Près de la moitié des nouveaux jetons de l'écosystème Ethereum sont soupçonnés d'être des scams de type Rug Pull, d'une ampleur de 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum.
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en chaîne.
Ensuite, une enquête approfondie a été menée sur ces cas de Rug Pull, révélant l'existence de groupes criminels organisés derrière eux, et résumant les caractéristiques typiques de ces escroqueries. En analysant en profondeur les méthodes d'opération de ces groupes, une possible méthode de promotion frauduleuse de Rug Pull a été découverte : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement à en tirer profit par le biais de Rug Pull.
Des informations sur les jetons poussés par ces groupes Telegram ont été collectées entre novembre 2023 et début août 2024, révélant un total de 93 930 nouveaux jetons, dont 46 526 sont liés à des Rug Pull, représentant 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, générant un bénéfice de 282 699,96 ETH avec un taux de retour allant jusqu'à 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, des données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période ont été collectées. Les données montrent qu'au cours de cette période, un total de 100 260 nouveaux jetons ont été émis, dont 89,99 % proviennent de jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, ce qui dépasse largement les attentes raisonnables. Après une enquête approfondie, la vérité découverte est inquiétante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux de blockchain. Cela signifie que non seulement le réseau principal Ethereum, mais que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face aux escroqueries qui surgissent sans cesse et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, nous allons d'abord comprendre quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de normes qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que les transferts, la consultation de soldes et l'autorisation de tiers pour gérer des jetons. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En fait, n'importe quel individu ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers par le biais de la prévente de jetons. En raison de l'application répandue des jetons ERC-20, ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains gangs de fraudeurs peuvent également émettre des jetons ERC-20 malveillants avec des portes dérobées dans le code, les répertoriant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Exemple typique d'escroquerie de Rug Pull Jeton
Ici, nous empruntons un cas de fraude avec un jeton Rug Pull pour examiner en profondeur le modèle opérationnel des escroqueries de jetons malveillants. Tout d'abord, il convient de préciser que Rug Pull fait référence à un acte de fraude où les développeurs d'un projet retirent soudainement des fonds ou abandonnent le projet dans le cadre d'un projet de finance décentralisée, ce qui entraîne d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois également appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans ce qui suit, nous les appellerons uniformément jetons Rug Pull.
cas
Les attaquants (le gang Rug Pull) ont déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis ont créé un pool de liquidité avec 1,5 ETH et 100 000 000 jetons TOMMI, et ont acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de nouvelles sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de nouvelles se font avoir, les attaquants utilisent l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour écraser le pool de liquidité, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat de jeton TOMMI, qui accorde au Rug Puller des droits d'approbation sur le pool de liquidité lors du déploiement du contrat de jeton TOMMI, permettant ainsi au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité avant d'effectuer le Rug Pull.
Utilisateur déguisé en Rug Puller (l'un d'eux) : 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Adresse de transfert de fonds Rug Pull : 0x1d3970677aa2324E4822b293e500220958d493d0
Adresse de conservation des fonds Rug Pull : 0x28367D2656434b928a6799E0B091045e2ee84722
Transactions connexes
Le Deployer obtient des fonds de démarrage de l'échange : 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Déploiement du jeton TOMMI : 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Créer un pool de liquidité : 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
L'adresse de transfert de fonds envoie des fonds à un utilisateur déguisé (l'un d'eux) : 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Usurpation de l'utilisateur pour acheter des jetons (l'un d'eux) : 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envoie les fonds obtenus à l'adresse de transfert : 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
L'adresse de transit enverra des fonds à l'adresse de conservation des fonds : 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
processus de Rug Pull
1. Préparer des fonds d'attaque.
L'attaquant a rechargé 2.47309009ETH vers le Token Deployer (0x4bAF) via l'échange, comme capital de démarrage pour le Rug Pull.
2. Déployer des jetons Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100,000,000 jetons et les attribue à lui-même.
