Розкриття хаосу в екосистемі токенів Ethereum: поглиблене розслідування випадків Rug Pull
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювались ви, скільки нових токенів випускається щодня? Чи є ці нові токени безпечними?
Ці запитання не безпідставні. Протягом останніх кількох місяців певна команда безпеки зафіксувала численні випадки Rug Pull. Варто зазначити, що всі токени, які були залучені в цих випадках, без винятку були новими токенами, які тільки що потрапили в мережу.
Потім команда безпеки провела глибоке розслідування цих випадків Rug Pull і виявила, що за цим стоїть організована злочинна група, а також підсумувала моделюючі характеристики цих шахрайств. Через глибокий аналіз методів роботи цих груп було виявлено можливий шлях шахрайського просування групи Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до покупки шахрайських токенів і в кінцевому підсумку отримати прибуток через Rug Pull.
Команда безпеки підрахувала інформацію про токени, які були надіслані в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, виявивши, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. Згідно з підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, з прибутковістю до 188.7% отримано 282,699.96 ETH, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які надсилаються в групі Telegram, в основній мережі Ethereum, команда безпеки підрахувала дані про нові токени, випущені в основній мережі Ethereum за той же період часу. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, які надсилаються через групу Telegram, становлять 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення глибшого розслідування виявлена тривожна правда — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull в інших блокчейн-мережах. Це означає, що безпека не тільки основної мережі Ethereum, а й цілої нової екосистеми токенів Web3 є значно серйознішою, ніж очікувалося. Тому цей звіт сподівається допомогти всім членам Web3 підвищити обізнаність про запобігання і залишатися на поготові перед численними шахрайствами, а також вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим як розпочати цей звіт, давайте спочатку ознайомимося з деякими базовими поняттями.
ERC-20 Токени є одним з найпоширеніших стандартів токенів на блокчейні, він визначає набір норм, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токенів, такі як переказ, перевірка балансу, авторизація третіх осіб для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та управляти токенами, спрощуючи їх створення та використання. Насправді, будь-яка особа або організація може випустити свої власні токени на основі стандарту ERC-20 та залучати стартові кошти для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 токенів вони стали основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є ERC-20 токенами. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати шкідливі ERC-20 токени з кодом-задньою дверцяткою, виставляючи їх на децентралізованих біржах, а потім спокушаючи користувачів на покупку.
Типові випадки шахрайства з токенами Rug Pull
Тут ми розглянемо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти схему роботи зловмисних шахрайств з токенами. По-перше, слід зазначити, що Rug Pull означає шахрайство, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованому фінансовому проєкті, внаслідок чого інвестори зазнають великої втрати. Токени Rug Pull - це токени, які випускаються спеціально для здійснення такого шахрайства.
У цій статті згадані токени Rug Pull, які іноді також називають "медовий горщик ( Honey Pot ) токен" або "вихідна афера ( Exit Scam ) токен", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.
приклад
Атакуючий ( Rug Pull банда ) використовує адресу Deployer ( 0x4bAF ) для розгортання токена TOMMI, а потім створює ліквідний пул за допомогою 1,5 ETH та 100,000,000 токенів TOMMI, і активно купує токени TOMMI через інші адреси, щоб сфальсифікувати обсяги торгівлі ліквідного пулу, щоб залучити користувачів і боти для нових токенів на ланцюзі для купівлі токенів TOMMI. Коли достатня кількість ботів для нових токенів потрапляє в пастку, атакуючий використовує адресу Rug Puller ( 0x43a9) для виконання Rug Pull, Rug Puller використовує 38,739,354 токенів TOMMI для розпродажу ліквідного пулу, обмінюючи їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з зловмисного дозволу на Approve токена TOMMI, контракт токена TOMMI під час розгортання надає Rug Puller права на approve ліквідного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу, а потім виконувати Rug Pull.
Rug Pull відправляє отримані кошти на проміжну адресу:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Проміжна адреса надішле кошти на адресу зберігання коштів:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
) Процес Rug Pull
Підготуйте кошти для атаки.
Зловмисник через біржу надає 2.47309009ETH токену Deployer###0x4bAF( як стартовий капітал для Rug Pull.
Розгортання токена Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
Створити початковий пул ліквідності.
Deployer використав 1.5 Етер та всі попередньо видобуті Токени для створення ліквідності, отримавши приблизно 0.387 LP токенів.
Знищити весь обсяг попередньо видобутих Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично втратив можливість Rug Pull. ) це також одна з необхідних умов для залучення ботів для нових інвестицій, деякі боти оцінюють, чи існує ризик Rug Pull у нових токенах в пулі, Deployer також встановлює власника контракту на адресу 0, все для того, щоб обманути програми протидії шахрайству ботів для нових інвестицій (.
Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, штучно завищуючи обсяги торгівлі в пулі, що додатково приваблює ботів для нових випусків ). Аргументи для визначення того, що ці адреси є маскуванням зловмисників: кошти на відповідних адресах походять з історичних адрес переказу коштів групи Rug Pull (.
