كشف خفايا فوضى نظام عملة إيثريوم: تحقيق عميق في حالات سحب البساط
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تُصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه الأسئلة ليست بلا أساس. على مدار الأشهر القليلة الماضية، قامت فريق أمان معين بالتقاط عدد كبير من حالات عمليات سحب السجادة. ومن الجدير بالذكر أن جميع العملات التي كانت متورطة في هذه الحالات كانت عملات جديدة تم إدراجها على السلسلة للتو.
بعد ذلك، قامت فريق الأمان بإجراء تحقيق متعمق في حالات سحب البساط هذه، واكتشفت وجود عصابات منظمة وراءها، وقامت بتلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل أساليب عمل هذه العصابات بعمق، تم اكتشاف طريق محتمل للترويج للاحتيال من قبل عصابات سحب البساط: مجموعات Telegram. تستخدم هذه العصابات وظيفة "متعقب الرموز الجديدة" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الأرباح من خلال سحب البساط.
قامت فرق الأمان بإحصاء معلومات دفع العملات من مجموعات تلغرام هذه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجدت أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من العملات المعنية بسحب السجادة، وهو ما يمثل 49.53%. وفقًا للإحصائيات، كانت التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات المعنية بسحب السجادة 149,813.72 ايثر، وقد حققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد يصل إلى 188.7%، أي ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعات Telegram على شبكة إثيريوم الرئيسية، قامت الفريق الأمني بإحصاء بيانات العملات الجديدة التي تم إصدارها في نفس الفترة على شبكة إثيريوم الرئيسية. تظهر البيانات أنه تم إصدار 100,260 نوعًا جديدًا من العملات خلال هذه الفترة، حيث تشكل العملات المدفوعة عبر مجموعات Telegram 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات كل يوم، وهو رقم يتجاوز التوقعات المعقولة. بعد إجراء تحقيقات متعمقة، كانت الحقيقة مقلقة — حيث إن 48,265 نوعًا من العملات على الأقل مشمولة في احتيال Rug Pull، وهو ما يمثل 48.14%. بعبارة أخرى، فإن تقريبًا واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية متورطة في الاحتيال.
بالإضافة إلى ذلك، تم العثور على المزيد من حالات سحب السجادة في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا الرموز الجديدة في Web3 بأكملها أكثر صعوبة مما كان متوقعًا، وليس فقط على الشبكة الرئيسية لإيثر. لذلك، يأمل هذا التقرير في مساعدة جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء متيقظين في مواجهة الاحتيالات المتكررة، واتخاذ التدابير اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نتعرف على بعض المفاهيم الأساسية.
عملات ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين مختلف العقود الذكية وتطبيقات اللامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، الاستعلام عن الرصيد، وتفويض إدارة العملة لطرف ثالث. نظرًا لهذا البروتوكول الموحد، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال الأولي لمشاريعهم المالية من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
USDT و PEPE و DOGE التي نعرفها جميعًا هي عملات ERC-20، يمكن للمستخدمين شراء هذه العملات من خلال بورصات لامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية، وإدراجها في البورصات اللامركزية، ثم تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب البساط
هنا، نستخدم حالة احتيال عملة Rug Pull كمثال لفهم نماذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، من الضروري توضيح أن Rug Pull تشير إلى سلوك احتيالي حيث يسحب فريق المشروع فجأة الأموال أو يتخلى عن المشروع في مشاريع التمويل اللامركزي، مما يؤدي إلى تكبد المستثمرين خسائر كبيرة. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا السلوك الاحتيالي.
العملات المميزة المذكورة في هذه المقالة، تُعرف أحيانًا باسم "خزانة (Honey Pot) عملة" أو "خداع الخروج (Exit Scam) عملة"، لكننا سنشير إليها في ما يلي باسم عملات Rug Pull.
حالة
المهاجم ( مجموعة Rug Pull ) استخدم عنوان Deployer ( 0x4bAF ) لنشر عملة TOMMI، ثم استخدم 1.5 إيثريوم و 100,000,000 من عملة TOMMI لإنشاء حوض سيولة، وقام بشكل نشط بشراء عملة TOMMI من خلال عناوين أخرى لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما وقع عدد معين من روبوتات الشراء في الفخ، استخدم المهاجم عنوان Rug Puller ( 0x43a9) لتنفيذ عملية Rug Pull، حيث قام Rug Puller بتفريغ 38,739,354 من عملة TOMMI في حوض السيولة، واستبدلها بحوالي 3.95 إيثريوم. مصدر عملة Rug Puller جاء من التفويض الضار للـApprove من عقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحية approve لحوض السيولة لـRug Puller، مما يسمح لـRug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم القيام بعملية Rug Pull.