3. Créer un pool de liquidité initial.
Le Deployer a créé un pool de liquidité avec 1,5 Éther et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
4. Détruire tous les approvisionnements de Jeton pré-minés.
Le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction de Mint dans le contrat TOMMI, le déployeur de jetons a donc théoriquement perdu la capacité de Rug Pull à ce stade. (C'est aussi l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés à la piscine présentent un risque de Rug Pull. Le déployeur a également défini le propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
5. Volume de transactions falsifié.
Des attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, gonflant le volume des transactions du pool et attirant davantage des robots d'investissement (la base pour déterminer que ces adresses sont des déguisements d'attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
6. L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), transférant directement 38 739 354 jetons du pool de liquidités par la porte dérobée du token, puis a utilisé ces jetons pour écraser le pool, retirant environ 3,95 ETH.
7. L'attaquant envoie les fonds obtenus par Rug Pull à l'adresse de transfert 0xD921.
8. L'adresse de transit 0xD921 envoie des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir que lorsque le Rug Pull est terminé, le Rug Puller envoie des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds pour de nombreux cas de Rug Pull détectés, cette adresse de conservation des fonds divisera la majeure partie des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée via des échanges.
Code de porte dérobée de Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI. Cette porte dérobée permet, lors de la création de la piscine de liquidité, d'approuver le transfert des jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons de la piscine de liquidité.
La fonction openTrading a pour principale fonctionnalité de créer de nouvelles pools de liquidité, mais un attaquant a appelé la fonction de porte dérobée onInit à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver le transfert de jetons d'un montant de type (uint256) vers l'adresse _chefAddress. Ici, uniswapV2Pair est l'adresse de la pool de liquidité, et _chefAddress est l'adresse du Rug Puller, qui est spécifiée lors du déploiement du contrat.
mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via l'échange : l'attaquant fournit d'abord une source de financement pour l'adresse du déployeur (Deployer) via l'échange.
Le déployeur crée un pool de liquidités et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement un pool de liquidités pour celui-ci et détruit les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : l'adresse Rug Pull (Rug Puller) utilise une grande quantité de jetons (souvent bien supérieure à l'offre totale de jetons) pour échanger contre de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par Rug Pull à l'adresse de conservation des fonds : Rug Puller transfère l'ETH acquis à l'adresse de conservation des fonds, parfois par l'intermédiaire d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont généralement présentes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
2
Partager
Commentaire
0/400
OnChain_Detective
· 07-21 10:48
l'analyse des motifs suggère que 80% des rugpulls suivent des clusters de portefeuilles identiques... mais les débutants n'apprennent jamais, smh
Voir l'originalRépondre0
RugPullAlarm
· 07-21 10:42
Cela a encore validé mon alerte de données off-chain précédente : 90 % des soi-disant nouveaux projets sont des arnaques.
Près de la moitié des nouveaux jetons de l'écosystème Ethereum sont soupçonnés d'être des scams de type Rug Pull, d'une ampleur de 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum.
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en chaîne.
Ensuite, une enquête approfondie a été menée sur ces cas de Rug Pull, révélant l'existence de groupes criminels organisés derrière eux, et résumant les caractéristiques typiques de ces escroqueries. En analysant en profondeur les méthodes d'opération de ces groupes, une possible méthode de promotion frauduleuse de Rug Pull a été découverte : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement à en tirer profit par le biais de Rug Pull.
Des informations sur les jetons poussés par ces groupes Telegram ont été collectées entre novembre 2023 et début août 2024, révélant un total de 93 930 nouveaux jetons, dont 46 526 sont liés à des Rug Pull, représentant 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, générant un bénéfice de 282 699,96 ETH avec un taux de retour allant jusqu'à 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, des données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période ont été collectées. Les données montrent qu'au cours de cette période, un total de 100 260 nouveaux jetons ont été émis, dont 89,99 % proviennent de jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, ce qui dépasse largement les attentes raisonnables. Après une enquête approfondie, la vérité découverte est inquiétante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux de blockchain. Cela signifie que non seulement le réseau principal Ethereum, mais que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face aux escroqueries qui surgissent sans cesse et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, nous allons d'abord comprendre quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de normes qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que les transferts, la consultation de soldes et l'autorisation de tiers pour gérer des jetons. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En fait, n'importe quel individu ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers par le biais de la prévente de jetons. En raison de l'application répandue des jetons ERC-20, ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains gangs de fraudeurs peuvent également émettre des jetons ERC-20 malveillants avec des portes dérobées dans le code, les répertoriant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Exemple typique d'escroquerie de Rug Pull Jeton
Ici, nous empruntons un cas de fraude avec un jeton Rug Pull pour examiner en profondeur le modèle opérationnel des escroqueries de jetons malveillants. Tout d'abord, il convient de préciser que Rug Pull fait référence à un acte de fraude où les développeurs d'un projet retirent soudainement des fonds ou abandonnent le projet dans le cadre d'un projet de finance décentralisée, ce qui entraîne d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois également appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans ce qui suit, nous les appellerons uniformément jetons Rug Pull.
