Investigación profunda sobre los casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum

Introducción

En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?

Estas preguntas no surgen de la nada. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Es notable que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser lanzados en la cadena.

Luego, el equipo de seguridad llevó a cabo una investigación exhaustiva sobre estos casos de Rug Pull, descubriendo la existencia de grupos organizados detrás de los crímenes, y resumió las características modeladas de estas estafas. A través de un análisis profundo de los métodos de operación de estos grupos, se identificó una posible vía de promoción de fraude de los grupos de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, lucrar a través de Rug Pull.

Estadísticas muestran que, desde noviembre de 2023 hasta principios de agosto de 2024, estos grupos de Telegram han enviado un total de 93,930 nuevos Tokens, de los cuales 46,526 Tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo total invertido por los grupos detrás de estos Tokens de Rug Pull es de 149,813.72 ETH, y han obtenido ganancias de 282,699.96 ETH con una tasa de retorno de hasta 188.7%, equivalente a aproximadamente 800 millones de dólares.

Para evaluar la proporción de nuevos tokens impulsados por grupos de Telegram en la red principal de Ethereum, el equipo de seguridad recopiló datos sobre nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este tiempo se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens impulsados por grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen aproximadamente 370 nuevos tokens cada día, superando con creces las expectativas razonables. Después de una investigación continua y profunda, la verdad descubierta es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en fraudes.

Además, se han descubierto más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la mainnet de Ethereum, sino que la seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, este informe tiene como objetivo ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantenerse alerta ante los innumerables fraudes y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.

ERC-20 Token

Antes de comenzar oficialmente este informe, primero entendamos algunos conceptos básicos.

Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain actual, y definen un conjunto de normas que permiten que los tokens sean interoperables entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consulta de saldo, autorización de terceros para gestionar tokens, entre otras. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, lo que simplifica la creación y el uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros a través de la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.

Los USDT, PEPE y DOGE que conocemos son tokens ERC-20, y los usuarios pueden comprar estos tokens a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafa también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.

Casos de fraude típicos de Token Rug Pull

Aquí, utilizamos un caso de fraude de un Token Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es importante señalar que un Rug Pull se refiere a la acción fraudulenta en la que el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que provoca que los inversores sufran enormes pérdidas. Un Token Rug Pull, por lo tanto, es un Token emitido específicamente para llevar a cabo este tipo de actividad fraudulenta.

Los tokens Rug Pull mencionados en este artículo a veces también se conocen como "tokens Honey Pot" o "tokens Exit Scam", pero en el texto que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.

caso

Los atacantes (la banda Rug Pull) desplegaron el token TOMMI utilizando la dirección Deployer, luego crearon un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y mediante otras direcciones compraron activamente el token TOMMI para falsificar el volumen de transacciones del pool de liquidez con el fin de atraer a los usuarios y a los bots de lanzamiento en la cadena a comprar el token TOMMI. Cuando un número suficiente de bots de lanzamiento cae en la trampa, los atacantes utilizan la dirección Rug Puller para ejecutar el Rug Pull, donde el Rug Puller inunda el pool de liquidez con 38,739,354 tokens TOMMI, canjeando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de una autorización maliciosa de aprobación del contrato del token TOMMI; al desplegar el contrato del token TOMMI, se le otorgan permisos de aprobación del pool de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del pool de liquidez y luego llevar a cabo el Rug Pull.

proceso de Rug Pull

1. Preparar fondos para el ataque.

El atacante recargó 2.47309009Ether al Token Deployer a través de un intercambio como capital inicial para el Rug Pull.

2. Desplegar un Token de Rug Pull con puerta trasera.

Deployer crea el Token TOMMI, preextrae 100,000,000 Tokens y los asigna a sí mismo.

3. Crear un grupo de liquidez inicial.

El Desplegador creó un grupo de liquidez con 1.5 ETH y todos los Tokens pre-minados, obteniendo aproximadamente 0.387 Tokens LP.

4. Destruir toda la cantidad de suministro de Token preminado.

Token Deployer envía todos los LP Tokens a la dirección 0 para su destrucción. Dado que el contrato de TOMMI no tiene la función de Mint, en este momento, el Token Deployer ha perdido teóricamente la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer a los bots de nuevas inversiones, algunos bots de nuevas inversiones evaluarán si los tokens recién añadidos al pool presentan riesgo de Rug Pull. Deployer también establece al propietario del contrato como la dirección 0, todo esto es para engañar el programa antifraude de los bots de nuevas inversiones).

5. Volumen de transacciones falsificado.

Los atacantes utilizan múltiples direcciones para comprar activamente el Token TOMMI desde el pool de liquidez, aumentando el volumen de transacciones del pool y atrayendo aún más a los bots de nuevas inversiones (la base para determinar que estas direcciones son de atacantes disfrazados: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).

6. El atacante inicia un Rug Pull a través de la dirección de Rug Puller, transfiriendo directamente 38,739,354 tokens del fondo de liquidez a través de una puerta trasera del token, y luego utiliza estos tokens para inundar el fondo, obteniendo aproximadamente 3.95 ETH.

