Desvendando os Mistérios do Ecossistema de Tokens do Ethereum: Investigação Aprofundada sobre Casos de Rug Pull
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não são infundadas. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. Vale a pena notar que, sem exceção, os tokens envolvidos nesses casos são todos novos tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe de segurança realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de um grupo organizado por trás das ações, e resumiu as características padronizadas desses golpes. Através de uma análise detalhada das táticas utilizadas por esses grupos, foi identificado um possível caminho de promoção de fraudes por parte das gangues de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
A equipe de segurança contabilizou as informações de envio de tokens desses grupos do Telegram de novembro de 2023 até o início de agosto de 2024, descobrindo que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam envolvidos em Rug Pull, representando uma taxa de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, obtendo um lucro de 282.699,96 ETH com uma taxa de retorno de até 188,7%, equivalente a cerca de 800 milhões de dólares.
Para avaliar a participação do novo token promovido em grupos do Telegram na mainnet Ethereum, a equipe de segurança compilou dados sobre novos tokens emitidos na mainnet Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representam 89,99% da mainnet. Em média, cerca de 370 novos tokens nascem por dia, superando em muito a expectativa razoável. Após uma investigação aprofundada, a verdade é preocupante - pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram descobertos em outras redes de blockchain. Isso significa que não apenas a rede principal do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que se esperava. Portanto, este relatório espera poder ajudar todos os membros do Web3 a aumentar a consciência de prevenção, mantendo-se alerta diante de golpistas em constante ascensão e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.
Tokens ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
O token ERC-20 é um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferências, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente devido à ampla aplicação dos tokens ERC-20 que eles se tornaram a base de muitos ICOs e projetos de finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, certos grupos fraudulentos também podem emitir seus próprios Tokens ERC-20 maliciosos com códigos de backdoor, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Tokens Rug Pull
Aqui, usamos um caso de fraude de um token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto em projetos de finanças descentralizadas retira de repente fundos ou abandona o projeto, causando grandes perdas aos investidores. O token Rug Pull é um token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também chamados de "蜜罐(Honey Pot) Token" ou "退出骗局(Exit Scam) Token", mas no texto a seguir nos referiremos a eles de forma uniforme como tokens Rug Pull.
caso
Atacante ( do grupo Rug Pull ) usou o endereço Deployer ( 0x4bAF ) para implantar o Token TOMMI, e então criou um pool de liquidez com 1,5 ETH e 100.000.000 Token TOMMI, comprando ativamente o Token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e robôs de novo na cadeia para comprar Token TOMMI. Quando uma quantidade suficiente de robôs de novo é enganada, o atacante usa o endereço Rug Puller ( 0x43a9) para executar o Rug Pull, o Rug Puller injetou 38.739.354 Token TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A fonte de tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do Token TOMMI, que ao ser implantado, concede ao Rug Puller permissões de aprovação do pool de liquidez, permitindo que o Rug Puller retire diretamente o Token TOMMI do pool de liquidez e, em seguida, execute o Rug Pull.
Rug Pull enviou os fundos para o endereço de transferência: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará fundos para o endereço de retenção de fundos:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
) processo de Rug Pull
Preparar fundos para o ataque.
Os atacantes, através da bolsa, recarregaram 2.47309009Éter para o Deployer de Token###0x4bAF( como capital inicial para o Rug Pull.
Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100,000,000 Tokens e atribuindo-os a si mesmo.
Criar o pool de liquidez inicial.
O Deployer usou 1,5 ETH e todos os Tokens pré-minerados para criar um pool de liquidez, obtendo cerca de 0,387 Tokens LP.
Destruir toda a quantidade de Token pré-minerada.
Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a funcionalidade Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. ) esta também é uma das condições necessárias para atrair robôs de lançamento de novos tokens, alguns robôs de lançamento de novos tokens avaliarão se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também definiu o Owner do contrato como o endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de lançamento de novos tokens (.
Volume de transações falsificado.
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool, atraindo ainda mais robôs de investimento para o mercado ). O critério para determinar que esses endereços são disfarçados de atacantes é: os fundos relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull (.
