Menyelidiki Kasus Rug Pull secara Mendalam, Mengungkap Kekacauan Ekosistem Token Ethereum

Pendahuluan

Dalam dunia Web3, koin baru terus bermunculan. Apakah kamu pernah berpikir, berapa banyak koin baru yang diterbitkan setiap hari? Apakah koin-koin baru ini aman?

Pertanyaan-pertanyaan ini tidak muncul tanpa alasan. Dalam beberapa bulan terakhir, tim keamanan telah menangkap banyak kasus transaksi Rug Pull. Yang menarik, semua token yang terlibat dalam kasus-kasus ini adalah token baru yang baru saja diluncurkan di blockchain.

Kemudian, tim keamanan melakukan investigasi mendalam terhadap kasus-kasus Rug Pull ini dan menemukan adanya kelompok pelaku yang terorganisir di baliknya, serta merangkum karakteristik pola dari penipuan ini. Melalui analisis mendalam terhadap metode yang digunakan oleh kelompok ini, ditemukan kemungkinan jalur promosi penipuan oleh kelompok Rug Pull: grup Telegram. Kelompok ini memanfaatkan fitur "New Token Tracer" dalam beberapa grup untuk menarik pengguna membeli token penipuan dan akhirnya mendapatkan keuntungan melalui Rug Pull.

Statistik menunjukkan bahwa dari November 2023 hingga awal Agustus 2024, grup Telegram ini telah mempromosikan 93.930 jenis Token baru, di mana ada 46.526 jenis Token yang terlibat dalam Rug Pull, yang mencapai 49,53%. Menurut statistik, total biaya yang dikeluarkan oleh kelompok di balik Token Rug Pull ini adalah 149.813,72 Ether, dan mereka memperoleh keuntungan sebesar 282.699,96 Ether dengan tingkat pengembalian yang mencapai 188,7%, setara dengan sekitar 800 juta dolar AS.

Untuk mengevaluasi proporsi token baru yang dipromosikan oleh grup Telegram di jaringan utama Ethereum, tim keamanan mengumpulkan data tentang token baru yang diterbitkan di jaringan utama Ethereum dalam periode waktu yang sama. Data menunjukkan bahwa selama periode ini, total 100.260 jenis token baru diterbitkan, di mana token yang dipromosikan oleh grup Telegram menyumbang 89,99% dari jaringan utama. Rata-rata sekitar 370 jenis token baru lahir setiap hari, jauh melebihi ekspektasi yang wajar. Setelah penyelidikan yang mendalam, kebenaran yang ditemukan sangat mengkhawatirkan—setidaknya 48.265 jenis token terlibat dalam penipuan Rug Pull, dengan proporsi mencapai 48,14%. Dengan kata lain, hampir setiap dua token baru di jaringan utama Ethereum terlibat dalam penipuan.

Selain itu, lebih banyak kasus Rug Pull juga ditemukan di jaringan blockchain lainnya. Ini berarti bahwa tidak hanya jaringan utama Ethereum, tetapi keseluruhan ekosistem token baru Web3 dalam hal keamanan jauh lebih serius dari yang diperkirakan. Oleh karena itu, laporan ini bertujuan untuk membantu semua anggota Web3 meningkatkan kesadaran pencegahan, tetap waspada terhadap penipuan yang terus-menerus muncul, dan mengambil langkah-langkah pencegahan yang diperlukan dengan tepat waktu untuk melindungi keamanan aset mereka.

ERC-20 Token

Sebelum kami memulai laporan ini secara resmi, mari kita pahami beberapa konsep dasar.

