Rug Pull vakalarını derinlemesine inceleme, Ethereum Token ekosisteminin karmaşasını açığa çıkarma

Giriş

Web3 dünyasında yeni tokenler sürekli ortaya çıkıyor. Her gün ne kadar yeni tokenin piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni tokenler güvenli mi?

Bu sorular boşuna ortaya çıkmadı. Son birkaç ayda, güvenlik ekibi çok sayıda Rug Pull işlem vakası yakaladı. Dikkat çekici bir şekilde, bu vakalarda yer alan token'ların hepsi, yeni zincire eklenen token'lardı.

Daha sonra, güvenlik ekibi bu Rug Pull vakalarını derinlemesine araştırdı ve arkasında örgütlü bir suç çetesi olduğunu keşfetti. Bu dolandırıcılıkların kalıplaşmış özelliklerini özetlediler. Bu çetelerin suç işleme yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin muhtemel bir dolandırıcılık tanıtım yolu keşfedildi: Telegram grupları. Bu çeteler, belirli gruplardaki "New Token Tracer" işlevini kullanarak kullanıcıları dolandırıcı token satın almaya çekiyor ve nihayetinde Rug Pull ile kar elde ediyor.

İstatistikler, 2023 Kasım'dan 2024 Ağustos başına kadar bu Telegram gruplarının toplamda 93,930 yeni token tanıttığını gösteriyor, bunlar arasında Rug Pull durumlarına sahip token sayısı 46,526 olup, oranı %49.53'e ulaşıyor. İstatistiklere göre, bu Rug Pull tokenlerinin arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 ETH ve %188.7'ye varan bir getiri oranı ile 282,699.96 ETH kazanç elde ettikleri, bu da yaklaşık 800 milyon dolara denk geliyor.

Telegram gruplarının gönderdiği yeni tokenların Ethereum ana ağındaki payını değerlendirmek için güvenlik ekibi, aynı zaman diliminde Ethereum ana ağında çıkarılan yeni token verilerini derledi. Veriler, bu süre zarfında toplam 100,260 yeni token çıkarıldığını gösteriyor; bunlardan Telegram grupları aracılığıyla gönderilen tokenlar ana ağın %89.99'unu oluşturuyor. Her gün ortalama 370 yeni token doğuyor, bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine araştırmalar sonucunda ortaya çıkan gerçek endişe verici—en az 48,265 token Rug Pull dolandırıcılığına karışmış, bu da %48.14'lük bir oranı temsil ediyor. Diğer bir deyişle, Ethereum ana ağında neredeyse her iki yeni token'dan biri dolandırıcılıkla ilgili.

Ayrıca, diğer blok zinciri ağlarında da daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağı değil, tüm Web3 yeni Token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğu anlamına gelmektedir. Bu nedenle, bu rapor tüm Web3 üyelerinin farkındalıklarını artırmalarına, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli olmalarına ve gerekli önleyici tedbirleri zamanında almalarına yardımcı olmayı amaçlamaktadır, böylece varlık güvenliklerini koruyabilsinler.

ERC-20 Token

Bu rapora resmi olarak başlamadan önce, bazı temel kavramları inceleyelim.

ERC-20 Token, şu anda blok zincirinde en yaygın Token standartlarından biridir. Bu, Token'ların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında birlikte çalışmasını sağlayan bir dizi standart tanımlar. ERC-20 standardı, Token'ın temel işlevlerini, örneğin transfer, bakiye sorgulama, üçüncü tarafların Token yönetimi için yetkilendirilmesi gibi özellikleri belirler. Bu standartlaştırılmış protokol sayesinde, geliştiriciler Token'ları daha kolay bir şekilde çıkarabilir ve yönetebilir, böylece Token yaratımını ve kullanımını basitleştirir. Aslında, herhangi bir birey veya kuruluş, ERC-20 standardına dayalı olarak kendi Token'ını çıkarabilir ve çeşitli finansal projeler için başlangıç sermayesi toplamak amacıyla Token ön satışları yapabilir. ERC-20 Token'larının yaygın kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.

Hepimizin bildiği USDT, PEPE, DOGE, ERC-20 Token'larına aittir ve kullanıcılar bu Token'ları merkeziyetsiz borsa aracılığıyla satın alabilirler. Ancak, bazı dolandırıcılık çeteleri, kod arka kapıları içeren kötü niyetli ERC-20 Token'larını kendileri de piyasaya sürebilir, bunları merkeziyetsiz borsa üzerinde listeleyerek kullanıcıları satın almaya teşvik edebilirler.

Rug Pull Token'ların Tipik Dolandırıcılık Örnekleri

Burada, bir Rug Pull Token dolandırıcılık örneğini kullanarak kötü niyetli token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. Öncelikle, Rug Pull'un, proje sahiplerinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeden vazgeçmesi sonucu yatırımcıların büyük kayıplara uğramasına neden olan bir dolandırıcılık eylemi olduğunu belirtmek gerekir. Rug Pull token'ları ise bu tür dolandırıcılık eylemlerini gerçekleştirmek için özel olarak çıkarılan token'lardır.

