Глубокое расследование случаев Rug Pull, разоблачение беспорядков в экосистеме токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не возникают на пустом месте. В последние месяцы команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются только что запущенными новыми токенами.
Затем было проведено глубокое расследование случаев Rug Pull, в ходе которого было обнаружено существование организованных преступных групп, и обобщены модельные характеристики этих мошенничеств. В результате глубокого анализа методов работы этих групп было выявлено возможное направление мошеннического продвижения группами Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Статистика по токенам, отправленным в этих группах Telegram в период с ноября 2023 года по начало августа 2024 года, показывает, что было отправлено 93 930 новых токенов, из которых 46 526 токенов были связаны с Rug Pull, что составляет 49,53%. Согласно статистике, общая стоимость инвестиций групп, стоящих за этими токенами Rug Pull, составила 149 813,72 Эфир, и они получили прибыль в размере 282 699,96 Эфир с доходностью до 188,7%, что эквивалентно примерно 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования было обнаружено тревожное истинное положение вещей — по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, было обнаружено больше случаев Rug Pull на других блокчейн-сетях. Это означает, что не только основная сеть Ethereum, но и вся экосистема новых токенов Web3 находится в гораздо более серьезном состоянии безопасности, чем ожидалось. Поэтому был составлен этот исследовательский отчет, который надеется помочь всем участникам Web3 повысить свою бдительность, оставаться настороже перед множеством мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.
ERC-20 Токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, делегирование управления токенами третьим лицам и другие. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свой собственный токен на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов, продав токены на предварительной продаже. Именно благодаря широкому применению ERC-20 Токен стал основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут покупать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать злонамеренные токены ERC-20 с кодом-задней дверью, размещая их на децентрализованных биржах и затем склоняя пользователей к покупке.
Типичный случай мошенничества с Токеном Rug Pull
Здесь мы берем случай мошенничества с токеном Rug Pull, чтобы глубже понять модель работы злонамеренных токенов. Прежде всего, необходимо пояснить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandon проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаемые токены Rug Pull иногда также называются "медовыми горшками (Honey Pot)" или "схемами ухода (Exit Scam)", но в дальнейшем мы будем называть их токенами Rug Pull.
случай
Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали пул ликвидности с 1.5 ETH и 100,000,000 токенов TOMMI, и активно покупали токены TOMMI с других адресов, чтобы сфальсифицировать объем торгов в пуле ликвидности, привлекая пользователей и роботов для покупки токенов TOMMI на блокчейне. Когда определенное количество роботов попалось на удочку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токенов TOMMI, чтобы обрушить пул ликвидности, обменяв их на примерно 3.95 ETH. Токены Rug Puller поступили из злонамеренного одобрения (Approve) токена TOMMI, токен контракт TOMMI при развертывании предоставил Rug Puller права на одобрение пула ликвидности, что позволило Rug Puller напрямую выводить токены TOMMI из пула ликвидности и затем проводить Rug Pull.
Создание пула ликвидности: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес для перевода средств отправляет средства маскированному пользователю (один из них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскировка пользователя при покупке токенов (один из них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправляет полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Промежуточный адрес отправляет средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через биржу пополнил Token Deployer (0x4bAF) на 2.47309009Эфир в качестве стартового капитала для Rug Pull.
2. Разработка токена Rug Pull с задней дверью.
Deployer создает токен TOMMI, предварительно добывает 100 000 000 токенов и распределяет их себе.
3. Создание первоначального ликвидного пула.
Deployer использовал 1.5 Эфир и все преддобытые токены для создания ликвидного пула, получив примерно 0.387 LP токенов.
4. Уничтожить все преддобытые объемы Токенов.
Token Deployer отправляет все LP токены на адрес 0 для сжигания. Поскольку в контракте TOMMI нет функции Mint, в этот момент Token Deployer теоретически утратил способность к Rug Pull. (Это также одно из необходимых условий для привлечения ботов для нового токена, некоторые боты оценивают, существует ли риск Rug Pull у новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антикражные программы ботов для нового токена).
5. Поддельный объем торгов.