Token ERC-20 adalah salah satu standar token yang paling umum di blockchain saat ini, yang mendefinisikan serangkaian norma sehingga token dapat berinteroperasi antara kontrak pintar dan aplikasi terdesentralisasi (dApp) yang berbeda. Standar ERC-20 menetapkan fungsi dasar token, seperti transfer, pengecekan saldo, dan memberikan otorisasi kepada pihak ketiga untuk mengelola token. Karena protokol yang distandarisasi ini, para pengembang dapat lebih mudah menerbitkan dan mengelola token, sehingga menyederhanakan penciptaan dan penggunaan token. Sebenarnya, siapa pun atau organisasi mana pun dapat menerbitkan token mereka sendiri berdasarkan standar ERC-20, dan mengumpulkan dana awal untuk berbagai proyek keuangan melalui penjualan awal token. Karena aplikasi luas dari token ERC-20, ia menjadi dasar bagi banyak proyek ICO dan keuangan terdesentralisasi.

USDT, PEPE, DOGE yang kita kenal semuanya adalah Token ERC-20, pengguna dapat membeli Token ini melalui bursa terdesentralisasi. Namun, beberapa kelompok penipu juga mungkin menerbitkan Token ERC-20 jahat dengan kode pintu belakang, mendaftarkannya di bursa terdesentralisasi, dan kemudian mengelabui pengguna untuk melakukan pembelian.

Kasus Penipuan Tipikal Token Rug Pull

Di sini, kami menggunakan contoh penipuan token Rug Pull untuk memahami lebih dalam tentang modus operandi penipuan token yang jahat. Pertama-tama, perlu dijelaskan bahwa Rug Pull merujuk pada tindakan penipuan di mana pihak proyek tiba-tiba menarik dana atau meninggalkan proyek dalam proyek keuangan terdesentralisasi, yang mengakibatkan kerugian besar bagi investor. Sementara itu, token Rug Pull adalah token yang diterbitkan khusus untuk melakukan tindakan penipuan semacam ini.

Token Rug Pull yang disebutkan dalam artikel ini, kadang-kadang juga disebut sebagai "Token Honey Pot" atau "Token Exit Scam", tetapi dalam teks berikut kita akan menyebutnya secara konsisten sebagai Token Rug Pull.

kasus

Penyerang (kelompok Rug Pull) menggunakan alamat Deployer untuk menerapkan token TOMMI, kemudian menciptakan kolam likuiditas dengan 1,5 ETH dan 100.000.000 TOMMI, serta secara aktif membeli token TOMMI melalui alamat lain untuk memalsukan volume perdagangan kolam likuiditas guna menarik pengguna dan robot pembelian baru di blockchain untuk membeli token TOMMI. Ketika sejumlah robot pembelian baru tertipu, penyerang menggunakan alamat Rug Puller untuk melakukan Rug Pull, Rug Puller menggunakan 38.739.354 token TOMMI untuk menghancurkan kolam likuiditas, menukarkan sekitar 3,95 ETH. Sumber token Rug Puller berasal dari izin Approve yang jahat pada kontrak token TOMMI, saat kontrak token TOMMI diterapkan, Rug Puller diberikan izin approve untuk kolam likuiditas, yang memungkinkan Rug Puller untuk langsung menarik token TOMMI dari kolam likuiditas dan kemudian melakukan Rug Pull.

Proses Rug Pull

1. Siapkan dana untuk serangan.

Penyerang mengisi ulang 2.47309009ETH ke Token Deployer melalui suatu bursa sebagai modal untuk memulai Rug Pull.

2. Deploy Token Rug Pull yang memiliki backdoor.

Deployer membuat token TOMMI, pra-gali 100.000.000 token dan mendistribusikannya kepada dirinya sendiri.

3. Membuat kolam likuiditas awal.

Deployer menggunakan 1,5 ETH dan semua token yang telah dipra-m挖 untuk membuat kolam likuiditas, memperoleh sekitar 0,387 token LP.

4. Menghancurkan semua pasokan Token yang ditambang sebelumnya.

Token Deployer mengirimkan semua LP Token ke alamat 0 untuk dihancurkan. Karena kontrak TOMMI tidak memiliki fungsi Mint, secara teori Token Deployer sekarang telah kehilangan kemampuan untuk Rug Pull. (Ini juga merupakan salah satu syarat penting untuk menarik robot penawaran baru untuk masuk, beberapa robot penawaran baru akan mengevaluasi apakah Token baru yang masuk ke kolam memiliki risiko Rug Pull, Deployer juga mengatur Pemilik kontrak ke alamat 0, semuanya untuk menipu program anti-penipuan robot penawaran baru).