عنوان ذي صلة
الناشر:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
رمز تومي: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
Rug Pull أرسل الأموال إلى عنوان التحويل: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
عنوان التحويل سيقوم بإرسال الأموال إلى عنوان الاحتفاظ بالأموال:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
عملية سحب السجادة
إعداد أموال الهجوم.
قام المهاجمون من خلال البورصة بتمويل Token Deployer(0x4bAF) بمبلغ 2.47309009ETH كأموال لبدء عملية Rug Pull.
نشر عملة Rug Pull بها باب خلفي.
قام Deployer بإنشاء عملة TOMMI، وقام بعملية تعدين مسبق لـ 100,000,000 عملة وتوزيعها على نفسه.
إنشاء مجموعة السيولة الأولية.
قام المطور بإنشاء تجمع السيولة باستخدام 1.5 ايثر وجميع العملات المسبقة الصنع، وحصل على حوالي 0.387 عملة LP.
تدمير جميع كمية التوكنات المستخرجة مسبقاً.
تم إرسال جميع عملات LP بواسطة Token Deployer إلى عنوان 0 للتدمير، وبما أنه لا توجد وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. ( هذا هو أيضًا أحد الشروط الضرورية لجذب روبوتات الطرح الأول، حيث ستقوم بعض روبوتات الطرح الأول بتقييم ما إذا كانت العملات الجديدة المدخلة في التجمع تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الطرح الأول ).
حجم المعاملات المزيف.
المهاجمون يقومون بنشاط بشراء عملة TOMMI من بركة السيولة باستخدام عناوين متعددة، مما يرفع حجم التداول في البركة، ويجذب المزيد من روبوتات التداول للدخول. (. الحكم على أن هذه العناوين هي عناوين متخفية للمهاجمين: الأموال المتعلقة بهذه العناوين تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull. ).
المهاجم يبدأ Rug Pull من عنوان Rug Puller (0x43A9)، ومن خلال ثغرة في العملة، يقوم بتحويل 38,739,354 عملة مباشرة من صندوق السيولة، ثم يستخدم هذه العملة لضرب الصندوق وسحب حوالي 3.95 ايثر.
قام المهاجم بإرسال الأموال الناتجة عن سحب السجادة إلى عنوان التحويل 0xD921.
عنوان التحويل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى، عندما يكتمل سحب السجادة، يقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو المكان الذي يتم فيه تجميع الأموال من العديد من حالات سحب السجادة التي تم رصدها، حيث يقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة، بينما سيتم سحب كمية صغيرة متبقية من الأموال عبر البورصة. تم اكتشاف عدة عناوين احتفاظ بالأموال، 0x2836 هو واحد منها.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا من خلال تدمير رموز LP إثبات أنهم غير قادرين على تنفيذ عملية السحب المفاجئ، إلا أن المهاجمين في الواقع قد تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء مجموعة السيولة لمجموعة السيولة بإعطاء عنوان الساحب المفاجئ إذن تحويل الرموز، مما يمكّن عنوان الساحب المفاجئ من سحب الرموز مباشرة من مجموعة السيولة.
تظهر تنفيذ دالة openTrading في الشكل 9، ووظيفتها الرئيسية هي إنشاء بركة سيولة جديدة، لكن المهاجم استدعى دالة الباب الخلفي onInit( داخل تلك الدالة كما هو موضح في الشكل 10، مما سمح لـ uniswapV2Pair بالموافقة على نقل عدد من العملات إلى عنوان _chefAddress بمقدار type)uint256(. حيث أن uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، و _chefAddress تم تحديده عند نشر العقد ) كما هو موضح في الشكل 11.
( نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يحصل Deployer على التمويل من خلال البورصة: يبدأ المهاجمون بتوفير مصدر التمويل لعنوان Deployer) من خلال البورصة.
يقوم المطور بإنشاء تجمع السيولة وتدمير رموز LP: بعد إنشاء رموز Rug Pull، يقوم المطور على الفور بإنشاء تجمع السيولة لها، وتدمير رموز LP، لزيادة مصداقية المشروع، وجذب المزيد من المستثمرين.
يقوم ساحب السجادة بتبادل كمية كبيرة من العملات في بركة السيولة مقابل ETH: عنوان سحب السجادة ### ساحب السجادة ( يستخدم كمية كبيرة من العملات ) غالبًا ما تكون كمية أكبر بكثير من إجمالي المعروض من العملات ( لتبادل ETH في بركة السيولة. في حالات أخرى، يمكن أن يقوم ساحب السجادة أيضًا بالحصول على ETH من البركة عن طريق إزالة السيولة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالتمويل: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالتمويل، وفي بعض الأحيان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
6
مشاركة
تعليق
0/400
MoneyBurner
· منذ 13 س
أدنى سعر تم استغلاله بالكامل حتى أدركت أن داخل السلسلة مليء بالفخاخ... هذه الموجة أدت إلى انهيار نفسي، في المرة القادمة سأراهن بشدة على أمر طويل والجميع مشارك لاستعادة رأس المال المستثمر!
