Casi la mitad de los nuevos tokens del ecosistema de Ethereum están involucrados en un esquema de Lavado de ojos con un tamaño de 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas preguntas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Cabe destacar que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser lanzados en la cadena.
Posteriormente, se realizó una investigación profunda sobre estos casos de Rug Pull, descubriendo la existencia de bandas organizadas detrás de ellos, y se resumieron las características patrón de estos fraudes. A través de un análisis exhaustivo de los métodos de operación de estas bandas, se identificó una posible vía de promoción de estafas por parte de los grupos de Rug Pull: los grupos de Telegram. Estas bandas aprovechan la funcionalidad "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través del Rug Pull.
Se han recopilado las informaciones sobre el envío de tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, y se encontró que se enviaron un total de 93,930 nuevos tokens, de los cuales 46,526 tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo acumulado invertido por los grupos detrás de estos tokens de Rug Pull es de 149,813.72 Ether, y han obtenido ganancias de 282,699.96 Ether con una tasa de retorno de hasta 188.7%, lo que equivale a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promovidos en grupos de Telegram en la red principal de Ethereum, se recopiló datos sobre nuevos tokens emitidos en la red principal de Ethereum durante el mismo período. Los datos muestran que durante este tiempo se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promovidos a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen alrededor de 370 nuevos tokens cada día, superando con creces las expectativas razonables. Después de una investigación más profunda, la verdad revelada es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en una estafa.
Además, se han descubierto más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la situación de seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, se redactó este informe de investigación con la esperanza de poder ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantenerse alerta ante la proliferación de estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad. Define un conjunto de normas que permiten que los tokens sean interoperables entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consulta de saldo, autorización de terceros para gestionar los tokens, etc. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, lo que simplifica la creación y el uso de tokens. De hecho, cualquier individuo u organización puede emitir sus propios tokens basados en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros a través de la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos proyectos de ICO y finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE pertenecen a los tokens ERC-20, y los usuarios pueden comprar estos tokens a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude con Token Rug Pull
Aquí, utilizamos un caso de fraude de un Token de Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la conducta fraudulenta donde el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, causando enormes pérdidas a los inversores. El Token de Rug Pull es un Token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se denominan "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue los llamaremos uniformemente tokens Rug Pull.
caso
Los atacantes (la banda de Rug Pull) desplegaron el token TOMMI utilizando la dirección Deployer (0x4bAF), luego crearon un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez y atraer a los usuarios y a los bots de compra en la cadena para que compraran tokens TOMMI. Cuando un número determinado de bots de compra cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull, el Rug Puller inunda el pool de liquidez con 38,739,354 tokens TOMMI, canjeando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de la autorización maliciosa de Aprobar en el contrato del token TOMMI; cuando se despliega el contrato del token TOMMI, se otorgan permisos de aprobación del pool de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del pool de liquidez y realizar el Rug Pull.
Usuarios disfrazados de Rug Puller (uno de ellos): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Dirección de transferencia de fondos de Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
Dirección de retención de fondos de Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
transacciones relacionadas
El Deployer obtiene capital inicial del intercambio: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Despliegue del Token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Crear un fondo de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Dirección de transferencia de fondos envía fondos a usuario disfrazado (uno de ellos): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Disfrazar a los usuarios que compran Token (uno de ellos): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envía los fondos obtenidos a la dirección de intermediación: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
La dirección de tránsito envía fondos a la dirección de retención de fondos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
proceso de Rug Pull
1. Preparar fondos para el ataque.
El atacante recargó 2.47309009ETH al Token Deployer (0x4bAF) a través del intercambio como capital inicial para el Rug Pull.
2. Desplegar un Token de Rug Pull con puerta trasera.
Deployer crea el Token TOMMI, preminando 100,000,000 monedas y asignándolas a sí mismo.
3. Crear un fondo de liquidez inicial.
El Deployer usó 1.5 ETH y todos los tokens preminados para crear un fondo de liquidez, obteniendo aproximadamente 0.387 tokens LP.
4. Destruir toda la cantidad de suministro de Token preminados.
Token Deployer envía todos los LP Tokens a la dirección 0 para destruirlos. Dado que el contrato TOMMI no tiene función de Mint, en este momento, el Token Deployer teóricamente ha perdido la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer a los bots de nuevas inversiones, ya que algunos bots evalúan si los tokens recién ingresados al fondo tienen riesgo de Rug Pull. El Deployer también establece al propietario del contrato en la dirección 0, todo para engañar a los programas antifraude de los bots de nuevas inversiones).
5. Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, elevando el volumen de transacciones del fondo y atrayendo aún más a los bots de nuevos lanzamientos (la base para determinar que estas direcciones son disfrazadas por los atacantes: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).
6. El atacante inició el Rug Pull a través de la dirección Rug Puller (0x43A9), transfiriendo directamente 38,739,354 Token del fondo de liquidez a través de una puerta trasera del token, y luego utilizó estos tokens para inyectar en el fondo, obteniendo aproximadamente 3.95 Ether.
7. El atacante envía los fondos obtenidos del Rug Pull a la dirección intermedia 0xD921.
8. La dirección de transferencia 0xD921 envía fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, una vez que se completa el Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es un lugar donde se agrupan una gran cantidad de casos de Rug Pull monitoreados, y esta dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para comenzar una nueva ronda de Rug Pull, mientras que una pequeña cantidad de fondos se retirará a través de intercambios.
código de puerta trasera de Rug Pull
Los atacantes, aunque ya han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que al crear un grupo de liquidez, este apruebe la transferencia de tokens hacia la dirección del Rug Puller, lo que permite que la dirección del Rug Puller pueda retirar directamente tokens del grupo de liquidez.
La implementación de la función openTrading tiene como función principal crear nuevos pools de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esa función, permitiendo que uniswapV2Pair otorgue a la dirección _chefAddress la autorización para transferir una cantidad de tipo (uint256) de tokens. Donde uniswapV2Pair es la dirección del pool de liquidez y _chefAddress es la dirección del Rug Puller, que se especifica al desplegar el contrato.
modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Deployer obtiene fondos a través del intercambio: el atacante primero proporciona una fuente de fondos para la dirección del Deployer a través del intercambio.
El Deployer crea un pool de liquidez y quema los tokens LP: después de crear el token Rug Pull, el desplegador inmediatamente creará un pool de liquidez y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Token para intercambiar ETH en el fondo de liquidez: La dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Token (normalmente una cantidad que supera con creces el suministro total de Token) para intercambiar ETH en el fondo de liquidez. En otros casos, el Rug Puller también obtiene ETH del fondo al eliminar liquidez.
Rug Puller transfiere el ETH obtenido de Rug Pull a la dirección de retención de fondos: el Rug Puller transferirá el ETH adquirido a la dirección de retención de fondos, a veces a través de una dirección intermedia para la transición.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
2
Compartir
Comentar
0/400
OnChain_Detective
· 07-21 10:48
el análisis de patrones sugiere que el 80% de los rugpulls siguen clústeres de billeteras idénticos... pero los novatos nunca aprenden smh
Ver originalesResponder0
RugPullAlarm
· 07-21 10:42
Nuevamente se ha verificado mi alerta de datos en cadena anterior, el 90% de los supuestos nuevos proyectos son estafas.
Casi la mitad de los nuevos tokens del ecosistema de Ethereum están involucrados en un esquema de Lavado de ojos con un tamaño de 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas preguntas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Cabe destacar que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser lanzados en la cadena.
Posteriormente, se realizó una investigación profunda sobre estos casos de Rug Pull, descubriendo la existencia de bandas organizadas detrás de ellos, y se resumieron las características patrón de estos fraudes. A través de un análisis exhaustivo de los métodos de operación de estas bandas, se identificó una posible vía de promoción de estafas por parte de los grupos de Rug Pull: los grupos de Telegram. Estas bandas aprovechan la funcionalidad "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través del Rug Pull.
Se han recopilado las informaciones sobre el envío de tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, y se encontró que se enviaron un total de 93,930 nuevos tokens, de los cuales 46,526 tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo acumulado invertido por los grupos detrás de estos tokens de Rug Pull es de 149,813.72 Ether, y han obtenido ganancias de 282,699.96 Ether con una tasa de retorno de hasta 188.7%, lo que equivale a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promovidos en grupos de Telegram en la red principal de Ethereum, se recopiló datos sobre nuevos tokens emitidos en la red principal de Ethereum durante el mismo período. Los datos muestran que durante este tiempo se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promovidos a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen alrededor de 370 nuevos tokens cada día, superando con creces las expectativas razonables. Después de una investigación más profunda, la verdad revelada es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en una estafa.
