مثل USDT و PEPE و DOGE ضمن عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 الخبيثة التي تحتوي على أبواب خلفية ثم إدراجها في البورصات اللامركزية، ومن ثم تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب السجادة
هنا، نستخدم حالة احتيال لعملة Rug Pull لاستكشاف نمط تشغيل الاحتيال بالعملات الضارة. أولاً، يجب التوضيح أن Rug Pull تشير إلى تصرفات احتيالية حيث يقوم فريق المشروع في مشاريع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات التي تم ذكرها في هذه المقالة، تُعرف أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة الاحتيال (Exit Scam)"، ولكن في النص أدناه سنشير إليها بشكل موحد باسم عملة Rug Pull.
حالة
قام المهاجمون (عصابة سحب السجادة) بنشر عملة TOMMI باستخدام عنوان Deployer (0x4bAF) ثم أنشأوا بركة سيولة باستخدام 1.5 ETH و 100,000,000 من عملات TOMMI، واشترو بنشاط عملات TOMMI من عناوين أخرى لتزوير حجم تداول بركة السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملات TOMMI. عندما وقع عدد معين من روبوتات الشراء الجديدة في الفخ، استخدم المهاجم عنوان Rug Puller (0x43a9) لتنفيذ سحب السجادة، حيث قام Rug Puller بضرب بركة السيولة بـ 38,739,354 عملة TOMMI، واستبدلها بحوالي 3.95 ETH. مصدر عملات Rug Puller كان من التفويض الخبيث لـApprove لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحية approve لبركة السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ سحب السجادة.
عنوان ذو صلة
المعاملات ذات الصلة
عملية سحب السجادة
1. إعداد الأموال للهجوم.
قام المهاجمون من خلال البورصة بشحن 2.47309009 ايثر إلى Token Deployer (0x4bAF) كأموال بدء لعملية السحب.
2. نشر عملة Rug Pull مع باب خلفي.
قام Deployer بإنشاء عملة TOMMI ، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
3. إنشاء بركة السيولة الأولية.
قام المطور بإنشاء حوض سيولة باستخدام 1.5 من ايثر وجميع العملات المستخرجة مسبقًا، وحصل على حوالي 0.387 من رموز LP.
4. تدمير جميع إمدادات العملة المسبقة التعدين.
سيقوم Token Deployer بإرسال جميع LP عملات إلى عنوان 0 لتدميرها، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقدت نظريًا القدرة على Rug Pull في هذه المرحلة. (هذه أيضًا واحدة من الشروط الضرورية لجذب روبوتات الطرح الجديد، حيث تقوم بعض روبوتات الطرح الجديد بتقييم ما إذا كانت عملات الطرح الجديدة تحتوي على مخاطر Rug Pull، كما أن Deployer ستقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال لروبوتات الطرح الجديد).
5. حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI من تجمع السيولة بشكل نشط، مما يرفع حجم التداول في التجمع، ويجذب المزيد من روبوتات الاشتراك (الاستدلال على أن هذه العناوين مزورة من قبل المهاجمين: الأموال من العناوين ذات الصلة تأتي من عناوين تحويل الأموال التاريخية لفرقة Rug Pull).
6. المهاجم بدأ عملية سحب السجادة من خلال عنوان Rug Puller (0x43A9) ، وسحب 38,739,354 عملة مباشرة من حوض السيولة عبر باب خلفي من الرموز ، ثم استخدم هذه العملات لتفريغ الحوض وسحب حوالي 3.95 من ايثر.
7. أرسل المهاجم الأموال الناتجة عن عملية Rug Pull إلى عنوان الترحيل 0xD921.
8. عنوان التحويل 0xD921 يقوم بإرسال الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما يكتمل سحب السجادة (Rug Pull)، يقوم ساحب السجادة (Rug Puller) بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو مكان تجميع الأموال من العديد من حالات سحب السجادة (Rug Pull) التي تم مراقبتها، وسيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة (Rug Pull)، بينما سيتم سحب كمية صغيرة متبقية عبر البورصة.
كود سحب السجادة ثغرة
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ Rug Pull من خلال تدمير LP عملة، إلا أنهم في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء تجمع السيولة بتفويض عنوان Rug Puller لنقل عملة، مما يمكّن عنوان Rug Puller من سحب العملة مباشرة من تجمع السيولة.
الهدف الرئيسي من تنفيذ دالة openTrading هو إنشاء حمام سائل جديد، لكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة، مما سمح لـ uniswapV2Pair بالموافقة على نقل العملة إلى عنوان _chefAddress بكمية تساوي type(uint256). حيث أن uniswapV2Pair هو عنوان حمام السيولة، و _chefAddress هو عنوان Rug Puller، والذي يتم تحديده عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المهاجم بتوفير مصدر تمويل لعنوان النشر (Deployer) من خلال البورصة.
يقوم المطور بإنشاء بركة السيولة وتدمير عملة LP: بعد أن يقوم المطور بإنشاء عملة Rug Pull، يقوم على الفور بإنشاء بركة السيولة الخاصة بها، وتدمير عملة LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم ساحب البساط بتبادل كمية كبيرة من العملات مقابل ETH في صندوق السيولة: عنوان ساحب البساط (Rug Puller) يستخدم كمية كبيرة من العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي عرض العملات) لتبادلها مقابل ETH في صندوق السيولة. في حالات أخرى، يمكن أن يقوم ساحب البساط أيضًا بإزالة السيولة للحصول على ETH الموجود في الصندوق.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: يقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم الانتقال عبر عنوان وسيط.
الخصائص المذكورة أعلاه موجودة بشكل عام