cas
Les attaquants (le gang Rug Pull) ont déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis ont créé un pool de liquidité avec 1,5 ETH et 100 000 000 jetons TOMMI, et ont acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de nouvelles sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de nouvelles se font avoir, les attaquants utilisent l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour écraser le pool de liquidité, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat de jeton TOMMI, qui accorde au Rug Puller des droits d'approbation sur le pool de liquidité lors du déploiement du contrat de jeton TOMMI, permettant ainsi au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité avant d'effectuer le Rug Pull.
adresse associée
Transactions connexes
processus de Rug Pull
1. Préparer des fonds d'attaque.
L'attaquant a rechargé 2.47309009ETH vers le Token Deployer (0x4bAF) via l'échange, comme capital de démarrage pour le Rug Pull.
2. Déployer des jetons Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100,000,000 jetons et les attribue à lui-même.
3. Créer un pool de liquidité initial.
Le Deployer a créé un pool de liquidité avec 1,5 Éther et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
4. Détruire tous les approvisionnements de Jeton pré-minés.
Le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction de Mint dans le contrat TOMMI, le déployeur de jetons a donc théoriquement perdu la capacité de Rug Pull à ce stade. (C'est aussi l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés à la piscine présentent un risque de Rug Pull. Le déployeur a également défini le propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
5. Volume de transactions falsifié.
Des attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, gonflant le volume des transactions du pool et attirant davantage des robots d'investissement (la base pour déterminer que ces adresses sont des déguisements d'attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
6. L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), transférant directement 38 739 354 jetons du pool de liquidités par la porte dérobée du token, puis a utilisé ces jetons pour écraser le pool, retirant environ 3,95 ETH.
7. L'attaquant envoie les fonds obtenus par Rug Pull à l'adresse de transfert 0xD921.
8. L'adresse de transit 0xD921 envoie des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir que lorsque le Rug Pull est terminé, le Rug Puller envoie des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds pour de nombreux cas de Rug Pull détectés, cette adresse de conservation des fonds divisera la majeure partie des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée via des échanges.
Code de porte dérobée de Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI. Cette porte dérobée permet, lors de la création de la piscine de liquidité, d'approuver le transfert des jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons de la piscine de liquidité.
La fonction openTrading a pour principale fonctionnalité de créer de nouvelles pools de liquidité, mais un attaquant a appelé la fonction de porte dérobée onInit à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver le transfert de jetons d'un montant de type (uint256) vers l'adresse _chefAddress. Ici, uniswapV2Pair est l'adresse de la pool de liquidité, et _chefAddress est l'adresse du Rug Puller, qui est spécifiée lors du déploiement du contrat.
mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via l'échange : l'attaquant fournit d'abord une source de financement pour l'adresse du déployeur (Deployer) via l'échange.
Le déployeur crée un pool de liquidités et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement un pool de liquidités pour celui-ci et détruit les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : l'adresse Rug Pull (Rug Puller) utilise une grande quantité de jetons (souvent bien supérieure à l'offre totale de jetons) pour échanger contre de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par Rug Pull à l'adresse de conservation des fonds : Rug Puller transfère l'ETH acquis à l'adresse de conservation des fonds, parfois par l'intermédiaire d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont généralement présentes.