Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias do ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já parou para pensar em quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem do nada. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Em seguida, foi realizada uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de grupos organizados por trás dos crimes, e resumindo as características padronizadas desses golpes. Através da análise detalhada das táticas desses grupos, foi identificada uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos no Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" presente em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.
Estatísticas sobre as mensagens de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024 revelaram que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam envolvidos em Rug Pull, representando 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, com um retorno de até 188,7% lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram estatísticos os dados de novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100,260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89.99% da rede principal. Em média, cerca de 370 novos tokens surgem diariamente, superando em muito as expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é perturbadora — pelo menos 48,265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa de 48.14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, foram descobertos mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado com a esperança de ajudar todos os membros do Web3 a aumentar sua consciência de prevenção, manter-se alerta diante de fraudes em constante ascensão e tomar as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começar oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, que definem um conjunto de normas que permite que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApps). O padrão ERC-20 estabelece as funções básicas dos tokens, como transferência, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a esse protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens de forma mais fácil, simplificando a criação e o uso de tokens. Na verdade, qualquer pessoa ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos para diversos projetos financeiros por meio da pré-venda de tokens. Devido à ampla aplicação dos Tokens ERC-20, eles se tornaram a base de muitos projetos ICO e de finanças descentralizadas.
As moedas que conhecemos, USDT, PEPE e DOGE, pertencem a tokens ERC-20, e os usuários podem comprá-los através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com portas dos fundos, listá-los em exchanges descentralizadas e, em seguida, induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude com um token Rug Pull para entender melhor o modelo operacional de fraudes com tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um ato fraudulento em que a equipe do projeto, em um projeto de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, causando enormes perdas aos investidores. O token Rug Pull é um token emitido especificamente para a execução desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes referidos como "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo iremos referir-nos a eles de forma uniforme como tokens Rug Pull.
caso
Os atacantes (gangue Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o Token TOMMI, depois usaram 1,5 ETH e 100.000.000 Tokens TOMMI para criar um pool de liquidez, e compraram ativamente Tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e robôs de novas listagens na blockchain a comprar Tokens TOMMI. Quando um certo número de robôs de novas listagens caíram na armadilha, os atacantes usaram o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller despejou 38.739.354 Tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A origem do Token do Rug Puller vem da autorização maliciosa de Aprovação do contrato do Token TOMMI, que ao ser implantado concede ao Rug Puller permissões de aprovação do pool de liquidez, permitindo assim que o Rug Puller retire diretamente Tokens TOMMI do pool de liquidez e execute o Rug Pull.
Criar um pool de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Endereço de transferência de fundos envia fundos para um usuário disfarçado (um deles): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Disfarçar usuário a comprar Token (um deles): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envia os fundos obtidos para o endereço intermediário: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará os fundos para o endereço de retenção de fundos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Processo de Rug Pull
1. Preparar fundos para o ataque.
Atacantes recarregaram 2.47309009ETH para o Token Deployer (0x4bAF) através da exchange como capital inicial para o Rug Pull.
2. Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 moedas e alocando-as para si mesmo.
3. Criar um pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir toda a quantidade de Token pré-minerada.
O Token Deployer envia todos os Tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de novos lançamentos, pois alguns robôs de novos lançamentos avaliam se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de novos lançamentos).
5. Volume de transações falsificado.
Os atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, inflacionando o volume de transações do pool e atraindo ainda mais robôs de lançamento (a base para identificar que esses endereços são disfarces dos atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
6. O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), transferindo diretamente 38,739,354 tokens do pool de liquidez através de uma porta dos fundos do token, e depois usou esses tokens para esvaziar o pool, retirando cerca de 3.95 ETH.
7. O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
8. O endereço de transferência 0xD921 enviará os fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se acumulam os fundos de vários casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a pequena quantidade restante será retirada através da exchange.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo exterior que não podem realizar um Rug Pull ao destruírem os LP Tokens, na verdade, os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a liquidez do pool aprove a transferência de tokens para o endereço do Rug Puller ao criar o pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.
A implementação da função openTrading tem como principal função criar novos pools de liquidez, mas o atacante chamou uma função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprove o número type(uint256) de tokens para a transferência de permissões para o endereço _chefAddress. Onde uniswapV2Pair é o endereço do pool de liquidez e _chefAddress é o endereço do Rug Puller, que é especificado durante a implantação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através da exchange: o atacante primeiro fornece uma fonte de financiamento para o endereço do Deployer através da exchange.
O Deployer cria o pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP, para aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca uma grande quantidade de tokens por ETH no pool de liquidez: o endereço Rug Pull (Rug Puller) usa uma grande quantidade de tokens (geralmente muito acima do suprimento total de tokens) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller irá transferir o ETH adquirido para o endereço de retenção de fundos, às vezes através de um endereço intermediário.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
2
Partilhar
Comentar
0/400
OnChain_Detective
· 07-21 10:48
a análise de padrões sugere que 80% dos rugpulls seguem clusters de carteiras idênticos... mas os novatos nunca aprendem smh
Ver originalResponder0
RugPullAlarm
· 07-21 10:42
Novamente, verifiquei que os meus alertas de dados na cadeia anteriores estão corretos: 90% dos chamados novos projetos são esquemas.
