深入調查Rug Pull案例，揭祕以太坊代幣生態亂象

簡介

在Web3世界中，新代幣不斷湧現。你是否想過，每天究竟有多少新代幣在發行？這些新代幣都安全嗎？

這些疑問並非無端而起。近幾個月來，安全團隊捕獲了大量Rug Pull交易案例。值得注意的是，這些案例中涉及的代幣無一例外都是剛剛上鏈的新代幣。

隨後，安全團隊對這些Rug Pull案例進行了深入調查，發現背後存在組織化的作案團夥，並總結了這些騙局的模式化特徵。通過深入分析這些團夥的作案手法，發現了Rug Pull團夥一種可能的詐騙推廣途徑：Telegram羣組。這些團夥利用某些羣組中的"New Token Tracer"功能吸引用戶購買詐騙代幣並最終通過Rug Pull牟利。

統計顯示，從2023年11月至2024年8月初期間這些Telegram羣組共推送了93,930種新代幣，其中涉及Rug Pull的代幣共有46,526種，佔比高達49.53%。據統計，這些Rug Pull代幣背後團夥的累計投入成本爲149,813.72 ETH，並以高達188.7%的回報率牟利282,699.96 ETH，折合約8億美元。

爲了評估Telegram羣組推送的新代幣在以太坊主網中的佔比，安全團隊統計了相同時間段內以太坊主網上發行的新代幣數據。數據顯示，在此期間共有100,260種新代幣發行，其中通過Telegram羣組推送的代幣佔主網的89.99%。平均每天約有370種新代幣誕生，遠超合理預期。在經過不斷深入地調查之後，發現的真相令人不安——其中至少48,265種代幣涉及Rug Pull詐騙，佔比高達48.14%。換句話說，以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外，在其他區塊鏈網路中也發現了更多的Rug Pull案例。這意味着不僅是以太坊主網，整個Web3新發代幣生態的安全狀況遠比預期更加嚴峻。因此，本報告旨在幫助所有Web3成員提升防範意識，在面對層出不窮的騙局時保持警惕，並及時採取必要的預防措施，保護好自己的資產安全。

ERC-20 代幣（Token）

在正式開始本報告之前，我們先來了解一些基礎概念。

ERC-20代幣是目前區塊鏈上最常見的代幣標準之一，它定義了一組規範，使得代幣可以在不同的智能合約和去中心化應用程式（dApp）之間進行互操作。ERC-20標準規定了代幣的基本功能，例如轉帳、查詢餘額、授權第三方管理代幣等。由於這一標準化的協議，開發者可以更輕鬆地發行和管理代幣，從而簡化了代幣的創建和使用。實際上，任何個人或組織都可以基於ERC-20標準發行自己的代幣，並通過預售代幣爲各種金融項目籌集啓動資金。正因爲ERC-20代幣的廣泛應用，它成爲了許多ICO和去中心化金融項目的基礎。

我們熟悉的USDT、PEPE、DOGE都屬於ERC-20代幣，用戶可以通過去中心化交易所購買這些代幣。然而，某些詐騙團夥也可能自行發行帶有代碼後門的惡意ERC-20代幣，將其上架到去中心化交易所，再誘導用戶進行購買。

Rug Pull代幣的典型詐騙案例

在這裏，我們借用一個Rug Pull代幣的詐騙案例，深入了解惡意代幣詐騙的運營模式。首先需要說明的是，Rug Pull是指項目方在去中心化金融項目中，突然抽走資金或放棄項目，導致投資者蒙受巨大損失的欺詐行爲。而Rug Pull代幣則是專門爲實施這種詐騙行爲而發行的代幣。

本文中提到的Rug Pull代幣，有時也被稱爲"蜜罐（Honey Pot）代幣"或"退出騙局（Exit Scam）代幣"，但在下文中我們將統一稱其爲Rug Pull代幣。

案例

攻擊者（Rug Pull團夥）用Deployer地址部署TOMMI代幣，然後用1.5個ETH和100,000,000個TOMMI創建流動性池，並通過其他地址主動購買TOMMI代幣來僞造流動性池交易量以吸引用戶和鏈上的打新機器人購買TOMMI代幣。當有一定數量的打新機器人上當後，攻擊者用Rug Puller地址來執行Rug Pull，Rug Puller用38,739,354TOMMI代幣砸流動性池，兌換出約3.95個ETH。Rug Puller的代幣來源於TOMMI代幣合約的惡意Approve授權，TOMMI代幣合約部署時會爲Rug Puller授予流動性池的approve權限，這使得Rug Puller可以直接從流動性池裏轉出TOMMI代幣然後進行Rug Pull。

Rug Pull過程

1. 準備攻擊資金。

攻擊者通過某交易所，向Token Deployer充值2.47309009ETH作爲Rug Pull的啓動資金。

2. 部署帶後門的Rug Pull代幣。

Deployer創建TOMMI代幣，預挖100,000,000個代幣並分配給自身。

3. 創建初始流動性池。

Deployer用1.5個ETH和預挖的所有代幣創建流動性池，獲得了約0.387個LP代幣。

4. 銷毀所有預挖的Token供應量。

Token Deployer將所有LP代幣發送至0地址銷毀，由於TOMMI合約中沒有Mint功能，因此此時Token Deployer理論上已經失去了Rug Pull能力。（這也是吸引打新機器人入場的必要條件之一，部分打新機器人會評估新入池的代幣是否存在Rug Pull風險，Deployer還將合約的Owner設置爲0地址，都是爲了騙過打新機器人的反詐程序）。