Bu yazıda bahsedilen Rug Pull Token'ları, bazen "Honey Pot Token" veya "Exit Scam Token" olarak da adlandırılmaktadır, ancak aşağıda bunları bir bütün olarak Rug Pull Token olarak anacağız.

örneği

Saldırganlar (Rug Pull çetesi) Deployer adresi ile TOMMI token'ı dağıttı, ardından 1.5 ETH ve 100.000.000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden TOMMI token'ı aktif olarak satın alarak likidite havuzu işlem hacmini sahte bir şekilde artırarak kullanıcıları ve zincir üzerindeki yeni yatırım botlarını TOMMI token'ı almaya çekti. Belirli sayıda yeni yatırım botu tuzağa düştüğünde, saldırgan Rug Puller adresini kullanarak Rug Pull işlemini gerçekleştirdi, Rug Puller 38.739.354 TOMMI token'ı likidite havuzuna boşaltarak yaklaşık 3.95 ETH geri aldı. Rug Puller'ın token kaynakları, TOMMI token sözleşmesinin kötü niyetli onay yetkisiyle geldi; TOMMI token sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisi verilir, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI token'ı çekip Rug Pull yapmasına olanak tanır.

Rug Pull süreci

1. Saldırı fonlarını hazırlayın.

Saldırgan, bir borsa aracılığıyla Token Deployer'a Rug Pull'ü başlatmak için 2.47309009ETH yatırdı.

2. Arka kapılı Rug Pull Token'i dağıtın.

Deployer, TOMMI Token'ını oluşturdu, 100.000.000 Token ön madencilik yaptı ve kendisine tahsis etti.

3. İlk likidite havuzunu oluşturun.

Deployer, 1.5 Eter ve önceden madencilik yapılmış tüm Token ile bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token aldı.

4. Önceden madenciliği yapılmış tüm Token arzını yok et.

Token Deployer, tüm LP Token'larını 0 adresine göndererek yok eder. TOMMI kontratında Mint fonksiyonu olmadığı için, bu noktada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. (Bu, yeni çıkan robotların katılması için gerekli şartlardan biridir; bazı yeni çıkan robotlar, yeni havuzda bulunan token'ların Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca kontratın Owner'ını 0 adresine ayarlayarak, yeni çıkan robotların dolandırıcılık önleme programını atlatmaya çalışmaktadır).

5. Sahte işlem hacmi.

Saldırganlar, likidite havuzundan TOMMI Token satın almak için birden fazla adres kullanarak havuzun işlem hacmini artırıyor ve yeni botların girmesini daha da çekiyor (bu adreslerin saldırganlar tarafından gizlendiğini belirlemenin nedeni: ilgili adreslerin fonları, Rug Pull çetelerinin tarihsel fon transfer adreslerinden gelmektedir).

6. Saldırgan, Rug Puller adresi aracılığıyla Rug Pull başlatarak, token'ın arka kapısını kullanarak likidite havuzundan doğrudan 38,739,354 adet Token transfer etti ve ardından bu Token'ları havuza atarak yaklaşık 3.95 ETH çıkardı.

7. Saldırgan, Rug Pull'dan elde edilen fonları aracılık adresine gönderir.

8. Aktarma adresi fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları bir fon saklama adresine göndereceğini anlayabiliriz. Fon saklama adresi, izlenen çok sayıda Rug Pull vakasının fonlarının toplandığı yerdir, fon saklama adresi aldığı fonların çoğunu yeni bir Rug Pull başlatmak için bölerek kullanır ve geri kalan az miktardaki fon, bir borsa aracılığıyla çekilir.

Rug Pull kod arka kapısı

Saldırganlar, LP tokenlerini yok ederek dışarıya Rug Pull yapamadıklarını kanıtlamaya çalışsalar da, aslında saldırganlar TOMMI token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir onay arka kapısı bırakmışlar. Bu arka kapı, likidite havuzu oluşturulurken likidite havuzunun Rug Puller adresine token transfer yetkisi onaylamasına neden oluyor, böylece Rug Puller adresi doğrudan likidite havuzundan token alabiliyor.

suç işleme modeli

TOMMI vakasını analiz ederek aşağıdaki 4 özelliği özetleyebiliriz:

1. Deployer, belirli bir borsa aracılığıyla fon elde eder: Saldırgan, öncelikle belirli bir borsa aracılığıyla deployer adresine (Deployer) fon kaynağı sağlar.