O ecossistema Ethereum tem quase metade de novos tokens suspeitos de um esquema de Rug Pull, com uma escala de 800 milhões de dólares.
Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias do ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já parou para pensar em quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem do nada. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Em seguida, foi realizada uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de grupos organizados por trás dos crimes, e resumindo as características padronizadas desses golpes. Através da análise detalhada das táticas desses grupos, foi identificada uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos no Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" presente em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.
Estatísticas sobre as mensagens de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024 revelaram que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam envolvidos em Rug Pull, representando 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, com um retorno de até 188,7% lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram estatísticos os dados de novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100,260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89.99% da rede principal. Em média, cerca de 370 novos tokens surgem diariamente, superando em muito as expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é perturbadora — pelo menos 48,265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa de 48.14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, foram descobertos mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado com a esperança de ajudar todos os membros do Web3 a aumentar sua consciência de prevenção, manter-se alerta diante de fraudes em constante ascensão e tomar as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começar oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, que definem um conjunto de normas que permite que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApps). O padrão ERC-20 estabelece as funções básicas dos tokens, como transferência, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a esse protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens de forma mais fácil, simplificando a criação e o uso de tokens. Na verdade, qualquer pessoa ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos para diversos projetos financeiros por meio da pré-venda de tokens. Devido à ampla aplicação dos Tokens ERC-20, eles se tornaram a base de muitos projetos ICO e de finanças descentralizadas.
As moedas que conhecemos, USDT, PEPE e DOGE, pertencem a tokens ERC-20, e os usuários podem comprá-los através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com portas dos fundos, listá-los em exchanges descentralizadas e, em seguida, induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude com um token Rug Pull para entender melhor o modelo operacional de fraudes com tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um ato fraudulento em que a equipe do projeto, em um projeto de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, causando enormes perdas aos investidores. O token Rug Pull é um token emitido especificamente para a execução desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes referidos como "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo iremos referir-nos a eles de forma uniforme como tokens Rug Pull.
caso
Os atacantes (gangue Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o Token TOMMI, depois usaram 1,5 ETH e 100.000.000 Tokens TOMMI para criar um pool de liquidez, e compraram ativamente Tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e robôs de novas listagens na blockchain a comprar Tokens TOMMI. Quando um certo número de robôs de novas listagens caíram na armadilha, os atacantes usaram o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller despejou 38.739.354 Tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A origem do Token do Rug Puller vem da autorização maliciosa de Aprovação do contrato do Token TOMMI, que ao ser implantado concede ao Rug Puller permissões de aprovação do pool de liquidez, permitindo assim que o Rug Puller retire diretamente Tokens TOMMI do pool de liquidez e execute o Rug Pull.
endereço relacionado
transações relacionadas
Processo de Rug Pull
1. Preparar fundos para o ataque.
Atacantes recarregaram 2.47309009ETH para o Token Deployer (0x4bAF) através da exchange como capital inicial para o Rug Pull.
2. Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 moedas e alocando-as para si mesmo.
3. Criar um pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir toda a quantidade de Token pré-minerada.
O Token Deployer envia todos os Tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de novos lançamentos, pois alguns robôs de novos lançamentos avaliam se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de novos lançamentos).
5. Volume de transações falsificado.
Os atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, inflacionando o volume de transações do pool e atraindo ainda mais robôs de lançamento (a base para identificar que esses endereços são disfarces dos atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
6. O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), transferindo diretamente 38,739,354 tokens do pool de liquidez através de uma porta dos fundos do token, e depois usou esses tokens para esvaziar o pool, retirando cerca de 3.95 ETH.
7. O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
8. O endereço de transferência 0xD921 enviará os fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se acumulam os fundos de vários casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a pequena quantidade restante será retirada através da exchange.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo exterior que não podem realizar um Rug Pull ao destruírem os LP Tokens, na verdade, os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a liquidez do pool aprove a transferência de tokens para o endereço do Rug Puller ao criar o pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.
A implementação da função openTrading tem como principal função criar novos pools de liquidez, mas o atacante chamou uma função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprove o número type(uint256) de tokens para a transferência de permissões para o endereço _chefAddress. Onde uniswapV2Pair é o endereço do pool de liquidez e _chefAddress é o endereço do Rug Puller, que é especificado durante a implantação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através da exchange: o atacante primeiro fornece uma fonte de financiamento para o endereço do Deployer através da exchange.
O Deployer cria o pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP, para aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca uma grande quantidade de tokens por ETH no pool de liquidez: o endereço Rug Pull (Rug Puller) usa uma grande quantidade de tokens (geralmente muito acima do suprimento total de tokens) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller irá transferir o ETH adquirido para o endereço de retenção de fundos, às vezes através de um endereço intermediário.
As características acima são geralmente comuns.