5. 僞造交易量。

攻擊者用多個地址主動從流動性池中購買TOMMI代幣，炒高池子的交易量，進一步吸引打新機器人入場（判斷這些地址是攻擊者僞裝的依據：相關地址的資金來自Rug Pull團夥的歷史資金中轉地址）。

6. 攻擊者通過Rug Puller地址發起Rug Pull，通過token的後門直接從流動性池中轉出38,739,354個代幣，然後再用這些代幣砸池子，套出約3.95個ETH。

7. 攻擊者將Rug Pull所得資金發送至中轉地址。

8. 中轉地址將資金發送至資金留存地址。從這裏我們可以看出，當Rug Pull完成後，Rug Puller會將資金發送至某個資金留存地址。資金留存地址是監控到的大量Rug Pull案例的資金歸集處，資金留存地址會將收到的大部分資金進行拆分以開始新一輪的Rug Pull，而其餘少量資金會經由某交易所提現。

Rug Pull代碼後門

攻擊者雖然已經通過銷毀LP代幣來試圖向外界證明他們沒辦法進行Rug Pull，但是實際上攻擊者卻在TOMMI代幣合約的openTrading函數中留下一個惡意approve的後門，這個後門會在創建流動性池時讓流動性池向Rug Puller地址approve代幣的轉移權限，使得Rug Puller地址可以直接從流動性池中轉走代幣。

作案模式化

通過分析TOMMI案例，我們可以總結出以下4個特點：

1. Deployer通過某交易所獲取資金：攻擊者首先通過某交易所爲部署者地址（Deployer）提供資金來源。

2. Deployer創建流動性池並銷毀LP代幣：部署者在創建完Rug Pull代幣後，會立刻爲其創建流動性池，並銷毀LP代幣，以增加項目的可信度，吸引更多投資者。

3. Rug Puller用大量代幣兌換流動性池中的ETH：Rug Pull地址（Rug Puller）使用大量代幣（通常數量遠超代幣總供應量）來兌換流動性池中的ETH。其他案例中，Rug Puller也有通過移除流動性來獲取池中ETH的情況。

4. Rug Puller將Rug Pull獲得的ETH轉移至資金留存地址：Rug Puller會將獲取到的ETH轉移到資金留存地址，有時通過中間地址進行過渡。

上述這些特點普遍存在於捕獲的案例中，這表明Rug Pull行爲有着明顯的模式化特徵。此外，在完成Rug Pull後，資金通常會被匯集到一個資金留存地址，這暗示這些看似獨立的Rug Pull案例背後可能涉及同一批甚至同一個詐騙團夥。

基於這些特點，提取了一個Rug Pull的行爲模式，並利用此模式對監控到的案例進行掃描檢測，以期構建出可能的詐騙團夥畫像。

Rug Pull作案團夥

挖掘資金留存地址

如前文所述，Rug Pull案例通常會在最後將資金匯聚到資金留存地址。基於這一模式，挑選了其中幾個高度活躍且其關聯案例作案手法特徵明顯的資金留存地址進行深入分析。

進入視野的共有7個資金留存地址，這些地址關聯的Rug Pull案例共有1,124個，被鏈上攻擊監控系統成功捕獲。Rug Pull團夥在成功實施騙局後，會將非法獲利匯集至這些資金留存地址。而這些資金留存地址會將沉澱資金進行拆分，用於未來新的Rug Pull騙局中創建新代幣、操縱流動性池等活動。此外，一小部分沉澱資金則通過某交易所或閃兌平台進行套現。

在一次完整的Rug Pull騙局中，Rug Pull團夥通常使用一個地址作爲Rug Pull代幣的部署者（Deployer），並通過某交易所提款獲取啓動資金來創建Rug Pull代幣及相應的流動性池。當吸引到足夠數量的用戶或打新機器人使用ETH購買Rug Pull代幣後，Rug Pull團夥會使用另一個地址作爲Rug Pull執行者（Rug Puller）進行操作，將所得資金轉移至資金留存地址。

需要說明的是，Rug Pull團夥在實施騙局時，也會主動使用ETH購買自己創建的Rug Pull代幣，以模擬正常的流動性池活動，從而吸引打新機器人購買。但這部分成本未被納入計算，因此實際的利潤會相對較低。

實際上，即便最終資金被匯聚到了不同的資金留存地址，但由於這些地址所關聯的案例之間存在大量共性（如Rug Pull的後門實現方式、套現路徑等），仍然高度懷疑這些資金留存地址背後可能屬於同一個團夥。

挖掘資金留存地址間關聯

判斷資金留存地址之間是否存在關聯性的一個重要指標，是查看這些地址之間是否存在直接的轉帳關係。爲驗證資金留存地址之間的關聯性，爬取並分析了這些地址的歷史交易記錄。

在過去分析的案例中的大多數情況下，每一次Rug Pull騙局的收益最終只會流向某一個資金留存地址，想要通過追蹤收益資金的走向，從而去關聯不同的資金留存地址是無法做到的，因此，需要檢測這些資金留存地址之間的資金流動情況，才可以獲得資金留存地址之間的直接關聯。

需要說明的是，某些地址是各資金留