Атакующий активно покупает токены TOMMI из ликвидного пула с нескольких адресов, что увеличивает объем交易 в пуле и дополнительно привлекает ботов для участия в новых токенах (основание для определения этих адресов как маскировки атакующего: средства на этих адресах поступают из исторических адресов переноса средств группировки Rug Pull).
6. Атакующий инициировал Rug Pull через адрес Rug Puller (0x43A9), выведя напрямую из ликвидного пула 38,739,354 токена через заднюю дверь токена, а затем использовал эти токены для разгона пула, получив около 3.95 Эфира.
7. Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
8. Промежуточный адрес 0xD921 отправляет средства на адрес удержания средств 0x2836. Из этого мы можем увидеть, что когда Rug Pull завершен, Rug Puller отправляет средства на какой-то адрес удержания средств. Адрес удержания средств является местом сбора средств из большого количества зафиксированных случаев Rug Pull, адрес удержания средств будет разбивать большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма будет выведена через обменник.
Код бэкдора Rug Pull
Хотя злоумышленники попытались доказать внешнему миру, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили вредоносный бэкдор в функции openTrading контракта токена TOMMI, который при создании ликвидного пула позволяет ликвидному пулу утверждать права на перевод токенов на адрес Rug Puller, что позволяет адресу Rug Puller напрямую выводить токены из ликвидного пула.
Основная функция реализации функции openTrading заключается в создании новых пулов ликвидности, но злоумышленник вызвал в этой функции заднюю дверь onInit, позволяя uniswapV2Pair утвердить количество токенов, равное type(uint256), для перевода на адрес _chefAddress. При этом uniswapV2Pair является адресом пула ликвидности, а _chefAddress – адресом Rug Puller, который указывается при развертывании контракта.
Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Деплойер получает финансирование через биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через биржу.
Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, деплойер немедленно создает для него ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общий объем токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также получает ETH из пула, удаляя ликвидность.
Rug Puller перенесет ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller перенесет полученный ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные выше характеристики в целом присутствуют
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
2
Поделиться
комментарий
0/400
OnChain_Detective
· 22ч назад
анализ паттернов показывает, что 80% rugpull-ов следуют идентичным кластером кошельков... но новички никогда не учатся, смh
Посмотреть ОригиналОтветить0
RugPullAlarm
· 22ч назад
Снова подтвердило мое предыдущее предупреждение о данных в блокчейне: 90% так называемых новых проектов — это схемы.
Экосистема Ethereum почти половина новых токенов подозревается в промывании глаз на сумму 800 миллионов долларов.
Глубокое расследование случаев Rug Pull, разоблачение беспорядков в экосистеме токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не возникают на пустом месте. В последние месяцы команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются только что запущенными новыми токенами.
Затем было проведено глубокое расследование случаев Rug Pull, в ходе которого было обнаружено существование организованных преступных групп, и обобщены модельные характеристики этих мошенничеств. В результате глубокого анализа методов работы этих групп было выявлено возможное направление мошеннического продвижения группами Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Статистика по токенам, отправленным в этих группах Telegram в период с ноября 2023 года по начало августа 2024 года, показывает, что было отправлено 93 930 новых токенов, из которых 46 526 токенов были связаны с Rug Pull, что составляет 49,53%. Согласно статистике, общая стоимость инвестиций групп, стоящих за этими токенами Rug Pull, составила 149 813,72 Эфир, и они получили прибыль в размере 282 699,96 Эфир с доходностью до 188,7%, что эквивалентно примерно 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования было обнаружено тревожное истинное положение вещей — по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, было обнаружено больше случаев Rug Pull на других блокчейн-сетях. Это означает, что не только основная сеть Ethereum, но и вся экосистема новых токенов Web3 находится в гораздо более серьезном состоянии безопасности, чем ожидалось. Поэтому был составлен этот исследовательский отчет, который надеется помочь всем участникам Web3 повысить свою бдительность, оставаться настороже перед множеством мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.
ERC-20 Токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, делегирование управления токенами третьим лицам и другие. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свой собственный токен на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов, продав токены на предварительной продаже. Именно благодаря широкому применению ERC-20 Токен стал основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут покупать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать злонамеренные токены ERC-20 с кодом-задней дверью, размещая их на децентрализованных биржах и затем склоняя пользователей к покупке.