5. Volume transaksi palsu.

Penyerang menggunakan beberapa alamat untuk secara aktif membeli koin TOMMI dari kolam likuiditas, meningkatkan volume perdagangan kolam, dan lebih lanjut menarik robot investasi baru untuk masuk (dasar untuk menentukan bahwa alamat-alamat ini adalah penyamaran penyerang: dana alamat terkait berasal dari alamat transfer dana sejarah kelompok Rug Pull).

6. Penyerang memulai Rug Pull melalui alamat Rug Puller, langsung menarik 38.739.354 Token dari kolam likuiditas melalui pintu belakang token, dan kemudian menggunakan token ini untuk menghancurkan kolam, menarik sekitar 3,95 Ether.

7. Penyerang mengirimkan dana yang diperoleh dari Rug Pull ke alamat perantara.

8. Alamat perantara akan mengirimkan dana ke alamat penyimpanan dana. Dari sini kita dapat melihat bahwa, setelah Rug Pull selesai, Rug Puller akan mengirimkan dana ke suatu alamat penyimpanan dana. Alamat penyimpanan dana adalah tempat pengumpulan dana dari banyak kasus Rug Pull yang terpantau, alamat penyimpanan dana akan membagi sebagian besar dana yang diterima untuk memulai putaran Rug Pull baru, sementara sisa dana yang lebih sedikit akan ditarik melalui suatu bursa.

Kode Backdoor Rug Pull

Meskipun penyerang telah mencoba untuk membuktikan kepada dunia bahwa mereka tidak dapat melakukan Rug Pull dengan menghancurkan LP Token, namun sebenarnya penyerang telah meninggalkan pintu belakang berbahaya dengan approve yang jahat dalam fungsi openTrading dari kontrak token TOMMI. Pintu belakang ini akan memberikan izin transfer token kepada alamat Rug Puller saat membuat kolam likuiditas, sehingga alamat Rug Puller dapat langsung menarik token dari kolam likuiditas.

pola kejahatan

Melalui analisis kasus TOMMI, kita dapat merangkum 4 karakteristik berikut:

1. Deployer mendapatkan dana melalui suatu bursa: Penyerang pertama-tama menyediakan sumber dana untuk alamat Deployer melalui suatu bursa.

2. Deployer membuat kolam likuiditas dan menghancurkan token LP: Setelah menciptakan token Rug Pull, deployer segera membuat kolam likuiditas untuknya dan menghancurkan token LP untuk meningkatkan kredibilitas proyek dan menarik lebih banyak investor.

3. Rug Puller menukarkan banyak Token untuk ETH di kolam likuiditas: Alamat Rug Pull (Rug Puller) menggunakan banyak Token (biasanya jumlahnya jauh melebihi total pasokan Token) untuk menukarkan ETH di kolam likuiditas. Dalam kasus lain, Rug Puller juga mendapatkan ETH di kolam dengan menghapus likuiditas.

4. Rug Puller akan mentransfer ETH yang diperoleh dari Rug Pull ke alamat penyimpanan dana: Rug Puller akan mentransfer ETH yang diperoleh ke alamat penyimpanan dana, terkadang melalui alamat perantara sebagai jembatan.

Ciri-ciri di atas umum ditemukan dalam kasus-kasus yang ditangkap, yang menunjukkan bahwa perilaku Rug Pull memiliki karakteristik yang jelas dan terpolarisasi. Selain itu, setelah menyelesaikan Rug Pull, dana biasanya akan dikumpulkan ke dalam satu alamat penyimpanan dana, yang mengisyaratkan bahwa kasus Rug Pull yang tampak independen ini mungkin melibatkan kelompok penipuan yang sama atau bahkan satu kelompok penipuan.