近半新عملة疑涉诈骗 إثيريوم生态8亿美元Rug Pull案例العمق分析
كشف خفايا فوضى نظام عملة إيثريوم: تحقيق عميق في حالات سحب البساط
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تُصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه الأسئلة ليست بلا أساس. على مدار الأشهر القليلة الماضية، قامت فريق أمان معين بالتقاط عدد كبير من حالات عمليات سحب السجادة. ومن الجدير بالذكر أن جميع العملات التي كانت متورطة في هذه الحالات كانت عملات جديدة تم إدراجها على السلسلة للتو.
بعد ذلك، قامت فريق الأمان بإجراء تحقيق متعمق في حالات سحب البساط هذه، واكتشفت وجود عصابات منظمة وراءها، وقامت بتلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل أساليب عمل هذه العصابات بعمق، تم اكتشاف طريق محتمل للترويج للاحتيال من قبل عصابات سحب البساط: مجموعات Telegram. تستخدم هذه العصابات وظيفة "متعقب الرموز الجديدة" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الأرباح من خلال سحب البساط.
قامت فرق الأمان بإحصاء معلومات دفع العملات من مجموعات تلغرام هذه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجدت أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من العملات المعنية بسحب السجادة، وهو ما يمثل 49.53%. وفقًا للإحصائيات، كانت التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات المعنية بسحب السجادة 149,813.72 ايثر، وقد حققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد يصل إلى 188.7%، أي ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعات Telegram على شبكة إثيريوم الرئيسية، قامت الفريق الأمني بإحصاء بيانات العملات الجديدة التي تم إصدارها في نفس الفترة على شبكة إثيريوم الرئيسية. تظهر البيانات أنه تم إصدار 100,260 نوعًا جديدًا من العملات خلال هذه الفترة، حيث تشكل العملات المدفوعة عبر مجموعات Telegram 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات كل يوم، وهو رقم يتجاوز التوقعات المعقولة. بعد إجراء تحقيقات متعمقة، كانت الحقيقة مقلقة — حيث إن 48,265 نوعًا من العملات على الأقل مشمولة في احتيال Rug Pull، وهو ما يمثل 48.14%. بعبارة أخرى، فإن تقريبًا واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية متورطة في الاحتيال.
بالإضافة إلى ذلك، تم العثور على المزيد من حالات سحب السجادة في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا الرموز الجديدة في Web3 بأكملها أكثر صعوبة مما كان متوقعًا، وليس فقط على الشبكة الرئيسية لإيثر. لذلك، يأمل هذا التقرير في مساعدة جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء متيقظين في مواجهة الاحتيالات المتكررة، واتخاذ التدابير اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نتعرف على بعض المفاهيم الأساسية.
عملات ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين مختلف العقود الذكية وتطبيقات اللامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، الاستعلام عن الرصيد، وتفويض إدارة العملة لطرف ثالث. نظرًا لهذا البروتوكول الموحد، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال الأولي لمشاريعهم المالية من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
USDT و PEPE و DOGE التي نعرفها جميعًا هي عملات ERC-20، يمكن للمستخدمين شراء هذه العملات من خلال بورصات لامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية، وإدراجها في البورصات اللامركزية، ثم تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب البساط
هنا، نستخدم حالة احتيال عملة Rug Pull كمثال لفهم نماذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، من الضروري توضيح أن Rug Pull تشير إلى سلوك احتيالي حيث يسحب فريق المشروع فجأة الأموال أو يتخلى عن المشروع في مشاريع التمويل اللامركزي، مما يؤدي إلى تكبد المستثمرين خسائر كبيرة. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا السلوك الاحتيالي.
العملات المميزة المذكورة في هذه المقالة، تُعرف أحيانًا باسم "خزانة (Honey Pot) عملة" أو "خداع الخروج (Exit Scam) عملة"، لكننا سنشير إليها في ما يلي باسم عملات Rug Pull.