Атакуючий через адресу Rug Puller )0x43A9( розпочав Rug Pull, безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через задню двері токена, а потім використавши ці токени, щоб знищити пул, отримавши близько 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 відправила кошти на адресу зберігання коштів 0x2836. З цього можна зробити висновок, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, куди акумулюються кошти з великої кількості випадків Rug Pull, адреса зберігання коштів розділяє більшість отриманих коштів, щоб почати новий раунд Rug Pull, а решта невеликої частини коштів знімається через біржу. Виявлено кілька адрес зберігання коштів, 0x2836 є однією з них.
) Код для Rug Pull з бекдором
Атакуючи, хоча вже намагалися довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили в контракті токена TOMMI зловмисний бекдор у функції openTrading. Цей бекдор дозволяє під час створення ліквіднісного пулу ліквіднісному пулу надавати адресу Rug Puller дозвіл на передачу токенів, що дозволяє адресі Rug Puller безпосередньо забирати токени з ліквіднісного пулу.
Реалізація функції openTrading показана на малюнку 9, її основна функція - створення нового пулу ліквідності, але зловмисник викликав у цій функції бекдор-функцію onInit###, як показано на малюнку 10, що дозволило uniswapV2Pair надати _chefAddress адресу дозвіл на перенесення токена з кількістю type(uint256). При цьому uniswapV2Pair є адресою пулу ліквідності, _chefAddress - адресою Rug Puller, _chefAddress вказується під час розгортання контракту(, як показано на малюнку 11.
![Глибоке дослідження випадків Rug Pull, розкриття безладу в екосистемі токенів Ethereum])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(
![Глибоке розслідування випадків Rug Pull, викриття хаосу в екосистемі токенів Ethereum])https://img-cdn.gateio.im/webp-social/moments-ed67ee56316de1b6a3f2649e45ceeb82.webp(
![Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum])https://img-cdn.gateio.im/webp-social/moments-21fdee332b94d46b0a63310dfa494de9.webp(
) Моделювання злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує фінансування через біржу: зловмисник спочатку надає джерело фінансування для адреси Deployer( через біржу.
Deployer створює ліквідний пул і знищує LP токени: після створення Rug Pull токена, розробник негайно створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідності: Адреса Rug Pull ) Rug Puller ### використовує велику кількість токенів (, зазвичай кількість значно перевищує загальну пропозицію токенів ), щоб обміняти їх на ETH у ліквідності. В інших випадках Rug Puller також може отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переносить ETH, отримані від Rug Pull, на адресу зберігання коштів: Rug Puller переносить отримані ETH на адресу зберігання коштів, іноді...
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Близько половини нових токенів підозрюються в шахрайстві: Глибокий аналіз випадку з Rug Pull на 800 мільйонів доларів в екосистемі Ethereum.
Розкриття хаосу в екосистемі токенів Ethereum: поглиблене розслідування випадків Rug Pull
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювались ви, скільки нових токенів випускається щодня? Чи є ці нові токени безпечними?
Ці запитання не безпідставні. Протягом останніх кількох місяців певна команда безпеки зафіксувала численні випадки Rug Pull. Варто зазначити, що всі токени, які були залучені в цих випадках, без винятку були новими токенами, які тільки що потрапили в мережу.
Потім команда безпеки провела глибоке розслідування цих випадків Rug Pull і виявила, що за цим стоїть організована злочинна група, а також підсумувала моделюючі характеристики цих шахрайств. Через глибокий аналіз методів роботи цих груп було виявлено можливий шлях шахрайського просування групи Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до покупки шахрайських токенів і в кінцевому підсумку отримати прибуток через Rug Pull.
Команда безпеки підрахувала інформацію про токени, які були надіслані в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, виявивши, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. Згідно з підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, з прибутковістю до 188.7% отримано 282,699.96 ETH, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які надсилаються в групі Telegram, в основній мережі Ethereum, команда безпеки підрахувала дані про нові токени, випущені в основній мережі Ethereum за той же період часу. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, які надсилаються через групу Telegram, становлять 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення глибшого розслідування виявлена тривожна правда — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull в інших блокчейн-мережах. Це означає, що безпека не тільки основної мережі Ethereum, а й цілої нової екосистеми токенів Web3 є значно серйознішою, ніж очікувалося. Тому цей звіт сподівається допомогти всім членам Web3 підвищити обізнаність про запобігання і залишатися на поготові перед численними шахрайствами, а також вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим як розпочати цей звіт, давайте спочатку ознайомимося з деякими базовими поняттями.
ERC-20 Токени є одним з найпоширеніших стандартів токенів на блокчейні, він визначає набір норм, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токенів, такі як переказ, перевірка балансу, авторизація третіх осіб для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та управляти токенами, спрощуючи їх створення та використання. Насправді, будь-яка особа або організація може випустити свої власні токени на основі стандарту ERC-20 та залучати стартові кошти для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 токенів вони стали основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є ERC-20 токенами. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати шкідливі ERC-20 токени з кодом-задньою дверцяткою, виставляючи їх на децентралізованих біржах, а потім спокушаючи користувачів на покупку.