O atacante iniciou um Rug Pull através do endereço Rug Puller )0x43A9(, retirando diretamente 38,739,354 Tokens do fundo de liquidez pela porta dos fundos do token, e depois usou esses tokens para desestabilizar o fundo, retirando cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de intermediação 0xD921.
O endereço de transição 0xD921 enviou fundos para o endereço de retenção 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção. O endereço de retenção é o local onde os fundos de muitos casos de Rug Pull são reunidos; o endereço de retenção dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade de fundos será retirada através de bolsas. Vários endereços de retenção foram descobertos, e 0x2836 é um deles.
) código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull destruindo os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a liquidez aprova a transferência de tokens para o endereço do Rug Puller ao criar um pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.
A implementação da função openTrading é mostrada na Figura 9, e sua principal funcionalidade é criar um novo pool de liquidez. No entanto, o atacante chamou a função de backdoor onInit### dentro dessa função, conforme mostrado na Figura 10, fazendo com que o uniswapV2Pair aprovasse o endereço _chefAddress para transferir uma quantidade do tipo(uint256) de Token. Onde uniswapV2Pair é o endereço do pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado durante a implantação do contrato, conforme mostrado na Figura 11.
( modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através da exchange: o atacante primeiro fornece a fonte de fundos para o endereço do Deployer ) através da exchange.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar o token Rug Pull, o desenvolvedor imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de Token por ETH no pool de liquidez: Endereço de Rug Pull ( Rug Puller ) usa grandes quantidades de Token ### geralmente em quantidades muito superiores ao suprimento total de Token ( para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também obteve ETH do pool ao remover liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de reserva de fundos: o Rug Puller irá transferir o ETH obtido para o endereço de reserva de fundos, às vezes.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
6
Compartilhar
Comentário
0/400
MoneyBurner
· 13h atrás
Preço do chão foi esgotado e só então percebi que na cadeia só há armadilhas... Esta vez a mentalidade desmoronou, na próxima apostarei tudo em uma ordem longa para recuperar o investimento!
Ver originalResponder0
BearMarketBro
· 13h atrás
idiotas uma colheita após a outra...
Ver originalResponder0
ZkProofPudding
· 13h atrás
Idiotas ainda estão a arrancar novas moedas loucamente
Ver originalResponder0
AlwaysAnon
· 14h atrás
Oi, ainda está a comprar na baixa nos sonhos?
Ver originalResponder0
ContractHunter
· 14h atrás
Já vi através das armadilhas naquele grupo tg.
Ver originalResponder0
MetaDreamer
· 14h atrás
idiotas ainda não cresceram e já foram arrancados.
Análise Profunda de um Caso de Rug Pull de 8 Milhões de Dólares no Ecossistema Ethereum Envolvendo Novos Tokens Suspeitos de Fraude
Desvendando os Mistérios do Ecossistema de Tokens do Ethereum: Investigação Aprofundada sobre Casos de Rug Pull
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não são infundadas. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. Vale a pena notar que, sem exceção, os tokens envolvidos nesses casos são todos novos tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe de segurança realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de um grupo organizado por trás das ações, e resumiu as características padronizadas desses golpes. Através de uma análise detalhada das táticas utilizadas por esses grupos, foi identificado um possível caminho de promoção de fraudes por parte das gangues de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
A equipe de segurança contabilizou as informações de envio de tokens desses grupos do Telegram de novembro de 2023 até o início de agosto de 2024, descobrindo que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam envolvidos em Rug Pull, representando uma taxa de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, obtendo um lucro de 282.699,96 ETH com uma taxa de retorno de até 188,7%, equivalente a cerca de 800 milhões de dólares.
Para avaliar a participação do novo token promovido em grupos do Telegram na mainnet Ethereum, a equipe de segurança compilou dados sobre novos tokens emitidos na mainnet Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representam 89,99% da mainnet. Em média, cerca de 370 novos tokens nascem por dia, superando em muito a expectativa razoável. Após uma investigação aprofundada, a verdade é preocupante - pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram descobertos em outras redes de blockchain. Isso significa que não apenas a rede principal do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que se esperava. Portanto, este relatório espera poder ajudar todos os membros do Web3 a aumentar a consciência de prevenção, mantendo-se alerta diante de golpistas em constante ascensão e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.
