以太坊新代币生态调查:近半涉Rug Pull 诈骗金额达8亿美元

深入调查Rug Pull案例,揭秘以太坊代币生态乱象

简介

在Web3世界中,新代币不断涌现。你是否想过,每天究竟有多少新代币在发行?这些新代币都安全吗?

这些疑问并非无端而起。近几个月来,安全团队捕获了大量Rug Pull交易案例。值得注意的是,这些案例中涉及的代币无一例外都是刚刚上链的新代币。

随后,安全团队对这些Rug Pull案例进行了深入调查,发现背后存在组织化的作案团伙,并总结了这些骗局的模式化特征。通过深入分析这些团伙的作案手法,发现了Rug Pull团伙一种可能的诈骗推广途径:Telegram群组。这些团伙利用某些群组中的"New Token Tracer"功能吸引用户购买诈骗代币并最终通过Rug Pull牟利。

统计显示,从2023年11月至2024年8月初期间这些Telegram群组共推送了93,930种新代币,其中涉及Rug Pull的代币共有46,526种,占比高达49.53%。据统计,这些Rug Pull代币背后团伙的累计投入成本为149,813.72 ETH,并以高达188.7%的回报率牟利282,699.96 ETH,折合约8亿美元。

深入调查Rug Pull案例,揭秘以太坊代币生态乱象

为了评估Telegram群组推送的新代币在以太坊主网中的占比,安全团队统计了相同时间段内以太坊主网上发行的新代币数据。数据显示,在此期间共有100,260种新代币发行,其中通过Telegram群组推送的代币占主网的89.99%。平均每天约有370种新代币诞生,远超合理预期。在经过不断深入地调查之后,发现的真相令人不安——其中至少48,265种代币涉及Rug Pull诈骗,占比高达48.14%。换句话说,以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

深入调查Rug Pull案例,揭秘以太坊代币生态乱象

此外,在其他区块链网络中也发现了更多的Rug Pull案例。这意味着不仅是以太坊主网,整个Web3新发代币生态的安全状况远比预期更加严峻。因此,本报告旨在帮助所有Web3成员提升防范意识,在面对层出不穷的骗局时保持警惕,并及时采取必要的预防措施,保护好自己的资产安全。

ERC-20 代币(Token)

在正式开始本报告之前,我们先来了解一些基础概念。

ERC-20代币是目前区块链上最常见的代币标准之一,它定义了一组规范,使得代币可以在不同的智能合约和去中心化应用程序(dApp)之间进行互操作。ERC-20标准规定了代币的基本功能,例如转账、查询余额、授权第三方管理代币等。由于这一标准化的协议,开发者可以更轻松地发行和管理代币,从而简化了代币的创建和使用。实际上,任何个人或组织都可以基于ERC-20标准发行自己的代币,并通过预售代币为各种金融项目筹集启动资金。正因为ERC-20代币的广泛应用,它成为了许多ICO和去中心化金融项目的基础。

我们熟悉的USDT、PEPE、DOGE都属于ERC-20代币,用户可以通过去中心化交易所购买这些代币。然而,某些诈骗团伙也可能自行发行带有代码后门的恶意ERC-20代币,将其上架到去中心化交易所,再诱导用户进行购买。

Rug Pull代币的典型诈骗案例

在这里,我们借用一个Rug Pull代币的诈骗案例,深入了解恶意代币诈骗的运营模式。首先需要说明的是,Rug Pull是指项目方在去中心化金融项目中,突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。而Rug Pull代币则是专门为实施这种诈骗行为而发行的代币。

本文中提到的Rug Pull代币,有时也被称为"蜜罐(Honey Pot)代币"或"退出骗局(Exit Scam)代币",但在下文中我们将统一称其为Rug Pull代币。