Además, se han descubierto más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la situación de seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, se redactó este informe de investigación con la esperanza de poder ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantenerse alerta ante la proliferación de estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad. Define un conjunto de normas que permiten que los tokens sean interoperables entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consulta de saldo, autorización de terceros para gestionar los tokens, etc. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, lo que simplifica la creación y el uso de tokens. De hecho, cualquier individuo u organización puede emitir sus propios tokens basados en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros a través de la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos proyectos de ICO y finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE pertenecen a los tokens ERC-20, y los usuarios pueden comprar estos tokens a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude con Token Rug Pull
Aquí, utilizamos un caso de fraude de un Token de Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la conducta fraudulenta donde el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, causando enormes pérdidas a los inversores. El Token de Rug Pull es un Token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se denominan "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue los llamaremos uniformemente tokens Rug Pull.
caso
Los atacantes (la banda de Rug Pull) desplegaron el token TOMMI utilizando la dirección Deployer (0x4bAF), luego crearon un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez y atraer a los usuarios y a los bots de compra en la cadena para que compraran tokens TOMMI. Cuando un número determinado de bots de compra cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull, el Rug Puller inunda el pool de liquidez con 38,739,354 tokens TOMMI, canjeando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de la autorización maliciosa de Aprobar en el contrato del token TOMMI; cuando se despliega el contrato del token TOMMI, se otorgan permisos de aprobación del pool de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del pool de liquidez y realizar el Rug Pull.
dirección relacionada
transacciones relacionadas
proceso de Rug Pull
1. Preparar fondos para el ataque.
El atacante recargó 2.47309009ETH al Token Deployer (0x4bAF) a través del intercambio como capital inicial para el Rug Pull.
2. Desplegar un Token de Rug Pull con puerta trasera.
Deployer crea el Token TOMMI, preminando 100,000,000 monedas y asignándolas a sí mismo.
3. Crear un fondo de liquidez inicial.
El Deployer usó 1.5 ETH y todos los tokens preminados para crear un fondo de liquidez, obteniendo aproximadamente 0.387 tokens LP.
4. Destruir toda la cantidad de suministro de Token preminados.
Token Deployer envía todos los LP Tokens a la dirección 0 para destruirlos. Dado que el contrato TOMMI no tiene función de Mint, en este momento, el Token Deployer teóricamente ha perdido la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer a los bots de nuevas inversiones, ya que algunos bots evalúan si los tokens recién ingresados al fondo tienen riesgo de Rug Pull. El Deployer también establece al propietario del contrato en la dirección 0, todo para engañar a los programas antifraude de los bots de nuevas inversiones).
5. Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, elevando el volumen de transacciones del fondo y atrayendo aún más a los bots de nuevos lanzamientos (la base para determinar que estas direcciones son disfrazadas por los atacantes: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).
6. El atacante inició el Rug Pull a través de la dirección Rug Puller (0x43A9), transfiriendo directamente 38,739,354 Token del fondo de liquidez a través de una puerta trasera del token, y luego utilizó estos tokens para inyectar en el fondo, obteniendo aproximadamente 3.95 Ether.
7. El atacante envía los fondos obtenidos del Rug Pull a la dirección intermedia 0xD921.
8. La dirección de transferencia 0xD921 envía fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, una vez que se completa el Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es un lugar donde se agrupan una gran cantidad de casos de Rug Pull monitoreados, y esta dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para comenzar una nueva ronda de Rug Pull, mientras que una pequeña cantidad de fondos se retirará a través de intercambios.
código de puerta trasera de Rug Pull
Los atacantes, aunque ya han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que al crear un grupo de liquidez, este apruebe la transferencia de tokens hacia la dirección del Rug Puller, lo que permite que la dirección del Rug Puller pueda retirar directamente tokens del grupo de liquidez.
La implementación de la función openTrading tiene como función principal crear nuevos pools de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esa función, permitiendo que uniswapV2Pair otorgue a la dirección _chefAddress la autorización para transferir una cantidad de tipo (uint256) de tokens. Donde uniswapV2Pair es la dirección del pool de liquidez y _chefAddress es la dirección del Rug Puller, que se especifica al desplegar el contrato.
modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Deployer obtiene fondos a través del intercambio: el atacante primero proporciona una fuente de fondos para la dirección del Deployer a través del intercambio.
El Deployer crea un pool de liquidez y quema los tokens LP: después de crear el token Rug Pull, el desplegador inmediatamente creará un pool de liquidez y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Token para intercambiar ETH en el fondo de liquidez: La dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Token (normalmente una cantidad que supera con creces el suministro total de Token) para intercambiar ETH en el fondo de liquidez. En otros casos, el Rug Puller también obtiene ETH del fondo al eliminar liquidez.
Rug Puller transfiere el ETH obtenido de Rug Pull a la dirección de retención de fondos: el Rug Puller transferirá el ETH adquirido a la dirección de retención de fondos, a veces a través de una dirección intermedia para la transición.
Estas características son ampliamente comunes.