تحقيق عميق في حالات سحب البساط، يكشف عن الفوضى في نظام عملات إثيريوم
في عالم Web3، تتوالى العملات الجديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تُصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا أساس. في الأشهر القليلة الماضية، تمكن فريق الأمان من رصد العديد من حالات عمليات سحب البساط. ومن الجدير بالذكر أن جميع العملات التي تم الإبلاغ عنها في هذه الحالات هي عملات جديدة تم إدراجها حديثًا.
بعد ذلك، تم إجراء تحقيقات معمقة في هذه الحالات من Rug Pull، واكتشف أن هناك عصابات منظمة تقف وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات بعمق، تم اكتشاف أحد طرق الاحتيال المحتملة لعصابات Rug Pull: مجموعات Telegram. تستخدم هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية وفي النهاية تحقيق الأرباح من خلال Rug Pull.
وفقًا للإحصاءات، من نوفمبر 2023 حتى أوائل أغسطس 2024، أرسلت هذه المجموعات على تيليجرام 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا تتعلق بعمليات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. كانت تكلفة الاستثمار التراكمية وراء عصابات هذه العملات المعرضة لعمليات Rug Pull 149,813.72 ايثر، وحققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد مرتفع يبلغ 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملة الجديدة التي تم دفعها في مجموعة Telegram على الشبكة الرئيسية لـ إثيريوم، تم إحصاء بيانات العملات الجديدة التي تم إصدارها على الشبكة الرئيسية لـ إثيريوم خلال نفس الفترة الزمنية. تُظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات التي تم دفعها عبر مجموعة Telegram 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد إجراء تحقيقات متعمقة، تم اكتشاف أن ما لا يقل عن 48,265 نوعًا من العملات تتعلق بعمليات احتيال من نوع Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن واحداً من كل عملتين جديدتين على الشبكة الرئيسية لـ إثيريوم تقريباً يتعلق بعمليات الاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في الشبكات الأخرى للبلوكشين. وهذا يعني أن الأمان في نظام عملات التوكن الجديدة في Web3 على مستوى العالم أكثر خطورة مما كان متوقعًا. لذلك، نأمل أن نتمكن من مساعدة جميع أعضاء Web3 على تعزيز الوعي بالوقاية، وأن يظلوا في حالة تأهب عند مواجهة الحيل المتكررة، وأن يتخذوا في الوقت المناسب التدابير الوقائية اللازمة لحماية أصولهم.
رمز ERC-20 (Token)
قبل أن نبدأ هذا التقرير رسميًا، دعونا نلقي نظرة على بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والاستعلام عن الرصيد، وتفويض الأطراف الثالثة لإدارة العملات، وغيرها. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملاتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
USDT و PEPE و DOGE التي نعرفها جميعًا هي عملات ERC-20، يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 ضارة تحتوي على أبواب خلفية برمجية، ثم إدراجها في البورصات اللامركزية، وتحفيز المستخدمين على شرائها.
مثال على الاحتيال النموذجي لعملة سحب البساط
هنا، نستخدم حالة احتيال عملة Rug Pull لفهم نمط تشغيل احتيال العملات الخبيثة بشكل أعمق. يجب أن نوضح أولاً أن Rug Pull تشير إلى سلوك احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
المقالة تشير إلى عملة Rug Pull، والتي تُعرف أحياناً بـ "عملة الفخ" أو "عملة الاحتيال"، ولكن في النص أدناه، سنشير إليها بشكل موحد كعملة Rug Pull.
حالة
المهاجم ( عصابة Rug Pull ) استخدم عنوان Deployer ( 0x4bAF ) لنشر عملة TOMMI، ثم أنشأ حوض سيولة باستخدام 1.5 ETH و 100,000,000 عملة TOMMI، وقام بشراء عملة TOMMI بنشاط من عناوين أخرى لتزوير حجم معاملات حوض السيولة لجذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يتم خداع عدد معين من روبوتات الشراء، يستخدم المهاجم عنوان Rug Puller ( 0x43a9) لتنفيذ Rug Pull، حيث يقوم Rug Puller ببيع 38,739,354 عملة TOMMI في حوض السيولة، واستبدالها بنحو 3.95 ETH. مصدر رموز Rug Puller هو تفويض خبيث من عقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات approve لحوض السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ Rug Pull.