Типичный случай мошенничества с Токеном Rug Pull
Здесь мы берем случай мошенничества с токеном Rug Pull, чтобы глубже понять модель работы злонамеренных токенов. Прежде всего, необходимо пояснить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandon проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаемые токены Rug Pull иногда также называются "медовыми горшками (Honey Pot)" или "схемами ухода (Exit Scam)", но в дальнейшем мы будем называть их токенами Rug Pull.
случай
Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали пул ликвидности с 1.5 ETH и 100,000,000 токенов TOMMI, и активно покупали токены TOMMI с других адресов, чтобы сфальсифицировать объем торгов в пуле ликвидности, привлекая пользователей и роботов для покупки токенов TOMMI на блокчейне. Когда определенное количество роботов попалось на удочку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токенов TOMMI, чтобы обрушить пул ликвидности, обменяв их на примерно 3.95 ETH. Токены Rug Puller поступили из злонамеренного одобрения (Approve) токена TOMMI, токен контракт TOMMI при развертывании предоставил Rug Puller права на одобрение пула ликвидности, что позволило Rug Puller напрямую выводить токены TOMMI из пула ликвидности и затем проводить Rug Pull.
связанный адрес
Связанные сделки
Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через биржу пополнил Token Deployer (0x4bAF) на 2.47309009Эфир в качестве стартового капитала для Rug Pull.
2. Разработка токена Rug Pull с задней дверью.
Deployer создает токен TOMMI, предварительно добывает 100 000 000 токенов и распределяет их себе.
3. Создание первоначального ликвидного пула.
Deployer использовал 1.5 Эфир и все преддобытые токены для создания ликвидного пула, получив примерно 0.387 LP токенов.
4. Уничтожить все преддобытые объемы Токенов.
Token Deployer отправляет все LP токены на адрес 0 для сжигания. Поскольку в контракте TOMMI нет функции Mint, в этот момент Token Deployer теоретически утратил способность к Rug Pull. (Это также одно из необходимых условий для привлечения ботов для нового токена, некоторые боты оценивают, существует ли риск Rug Pull у новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антикражные программы ботов для нового токена).
5. Поддельный объем торгов.
Атакующий активно покупает токены TOMMI из ликвидного пула с нескольких адресов, что увеличивает объем交易 в пуле и дополнительно привлекает ботов для участия в новых токенах (основание для определения этих адресов как маскировки атакующего: средства на этих адресах поступают из исторических адресов переноса средств группировки Rug Pull).
6. Атакующий инициировал Rug Pull через адрес Rug Puller (0x43A9), выведя напрямую из ликвидного пула 38,739,354 токена через заднюю дверь токена, а затем использовал эти токены для разгона пула, получив около 3.95 Эфира.
7. Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
8. Промежуточный адрес 0xD921 отправляет средства на адрес удержания средств 0x2836. Из этого мы можем увидеть, что когда Rug Pull завершен, Rug Puller отправляет средства на какой-то адрес удержания средств. Адрес удержания средств является местом сбора средств из большого количества зафиксированных случаев Rug Pull, адрес удержания средств будет разбивать большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма будет выведена через обменник.
Код бэкдора Rug Pull
Хотя злоумышленники попытались доказать внешнему миру, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили вредоносный бэкдор в функции openTrading контракта токена TOMMI, который при создании ликвидного пула позволяет ликвидному пулу утверждать права на перевод токенов на адрес Rug Puller, что позволяет адресу Rug Puller напрямую выводить токены из ликвидного пула.
Основная функция реализации функции openTrading заключается в создании новых пулов ликвидности, но злоумышленник вызвал в этой функции заднюю дверь onInit, позволяя uniswapV2Pair утвердить количество токенов, равное type(uint256), для перевода на адрес _chefAddress. При этом uniswapV2Pair является адресом пула ликвидности, а _chefAddress – адресом Rug Puller, который указывается при развертывании контракта.
Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Деплойер получает финансирование через биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через биржу.
Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, деплойер немедленно создает для него ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общий объем токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также получает ETH из пула, удаляя ликвидность.
Rug Puller перенесет ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller перенесет полученный ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные выше характеристики в целом присутствуют