حالة
المهاجم ( مجموعة Rug Pull ) استخدم عنوان Deployer ( 0x4bAF ) لنشر عملة TOMMI، ثم استخدم 1.5 إيثريوم و 100,000,000 من عملة TOMMI لإنشاء حوض سيولة، وقام بشكل نشط بشراء عملة TOMMI من خلال عناوين أخرى لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما وقع عدد معين من روبوتات الشراء في الفخ، استخدم المهاجم عنوان Rug Puller ( 0x43a9) لتنفيذ عملية Rug Pull، حيث قام Rug Puller بتفريغ 38,739,354 من عملة TOMMI في حوض السيولة، واستبدلها بحوالي 3.95 إيثريوم. مصدر عملة Rug Puller جاء من التفويض الضار للـApprove من عقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحية approve لحوض السيولة لـRug Puller، مما يسمح لـRug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم القيام بعملية Rug Pull.
عنوان ذي صلة
المعاملات ذات الصلة
عملية سحب السجادة
قام المهاجمون من خلال البورصة بتمويل Token Deployer(0x4bAF) بمبلغ 2.47309009ETH كأموال لبدء عملية Rug Pull.
قام Deployer بإنشاء عملة TOMMI، وقام بعملية تعدين مسبق لـ 100,000,000 عملة وتوزيعها على نفسه.
قام المطور بإنشاء تجمع السيولة باستخدام 1.5 ايثر وجميع العملات المسبقة الصنع، وحصل على حوالي 0.387 عملة LP.
تم إرسال جميع عملات LP بواسطة Token Deployer إلى عنوان 0 للتدمير، وبما أنه لا توجد وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. ( هذا هو أيضًا أحد الشروط الضرورية لجذب روبوتات الطرح الأول، حيث ستقوم بعض روبوتات الطرح الأول بتقييم ما إذا كانت العملات الجديدة المدخلة في التجمع تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الطرح الأول ).
المهاجمون يقومون بنشاط بشراء عملة TOMMI من بركة السيولة باستخدام عناوين متعددة، مما يرفع حجم التداول في البركة، ويجذب المزيد من روبوتات التداول للدخول. (. الحكم على أن هذه العناوين هي عناوين متخفية للمهاجمين: الأموال المتعلقة بهذه العناوين تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull. ).
المهاجم يبدأ Rug Pull من عنوان Rug Puller (0x43A9)، ومن خلال ثغرة في العملة، يقوم بتحويل 38,739,354 عملة مباشرة من صندوق السيولة، ثم يستخدم هذه العملة لضرب الصندوق وسحب حوالي 3.95 ايثر.
قام المهاجم بإرسال الأموال الناتجة عن سحب السجادة إلى عنوان التحويل 0xD921.
عنوان التحويل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى، عندما يكتمل سحب السجادة، يقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو المكان الذي يتم فيه تجميع الأموال من العديد من حالات سحب السجادة التي تم رصدها، حيث يقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة، بينما سيتم سحب كمية صغيرة متبقية من الأموال عبر البورصة. تم اكتشاف عدة عناوين احتفاظ بالأموال، 0x2836 هو واحد منها.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا من خلال تدمير رموز LP إثبات أنهم غير قادرين على تنفيذ عملية السحب المفاجئ، إلا أن المهاجمين في الواقع قد تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء مجموعة السيولة لمجموعة السيولة بإعطاء عنوان الساحب المفاجئ إذن تحويل الرموز، مما يمكّن عنوان الساحب المفاجئ من سحب الرموز مباشرة من مجموعة السيولة.
تظهر تنفيذ دالة openTrading في الشكل 9، ووظيفتها الرئيسية هي إنشاء بركة سيولة جديدة، لكن المهاجم استدعى دالة الباب الخلفي onInit( داخل تلك الدالة كما هو موضح في الشكل 10، مما سمح لـ uniswapV2Pair بالموافقة على نقل عدد من العملات إلى عنوان _chefAddress بمقدار type)uint256(. حيث أن uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، و _chefAddress تم تحديده عند نشر العقد ) كما هو موضح في الشكل 11.
( نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يحصل Deployer على التمويل من خلال البورصة: يبدأ المهاجمون بتوفير مصدر التمويل لعنوان Deployer) من خلال البورصة.
يقوم المطور بإنشاء تجمع السيولة وتدمير رموز LP: بعد إنشاء رموز Rug Pull، يقوم المطور على الفور بإنشاء تجمع السيولة لها، وتدمير رموز LP، لزيادة مصداقية المشروع، وجذب المزيد من المستثمرين.
يقوم ساحب السجادة بتبادل كمية كبيرة من العملات في بركة السيولة مقابل ETH: عنوان سحب السجادة ### ساحب السجادة ( يستخدم كمية كبيرة من العملات ) غالبًا ما تكون كمية أكبر بكثير من إجمالي المعروض من العملات ( لتبادل ETH في بركة السيولة. في حالات أخرى، يمكن أن يقوم ساحب السجادة أيضًا بالحصول على ETH من البركة عن طريق إزالة السيولة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالتمويل: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالتمويل، وفي بعض الأحيان.