عنوان ذو صلة
الناشر:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
رمز تومي: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
Rug Pull أرسل الأموال المستلمة إلى عنوان النقل: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
عنوان التحويل سيرسل الأموال إلى عنوان الاحتفاظ بالأموال:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
عملية سحب البساط
إعداد أموال الهجوم.
المهاجمون من خلال البورصة، قاموا بشحن 2.47309009 ايثر إلى Token Deployer(0x4bAF) كرأس مال لبدء عملية Rug Pull.
نشر عملة Rug Pull مع باب خلفي.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
إنشاء حوض السيولة الأولية.
قام المطور باستخدام 1.5 إيثر و جميع العملات المُعدة مسبقًا لإنشاء تجمع السيولة، وحصل على حوالي 0.387 من رموز LP.
تدمير جميع إمدادات العملة المسبقة التعدين.
يقوم Token Deployer بإرسال جميع عملات LP إلى عنوان 0 للتدمير، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. ( وهذا أيضًا أحد الشروط اللازمة لجذب روبوتات الاشتراك الجديدة، حيث ستقوم بعض روبوتات الاشتراك الجديدة بتقييم ما إذا كانت العملات الجديدة في المسبح تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاشتراك الجديدة ).
حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بشكل نشط من حوض السيولة، مما يؤدي إلى رفع حجم التداول في الحوض، وجذب المزيد من روبوتات التداول لدخول السوق (. يتم تحديد هذه العناوين على أنها مزيفة من قبل المهاجمين بناءً على: الأموال المتعلقة بها تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull ).
قام المهاجم بالهجوم من خلال عنوان Rug Puller (0x43A9)، حيث قام بسحب Rug Pull، وسحب 38,739,354 عملة مباشرة من حوض السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لضرب الحوض، مما أدى إلى سحب حوالي 3.95 ايثر.
المهاجم أرسل الأموال التي حصل عليها من Rug Pull إلى عنوان وسيط 0xD921.
عنوان التحويل 0xD921 أرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما تكتمل عملية السحب المفاجئ، سيقوم ساحب السحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو المكان الذي يتم فيه تجميع الأموال من العديد من حالات السحب المفاجئ التي تم رصدها، وعنوان احتفاظ الأموال سيقوم بتقسيم الجزء الأكبر من الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب القليل المتبقي من الأموال عبر البورصة. تم العثور على عدة عناوين احتفاظ بالأموال، 0x2836 هو واحد منها.
كود سحب البساط ثغرة
على الرغم من أن المهاجمين حاولوا من خلال تدمير عملة LP إثبات أنهم لا يستطيعون القيام بعمليات احتيالية، إلا أن المهاجمين في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، هذا الباب الخلفي سيسمح عند إنشاء تجمع السيولة للمجمع بالموافقة على نقل العملات إلى عنوان Rug Puller، مما يتيح لعنوان Rug Puller سحب العملات مباشرة من تجمع السيولة.
تتمثل الوظيفة الرئيسية لتنفيذ دالة openTrading في إنشاء برك السيولة الجديدة، لكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة، مما سمح لـ uniswapV2Pair بمنح عنوان _chefAddress إذن تحويل لعدد يساوي type(uint256) من العملة. حيث uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، و _chefAddress يتم تحديده عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربع التالية:
يقوم المهاجم أولاً بالحصول على مصدر التمويل لعنوان Deployer( من خلال البورصة.