Berdasarkan karakteristik ini, telah diekstraksi pola perilaku Rug Pull, dan menggunakan pola ini untuk memindai kasus-kasus yang terdeteksi, dengan harapan membangun gambaran kemungkinan sindikat penipuan.

Kelompok Pelaku Rug Pull

alamat penyimpanan dana penambangan

Seperti yang disebutkan sebelumnya, kasus Rug Pull biasanya akan mengumpulkan dana ke alamat penyimpanan dana pada akhirnya. Berdasarkan pola ini, beberapa alamat penyimpanan dana yang sangat aktif dan memiliki ciri khas metode kejahatan yang jelas dari kasus terkait dipilih untuk analisis mendalam.

Ada 7 alamat penyimpanan dana yang muncul dalam pandangan, dengan total 1.124 kasus Rug Pull yang terkait dengan alamat-alamat ini, yang berhasil ditangkap oleh sistem pemantauan serangan di blockchain. Setelah berhasil melaksanakan penipuan, kelompok Rug Pull akan mengumpulkan keuntungan ilegal ke alamat penyimpanan dana ini. Alamat penyimpanan dana ini akan membagi dana yang terakumulasi untuk menciptakan Token baru dalam penipuan Rug Pull baru di masa depan, memanipulasi kolam likuiditas, dan kegiatan lainnya. Selain itu, sebagian kecil dari dana yang terakumulasi akan dicairkan melalui bursa atau platform pertukaran kilat.

Dalam sebuah skema Rug Pull yang lengkap, kelompok Rug Pull biasanya menggunakan satu alamat sebagai pengembang (Deployer) token Rug Pull dan menarik dana awal melalui pertukaran untuk membuat token Rug Pull dan kolam likuiditas yang sesuai. Setelah menarik cukup banyak pengguna atau bot investasi untuk membeli token Rug Pull menggunakan Ether, kelompok Rug Pull akan menggunakan alamat lain sebagai pelaksana Rug Pull (Rug Puller) untuk melakukan operasi, memindahkan dana yang diperoleh ke alamat penyimpanan dana.

Perlu dijelaskan bahwa kelompok Rug Pull, saat menjalankan penipuan, juga akan secara aktif menggunakan Ether untuk membeli Token Rug Pull yang mereka buat sendiri, untuk mensimulasikan aktivitas kolam likuiditas yang normal, sehingga menarik robot penawaran baru untuk membeli. Namun, biaya bagian ini tidak dihitung, sehingga keuntungan aktual akan relatif rendah.

Sebenarnya, meskipun akhirnya dana dikumpulkan di alamat penyimpanan dana yang berbeda, namun karena adanya banyak kesamaan antara kasus-kasus yang terkait dengan alamat-alamat ini (seperti cara implementasi backdoor Rug Pull, jalur pencairan, dll.), tetap sangat diragukan bahwa alamat penyimpanan dana ini mungkin dimiliki oleh kelompok yang sama.

keterkaitan antara alamat penyimpanan dana penambangan

Salah satu indikator penting untuk menentukan apakah ada keterkaitan antara alamat penyimpanan dana adalah dengan melihat apakah ada hubungan transfer langsung antara alamat-alamat tersebut. Untuk memverifikasi keterkaitan antara alamat penyimpanan dana, kami melakukan pengambilan data dan analisis terhadap catatan transaksi sejarah dari alamat-alamat ini.

Dalam sebagian besar kasus yang dianalisis di masa lalu, setiap keuntungan dari penipuan Rug Pull pada akhirnya hanya akan mengalir ke satu alamat penyimpanan dana tertentu. Tidak mungkin untuk mengaitkan berbagai alamat penyimpanan dana dengan melacak arah aliran dana keuntungan. Oleh karena itu, perlu untuk mendeteksi aliran dana antara alamat penyimpanan dana tersebut agar dapat memperoleh hubungan langsung antara alamat penyimpanan dana.

Perlu dijelaskan bahwa beberapa alamat adalah tempat penyimpanan dana.