2. Deployer likidite havuzu oluşturur ve LP tokenlerini yok eder: Rug Pull tokenini oluşturduktan sonra, deployer hemen onun için bir likidite havuzu oluşturur ve LP tokenlerini yok eder, böylece projenin güvenilirliğini artırır ve daha fazla yatırımcı çeker.

3. Rug Puller, likidite havuzundaki ETH'yi büyük miktarda Token ile değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda Token kullanır (genellikle miktar, Token'ın toplam arzını çok aşar). Diğer durumlarda, Rug Puller, havuzdaki ETH'yi elde etmek için likiditeyi kaldırarak da hareket edebilir.

4. Rug Puller, Rug Pull ile elde edilen Eter'i fon saklama adresine aktarır: Rug Puller, elde ettiği Eter'i fon saklama adresine aktarır, bazen geçiş için ara adresler kullanarak.

Yukarıda belirtilen bu özellikler, yakalanan vakalarda yaygın olarak bulunmaktadır ve bu, Rug Pull eylemlerinin belirgin bir model özelliğine sahip olduğunu göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır, bu da bu görünüşte bağımsız Rug Pull vakalarının arkasında aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini ima etmektedir.

Bu özelliklere dayanarak, bir Rug Pull davranış modeli çıkarıldı ve bu model kullanılarak izlenen vakalar tarandı, böylece olası dolandırıcılık çetelerinin profilleri oluşturulmaya çalışıldı.

Rug Pull Suç Çetesi

Madencilik fonu saklama adresi

Yukarıda bahsedildiği gibi, Rug Pull vakaları genellikle sonunda fonları bir fon saklama adresinde toplar. Bu modele dayanarak, yüksek derecede aktif olan ve bu vakaların işleme yöntemleri belirgin olan birkaç fon saklama adresi derinlemesine analiz için seçilmiştir.

Görünümde toplam 7 adet fon saklama adresi var, bu adreslerle ilişkili Rug Pull vakalarının toplamda 1.124 olduğu, blockchain saldırı izleme sistemi tarafından başarıyla tespit edildi. Rug Pull çeteleri, dolandırıcılığı başarıyla gerçekleştirdikten sonra, yasadışı kazançlarını bu fon saklama adreslerinde toplar. Bu fon saklama adresleri, birikmiş fonları bölerek, gelecekteki yeni Rug Pull dolandırıcılıklarını yaratmak için yeni Token oluşturma, likidite havuzlarını manipüle etme gibi faaliyetlerde kullanır. Ayrıca, bir miktar birikmiş fon, belirli bir borsa veya anlık takas platformu aracılığıyla nakde çevrilir.

Tam bir Rug Pull dolandırıcılığında, Rug Pull çeteleri genellikle bir adresi Rug Pull token'ının dağıtımcısı (Deployer) olarak kullanır ve bir borsa üzerinden para çekerek başlangıç sermayesi elde ederler. Yeterli sayıda kullanıcı veya yeni token alım botu ETH ile Rug Pull token'ını satın aldıktan sonra, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak hareket eder ve elde edilen fonları saklama adresine transfer eder.

Şunu belirtmek gerekir ki, Rug Pull çeteleri dolandırıcılığı gerçekleştirirken, normal likidite havuzu faaliyetlerini simüle etmek amacıyla kendilerinin yarattığı Rug Pull token'larını satın almak için ETH kullanırlar, böylece yeni yatırımcıları çekmeye çalışırlar. Ancak bu maliyet hesaplamalara dahil edilmemiştir, bu nedenle gerçek kar nispeten düşük olacaktır.

Aslında, nihayetinde fonlar farklı fon saklama adreslerine toplansa da, bu adreslerle ilişkili vakalar arasında Rug Pull'ün arka kapı uygulama yöntemi, nakit çekme yolları gibi birçok ortak özellik bulunduğundan, bu fon saklama adreslerinin arkasında aynı çetenin olabileceği konusunda hala yüksek şüpheler var.

madencilik fonu tutma adresleri arası ilişki

Fonların saklandığı adresler arasında bir ilişki olup olmadığını belirlemenin önemli bir göstergesi, bu adresler arasında doğrudan bir transfer ilişkisi olup olmadığını kontrol etmektir. Fon saklama adresleri arasındaki ilişkiyi doğrulamak için, bu adreslerin geçmiş işlem kayıtları tarandı ve analiz edildi.

Geçmişte analiz edilen vakaların çoğunda, her bir Rug Pull dolandırıcılığının kazancı nihayetinde yalnızca belirli bir fon saklama adresine yöneliyor. Kazanç fonlarının akışını takip ederek farklı fon saklama adreslerini ilişkilendirmek mümkün değildir. Bu nedenle, bu fon saklama adresleri arasındaki fon akış durumunu tespit etmek gereklidir; böylece fon saklama adresleri arasında doğrudan bir ilişki elde edilebilir.

Şunu belirtmek gerekir ki, bazı adresler çeşitli fonların bırakılması için.