案例

攻击者(Rug Pull团伙)用Deployer地址部署TOMMI代币,然后用1.5个ETH和100,000,000个TOMMI创建流动性池,并通过其他地址主动购买TOMMI代币来伪造流动性池交易量以吸引用户和链上的打新机器人购买TOMMI代币。当有一定数量的打新机器人上当后,攻击者用Rug Puller地址来执行Rug Pull,Rug Puller用38,739,354TOMMI代币砸流动性池,兑换出约3.95个ETH。Rug Puller的代币来源于TOMMI代币合约的恶意Approve授权,TOMMI代币合约部署时会为Rug Puller授予流动性池的approve权限,这使得Rug Puller可以直接从流动性池里转出TOMMI代币然后进行Rug Pull。

Rug Pull过程

  1. 准备攻击资金。

攻击者通过某交易所,向Token Deployer充值2.47309009ETH作为Rug Pull的启动资金。

  1. 部署带后门的Rug Pull代币。

Deployer创建TOMMI代币,预挖100,000,000个代币并分配给自身。

  1. 创建初始流动性池。

Deployer用1.5个ETH和预挖的所有代币创建流动性池,获得了约0.387个LP代币。

  1. 销毁所有预挖的Token供应量。

Token Deployer将所有LP代币发送至0地址销毁,由于TOMMI合约中没有Mint功能,因此此时Token Deployer理论上已经失去了Rug Pull能力。(这也是吸引打新机器人入场的必要条件之一,部分打新机器人会评估新入池的代币是否存在Rug Pull风险,Deployer还将合约的Owner设置为0地址,都是为了骗过打新机器人的反诈程序)。

  1. 伪造交易量。

攻击者用多个地址主动从流动性池中购买TOMMI代币,炒高池子的交易量,进一步吸引打新机器人入场(判断这些地址是攻击者伪装的依据:相关地址的资金来自Rug Pull团伙的历史资金中转地址)。

  1. 攻击者通过Rug Puller地址发起Rug Pull,通过token的后门直接从流动性池中转出38,739,354个代币,然后再用这些代币砸池子,套出约3.95个ETH。

  2. 攻击者将Rug Pull所得资金发送至中转地址。

  3. 中转地址将资金发送至资金留存地址。从这里我们可以看出,当Rug Pull完成后,Rug Puller会将资金发送至某个资金留存地址。资金留存地址是监控到的大量Rug Pull案例的资金归集处,资金留存地址会将收到的大部分资金进行拆分以开始新一轮的Rug Pull,而其余少量资金会经由某交易所提现。

深入调查Rug Pull案例,揭秘以太坊代币生态乱象

Rug Pull代码后门

攻击者虽然已经通过销毁LP代币来试图向外界证明他们没办法进行Rug Pull,但是实际上攻击者却在TOMMI代币合约的openTrading函数中留下一个恶意approve的后门,这个后门会在创建流动性池时让流动性池向Rug Puller地址approve代币的转移权限,使得Rug Puller地址可以直接从流动性池中转走代币。

作案模式化

通过分析TOMMI案例,我们可以总结出以下4个特点:

  1. Deployer通过某交易所获取资金:攻击者首先通过某交易所为部署者地址(Deployer)提供资金来源。

  2. Deployer创建流动性池并销毁LP代币:部署者在创建完Rug Pull代币后,会立刻为其创建流动性池,并销毁LP代币,以增加项目的可信度,吸引更多投资者。

  3. Rug Puller用大量代币兑换流动性池中的ETH:Rug Pull地址(Rug Puller)使用大量代币(通常数量远超代币总供应量)来兑换流动性池中的ETH。其他案例中,Rug Puller也有通过移除流动性来获取池中ETH的情况。

  4. Rug Puller将Rug Pull获得的ETH转移至资金留存地址:Rug Puller会将获取到的ETH转移到资金留存地址,有时通过中间地址进行过渡。

上述这些特点普遍存在于捕获的案例中,这表明Rug Pull行为有着明显的模式化特征。此外,在完成Rug Pull后,资金通常会被汇集到一个资金留存地址,这暗示这些看似独立的Rug Pull案例背后可能涉及同一批甚至同一个诈骗团伙。