يقوم المنشئ بإنشاء حوض السيولة ونسخ رموز LP: بعد أن يقوم المنشئ بإنشاء رموز Rug Pull، سيقوم فوراً بإنشاء حوض السيولة لها، ونسخ رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من العملة لتبادل ETH في بركة السيولة: عنوان Rug Pull ) Rug Puller ( يستخدم كمية كبيرة من العملة ) عادةً ما تتجاوز الكمية الإجمالية للعملة ( لتبادل ETH في بركة السيولة. في حالات أخرى، قد يقوم Rug Puller أيضًا بإزالة السيولة للحصول على ETH من البركة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم ذلك عبر عنوان وسيط.
تتواجد هذه الميزات بشكل عام في الحالات الملتقطة، مما يدل على أن سلوك سحب السجادة له خصائص نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، غالبًا ما يتم تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات المستقلة من سحب السجادة قد تكون مرتبطة بنفس المجموعة أو حتى بنفس العصابة المحتالة.
استنادًا إلى هذه الميزات، قمنا باستخراج نمط سلوك Rug Pull واستخدمنا هذا النمط
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
6
مشاركة
تعليق
0/400
MemeCoinSavant
· 07-19 22:42
هههه إحصائيًا، 49% من الرموز الجديدة = gm't معتمد
شاهد النسخة الأصليةرد0
UnluckyLemur
· 07-18 22:28
الدراسة مكلفة حقًا، ويعتبر الدخول في المجال بعد خسارة كل شيء.
شاهد النسخة الأصليةرد0
GateUser-954f2c4f
· 07-17 00:17
شركة HODL💎
شاهد النسخة الأصليةرد0
SlowLearnerWang
· 07-16 23:25
مرة أخرى تأخرت خطوة واحدة، لقد سئمت من قطع الخسارة... الآن ما فائدة إخباري بالأخبار السرية؟
إثيريوم عملة生态乱象:Rug Pull案例揭示49%新 عملة涉诈骗
تحقيق عميق في حالات سحب البساط، يكشف عن الفوضى في نظام عملات إثيريوم
في عالم Web3، تتوالى العملات الجديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تُصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا أساس. في الأشهر القليلة الماضية، تمكن فريق الأمان من رصد العديد من حالات عمليات سحب البساط. ومن الجدير بالذكر أن جميع العملات التي تم الإبلاغ عنها في هذه الحالات هي عملات جديدة تم إدراجها حديثًا.
بعد ذلك، تم إجراء تحقيقات معمقة في هذه الحالات من Rug Pull، واكتشف أن هناك عصابات منظمة تقف وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات بعمق، تم اكتشاف أحد طرق الاحتيال المحتملة لعصابات Rug Pull: مجموعات Telegram. تستخدم هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية وفي النهاية تحقيق الأرباح من خلال Rug Pull.
وفقًا للإحصاءات، من نوفمبر 2023 حتى أوائل أغسطس 2024، أرسلت هذه المجموعات على تيليجرام 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا تتعلق بعمليات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. كانت تكلفة الاستثمار التراكمية وراء عصابات هذه العملات المعرضة لعمليات Rug Pull 149,813.72 ايثر، وحققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد مرتفع يبلغ 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملة الجديدة التي تم دفعها في مجموعة Telegram على الشبكة الرئيسية لـ إثيريوم، تم إحصاء بيانات العملات الجديدة التي تم إصدارها على الشبكة الرئيسية لـ إثيريوم خلال نفس الفترة الزمنية. تُظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات التي تم دفعها عبر مجموعة Telegram 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد إجراء تحقيقات متعمقة، تم اكتشاف أن ما لا يقل عن 48,265 نوعًا من العملات تتعلق بعمليات احتيال من نوع Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن واحداً من كل عملتين جديدتين على الشبكة الرئيسية لـ إثيريوم تقريباً يتعلق بعمليات الاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في الشبكات الأخرى للبلوكشين. وهذا يعني أن الأمان في نظام عملات التوكن الجديدة في Web3 على مستوى العالم أكثر خطورة مما كان متوقعًا. لذلك، نأمل أن نتمكن من مساعدة جميع أعضاء Web3 على تعزيز الوعي بالوقاية، وأن يظلوا في حالة تأهب عند مواجهة الحيل المتكررة، وأن يتخذوا في الوقت المناسب التدابير الوقائية اللازمة لحماية أصولهم.