7. El atacante envía los fondos obtenidos del Rug Pull a una dirección de intermediación.

8. La dirección de transbordo enviará los fondos a la dirección de retención de fondos. De aquí podemos ver que, una vez completada la estafa Rug Pull, el estafador Rug Pull enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es un lugar donde se agrupan los fondos de muchos casos de estafa Rug Pull monitoreados; esta dirección dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que la cantidad restante se retirará a través de algún intercambio.

código de puerta trasera de Rug Pull

Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del Token TOMMI, que permite al Liquidity Pool aprobar la transferencia de Tokens al Rug Puller cuando se crea el Liquidity Pool, lo que permite que la dirección del Rug Puller retire Tokens directamente del Liquidity Pool.

modo de operación

A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:

1. El Deployer obtiene fondos a través de un intercambio: el atacante primero proporciona una fuente de fondos para la dirección del desplegador (Deployer) a través de un intercambio.

2. El Deployer crea un pool de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el desplegador inmediatamente crea un pool de liquidez para él y quema los tokens LP, para aumentar la credibilidad del proyecto y atraer a más inversores.

3. Rug Puller utiliza una gran cantidad de Token para canjear ETH en el fondo de liquidez: la dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Token (generalmente una cantidad que supera con creces el suministro total de Token) para canjear ETH en el fondo de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del fondo al retirar liquidez.

4. Rug Puller transferirá el ETH obtenido de Rug Pull a la dirección de retención de fondos: el Rug Puller transferirá el ETH obtenido a la dirección de retención de fondos, a veces a través de una dirección intermedia como transición.

Las características mencionadas son comunes en los casos capturados, lo que indica que el comportamiento de Rug Pull tiene rasgos de patrón claramente definidos. Además, tras completar un Rug Pull, los fondos suelen ser reunidos en una dirección de retención de fondos, lo que sugiere que estos casos de Rug Pull aparentemente independientes pueden estar involucrados con el mismo grupo de estafadores o incluso el mismo.

Basado en estas características, se extrajo un patrón de comportamiento de Rug Pull y se utilizó este patrón para escanear los casos monitoreados, con el objetivo de construir un posible perfil de la banda de estafadores.

Pandilla de Rug Pull

dirección de retención de fondos de minería

Como se mencionó anteriormente, los casos de Rug Pull suelen reunir fondos en una dirección de retención de fondos al final. Basado en este patrón, se seleccionaron algunas direcciones de retención de fondos altamente activas y con características de métodos de operación claramente asociadas para un análisis más profundo.

Se han identificado 7 direcciones de retención de fondos, que están asociadas a un total de 1,124 casos de Rug Pull, capturados con éxito por el sistema de monitoreo de ataques en la cadena. Después de implementar con éxito el fraude, el grupo de Rug Pull reúne las ganancias ilegales en estas direcciones de retención de fondos. Estas direcciones de retención de fondos dividirán los fondos acumulados para crear nuevos Tokens en futuros fraudes de Rug Pull, manipular pools de liquidez y realizar otras actividades. Además, una pequeña parte de los fondos acumulados se convierte en efectivo a través de algún intercambio o plataforma de intercambio instantáneo.

En un esquema completo de Rug Pull, el grupo de Rug Pull generalmente utiliza una dirección como el desplegador (Deployer) del token de Rug Pull y obtiene fondos iniciales a través de retiros de un intercambio para crear el token de Rug Pull y el correspondiente fondo de liquidez. Una vez que han atraído a un número suficiente de usuarios o robots de compra que utilizan ETH para comprar el token de Rug Pull, el grupo de Rug Pull utilizará otra dirección como ejecutor de Rug Pull (Rug Puller) para operar, transfiriendo los fondos obtenidos a una dirección de retención de fondos.

Es importante señalar que los grupos de Rug Pull, al llevar a cabo el fraude, también utilizan activamente ETH para comprar los tokens de Rug Pull que han creado, con el fin de simular actividades normales de liquidez y atraer a los bots de nuevas compras. Sin embargo, este costo no se incluye en los cálculos, por lo que las ganancias reales son relativamente bajas.

En realidad, incluso si los fondos finales se agrupan en diferentes direcciones de retención de fondos, debido a las numerosas similitudes entre los casos asociados a estas direcciones (como las formas de implementación de la puerta trasera de Rug Pull, las rutas de encashado, etc.), todavía se sospecha altamente que estas direcciones de retención de fondos pueden pertenecer al mismo grupo.

vinculación entre direcciones de retención de fondos de minería

Un indicador importante para determinar si existe una relación entre las direcciones de retención de fondos es verificar si hay una relación de transferencia directa entre estas direcciones. Para validar la relación entre las direcciones de retención de fondos, se han rastreado y analizado los registros de transacciones históricas de estas direcciones.

En la mayoría de los casos analizados en el pasado, las ganancias de cada esquema de Rug Pull finalmente solo fluyen hacia una dirección de retención de fondos específica. No es posible asociar diferentes direcciones de retención de fondos a través del seguimiento del flujo de fondos de ganancias. Por lo tanto, es necesario detectar el flujo de fondos entre estas direcciones de retención para obtener la asociación directa entre ellas.

Es necesario señalar que algunas direcciones son fondos de reserva.