Типові випадки шахрайства з токенами Rug Pull
Тут ми розглянемо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти схему роботи зловмисних шахрайств з токенами. По-перше, слід зазначити, що Rug Pull означає шахрайство, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованому фінансовому проєкті, внаслідок чого інвестори зазнають великої втрати. Токени Rug Pull - це токени, які випускаються спеціально для здійснення такого шахрайства.
У цій статті згадані токени Rug Pull, які іноді також називають "медовий горщик ( Honey Pot ) токен" або "вихідна афера ( Exit Scam ) токен", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.
приклад
Атакуючий ( Rug Pull банда ) використовує адресу Deployer ( 0x4bAF ) для розгортання токена TOMMI, а потім створює ліквідний пул за допомогою 1,5 ETH та 100,000,000 токенів TOMMI, і активно купує токени TOMMI через інші адреси, щоб сфальсифікувати обсяги торгівлі ліквідного пулу, щоб залучити користувачів і боти для нових токенів на ланцюзі для купівлі токенів TOMMI. Коли достатня кількість ботів для нових токенів потрапляє в пастку, атакуючий використовує адресу Rug Puller ( 0x43a9) для виконання Rug Pull, Rug Puller використовує 38,739,354 токенів TOMMI для розпродажу ліквідного пулу, обмінюючи їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з зловмисного дозволу на Approve токена TOMMI, контракт токена TOMMI під час розгортання надає Rug Puller права на approve ліквідного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу, а потім виконувати Rug Pull.
відповідна адреса
пов'язані交易
) Процес Rug Pull
Зловмисник через біржу надає 2.47309009ETH токену Deployer###0x4bAF( як стартовий капітал для Rug Pull.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
Deployer використав 1.5 Етер та всі попередньо видобуті Токени для створення ліквідності, отримавши приблизно 0.387 LP токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично втратив можливість Rug Pull. ) це також одна з необхідних умов для залучення ботів для нових інвестицій, деякі боти оцінюють, чи існує ризик Rug Pull у нових токенах в пулі, Deployer також встановлює власника контракту на адресу 0, все для того, щоб обманути програми протидії шахрайству ботів для нових інвестицій (.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, штучно завищуючи обсяги торгівлі в пулі, що додатково приваблює ботів для нових випусків ). Аргументи для визначення того, що ці адреси є маскуванням зловмисників: кошти на відповідних адресах походять з історичних адрес переказу коштів групи Rug Pull (.
Атакуючий через адресу Rug Puller )0x43A9( розпочав Rug Pull, безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через задню двері токена, а потім використавши ці токени, щоб знищити пул, отримавши близько 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 відправила кошти на адресу зберігання коштів 0x2836. З цього можна зробити висновок, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, куди акумулюються кошти з великої кількості випадків Rug Pull, адреса зберігання коштів розділяє більшість отриманих коштів, щоб почати новий раунд Rug Pull, а решта невеликої частини коштів знімається через біржу. Виявлено кілька адрес зберігання коштів, 0x2836 є однією з них.
) Код для Rug Pull з бекдором
Атакуючи, хоча вже намагалися довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили в контракті токена TOMMI зловмисний бекдор у функції openTrading. Цей бекдор дозволяє під час створення ліквіднісного пулу ліквіднісному пулу надавати адресу Rug Puller дозвіл на передачу токенів, що дозволяє адресі Rug Puller безпосередньо забирати токени з ліквіднісного пулу.
Реалізація функції openTrading показана на малюнку 9, її основна функція - створення нового пулу ліквідності, але зловмисник викликав у цій функції бекдор-функцію onInit###, як показано на малюнку 10, що дозволило uniswapV2Pair надати _chefAddress адресу дозвіл на перенесення токена з кількістю type(uint256). При цьому uniswapV2Pair є адресою пулу ліквідності, _chefAddress - адресою Rug Puller, _chefAddress вказується під час розгортання контракту(, як показано на малюнку 11.
![Глибоке дослідження випадків Rug Pull, розкриття безладу в екосистемі токенів Ethereum])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(
![Глибоке розслідування випадків Rug Pull, викриття хаосу в екосистемі токенів Ethereum])https://img-cdn.gateio.im/webp-social/moments-ed67ee56316de1b6a3f2649e45ceeb82.webp(
![Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum])https://img-cdn.gateio.im/webp-social/moments-21fdee332b94d46b0a63310dfa494de9.webp(
) Моделювання злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує фінансування через біржу: зловмисник спочатку надає джерело фінансування для адреси Deployer( через біржу.
Deployer створює ліквідний пул і знищує LP токени: після створення Rug Pull токена, розробник негайно створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідності: Адреса Rug Pull ) Rug Puller ### використовує велику кількість токенів (, зазвичай кількість значно перевищує загальну пропозицію токенів ), щоб обміняти їх на ETH у ліквідності. В інших випадках Rug Puller також може отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переносить ETH, отримані від Rug Pull, на адресу зберігання коштів: Rug Puller переносить отримані ETH на адресу зберігання коштів, іноді...