Tokens ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
O token ERC-20 é um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferências, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente devido à ampla aplicação dos tokens ERC-20 que eles se tornaram a base de muitos ICOs e projetos de finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, certos grupos fraudulentos também podem emitir seus próprios Tokens ERC-20 maliciosos com códigos de backdoor, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Tokens Rug Pull
Aqui, usamos um caso de fraude de um token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto em projetos de finanças descentralizadas retira de repente fundos ou abandona o projeto, causando grandes perdas aos investidores. O token Rug Pull é um token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também chamados de "蜜罐(Honey Pot) Token" ou "退出骗局(Exit Scam) Token", mas no texto a seguir nos referiremos a eles de forma uniforme como tokens Rug Pull.
caso
Atacante ( do grupo Rug Pull ) usou o endereço Deployer ( 0x4bAF ) para implantar o Token TOMMI, e então criou um pool de liquidez com 1,5 ETH e 100.000.000 Token TOMMI, comprando ativamente o Token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e robôs de novo na cadeia para comprar Token TOMMI. Quando uma quantidade suficiente de robôs de novo é enganada, o atacante usa o endereço Rug Puller ( 0x43a9) para executar o Rug Pull, o Rug Puller injetou 38.739.354 Token TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A fonte de tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do Token TOMMI, que ao ser implantado, concede ao Rug Puller permissões de aprovação do pool de liquidez, permitindo que o Rug Puller retire diretamente o Token TOMMI do pool de liquidez e, em seguida, execute o Rug Pull.
endereço relacionado
transações relacionadas
) processo de Rug Pull
Os atacantes, através da bolsa, recarregaram 2.47309009Éter para o Deployer de Token###0x4bAF( como capital inicial para o Rug Pull.
Deployer cria o Token TOMMI, pré-minerando 100,000,000 Tokens e atribuindo-os a si mesmo.
O Deployer usou 1,5 ETH e todos os Tokens pré-minerados para criar um pool de liquidez, obtendo cerca de 0,387 Tokens LP.
Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a funcionalidade Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. ) esta também é uma das condições necessárias para atrair robôs de lançamento de novos tokens, alguns robôs de lançamento de novos tokens avaliarão se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também definiu o Owner do contrato como o endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de lançamento de novos tokens (.
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool, atraindo ainda mais robôs de investimento para o mercado ). O critério para determinar que esses endereços são disfarçados de atacantes é: os fundos relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull (.
O atacante iniciou um Rug Pull através do endereço Rug Puller )0x43A9(, retirando diretamente 38,739,354 Tokens do fundo de liquidez pela porta dos fundos do token, e depois usou esses tokens para desestabilizar o fundo, retirando cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de intermediação 0xD921.
O endereço de transição 0xD921 enviou fundos para o endereço de retenção 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção. O endereço de retenção é o local onde os fundos de muitos casos de Rug Pull são reunidos; o endereço de retenção dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade de fundos será retirada através de bolsas. Vários endereços de retenção foram descobertos, e 0x2836 é um deles.
) código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull destruindo os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a liquidez aprova a transferência de tokens para o endereço do Rug Puller ao criar um pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.
A implementação da função openTrading é mostrada na Figura 9, e sua principal funcionalidade é criar um novo pool de liquidez. No entanto, o atacante chamou a função de backdoor onInit### dentro dessa função, conforme mostrado na Figura 10, fazendo com que o uniswapV2Pair aprovasse o endereço _chefAddress para transferir uma quantidade do tipo(uint256) de Token. Onde uniswapV2Pair é o endereço do pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado durante a implantação do contrato, conforme mostrado na Figura 11.
( modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através da exchange: o atacante primeiro fornece a fonte de fundos para o endereço do Deployer ) através da exchange.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar o token Rug Pull, o desenvolvedor imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de Token por ETH no pool de liquidez: Endereço de Rug Pull ( Rug Puller ) usa grandes quantidades de Token ### geralmente em quantidades muito superiores ao suprimento total de Token ( para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também obteve ETH do pool ao remover liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de reserva de fundos: o Rug Puller irá transferir o ETH obtido para o endereço de reserva de fundos, às vezes.