基于这些特点,提取了一个Rug Pull的行为模式,并利用此模式对监控到的案例进行扫描检测,以期构建出可能的诈骗团伙画像。

Rug Pull作案团伙

挖掘资金留存地址

如前文所述,Rug Pull案例通常会在最后将资金汇聚到资金留存地址。基于这一模式,挑选了其中几个高度活跃且其关联案例作案手法特征明显的资金留存地址进行深入分析。

进入视野的共有7个资金留存地址,这些地址关联的Rug Pull案例共有1,124个,被链上攻击监控系统成功捕获。Rug Pull团伙在成功实施骗局后,会将非法获利汇集至这些资金留存地址。而这些资金留存地址会将沉淀资金进行拆分,用于未来新的Rug Pull骗局中创建新代币、操纵流动性池等活动。此外,一小部分沉淀资金则通过某交易所或闪兑平台进行套现。

在一次完整的Rug Pull骗局中,Rug Pull团伙通常使用一个地址作为Rug Pull代币的部署者(Deployer),并通过某交易所提款获取启动资金来创建Rug Pull代币及相应的流动性池。当吸引到足够数量的用户或打新机器人使用ETH购买Rug Pull代币后,Rug Pull团伙会使用另一个地址作为Rug Pull执行者(Rug Puller)进行操作,将所得资金转移至资金留存地址。

需要说明的是,Rug Pull团伙在实施骗局时,也会主动使用ETH购买自己创建的Rug Pull代币,以模拟正常的流动性池活动,从而吸引打新机器人购买。但这部分成本未被纳入计算,因此实际的利润会相对较低。

实际上,即便最终资金被汇聚到了不同的资金留存地址,但由于这些地址所关联的案例之间存在大量共性(如Rug Pull的后门实现方式、套现路径等),仍然高度怀疑这些资金留存地址背后可能属于同一个团伙。

挖掘资金留存地址间关联

判断资金留存地址之间是否存在关联性的一个重要指标,是查看这些地址之间是否存在直接的转账关系。为验证资金留存地址之间的关联性,爬取并分析了这些地址的历史交易记录。

在过去分析的案例中的大多数情况下,每一次Rug Pull骗局的收益最终只会流向某一个资金留存地址,想要通过追踪收益资金的走向,从而去关联不同的资金留存地址是无法做到的,因此,需要检测这些资金留存地址之间的资金流动情况,才可以获得资金留存地址之间的直接关联。

需要说明的是,某些地址是各资金留

此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 9
  • 分享
评论
0/400
链上侦探小饼vip
· 11小时前
割来割去 这波韭菜怎么割不完呢
回复0
Uncle Whalevip
· 20小时前
来了还能跑?新链等着被薅
回复0
GasFeeBeggarvip
· 21小时前
又tm被rug了,我是韭菜本菜
回复0
周一梭哈周五哭vip
· 07-18 04:30
韭菜韭菜 割一波又一波
回复0
Crypto金矿vip
· 07-18 02:55
静观其变,收益比优先 投资需谨慎
回复0
链上福尔摩斯vip
· 07-18 02:53
老套路了还有人信
回复0
DeFi安全卫士vip
· 07-18 02:50
*叹气* 又一天,又一个需要分析的割韭菜向量... 不想说“早就告诉过你们了”,但我们的貔貅盘扫描器上个月就标记了73%的这些“新代币”。DYOR,大家,认真点。
查看原文回复0
TokenAlchemistvip
· 07-18 02:41
哈哈又是一天又是一个骗局... 不对称风险无处不在,老实说
查看原文回复0
幽灵链忠实粉vip
· 07-18 02:37
又亏了血本无归啊
回复0
查看更多
交易,随时随地
qrCode
扫码下载 Gate APP
社群列表
简体中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)