رمز ERC-20 (Token)
قبل أن نبدأ هذا التقرير رسميًا، دعونا نلقي نظرة على بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والاستعلام عن الرصيد، وتفويض الأطراف الثالثة لإدارة العملات، وغيرها. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملاتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
USDT و PEPE و DOGE التي نعرفها جميعًا هي عملات ERC-20، يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 ضارة تحتوي على أبواب خلفية برمجية، ثم إدراجها في البورصات اللامركزية، وتحفيز المستخدمين على شرائها.
مثال على الاحتيال النموذجي لعملة سحب البساط
هنا، نستخدم حالة احتيال عملة Rug Pull لفهم نمط تشغيل احتيال العملات الخبيثة بشكل أعمق. يجب أن نوضح أولاً أن Rug Pull تشير إلى سلوك احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
المقالة تشير إلى عملة Rug Pull، والتي تُعرف أحياناً بـ "عملة الفخ" أو "عملة الاحتيال"، ولكن في النص أدناه، سنشير إليها بشكل موحد كعملة Rug Pull.
حالة
المهاجم ( عصابة Rug Pull ) استخدم عنوان Deployer ( 0x4bAF ) لنشر عملة TOMMI، ثم أنشأ حوض سيولة باستخدام 1.5 ETH و 100,000,000 عملة TOMMI، وقام بشراء عملة TOMMI بنشاط من عناوين أخرى لتزوير حجم معاملات حوض السيولة لجذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يتم خداع عدد معين من روبوتات الشراء، يستخدم المهاجم عنوان Rug Puller ( 0x43a9) لتنفيذ Rug Pull، حيث يقوم Rug Puller ببيع 38,739,354 عملة TOMMI في حوض السيولة، واستبدالها بنحو 3.95 ETH. مصدر رموز Rug Puller هو تفويض خبيث من عقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات approve لحوض السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ Rug Pull.
عنوان ذو صلة
المعاملات ذات الصلة
عملية سحب البساط
المهاجمون من خلال البورصة، قاموا بشحن 2.47309009 ايثر إلى Token Deployer(0x4bAF) كرأس مال لبدء عملية Rug Pull.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
قام المطور باستخدام 1.5 إيثر و جميع العملات المُعدة مسبقًا لإنشاء تجمع السيولة، وحصل على حوالي 0.387 من رموز LP.
يقوم Token Deployer بإرسال جميع عملات LP إلى عنوان 0 للتدمير، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. ( وهذا أيضًا أحد الشروط اللازمة لجذب روبوتات الاشتراك الجديدة، حيث ستقوم بعض روبوتات الاشتراك الجديدة بتقييم ما إذا كانت العملات الجديدة في المسبح تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاشتراك الجديدة ).
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بشكل نشط من حوض السيولة، مما يؤدي إلى رفع حجم التداول في الحوض، وجذب المزيد من روبوتات التداول لدخول السوق (. يتم تحديد هذه العناوين على أنها مزيفة من قبل المهاجمين بناءً على: الأموال المتعلقة بها تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull ).
قام المهاجم بالهجوم من خلال عنوان Rug Puller (0x43A9)، حيث قام بسحب Rug Pull، وسحب 38,739,354 عملة مباشرة من حوض السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لضرب الحوض، مما أدى إلى سحب حوالي 3.95 ايثر.
المهاجم أرسل الأموال التي حصل عليها من Rug Pull إلى عنوان وسيط 0xD921.
عنوان التحويل 0xD921 أرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما تكتمل عملية السحب المفاجئ، سيقوم ساحب السحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو المكان الذي يتم فيه تجميع الأموال من العديد من حالات السحب المفاجئ التي تم رصدها، وعنوان احتفاظ الأموال سيقوم بتقسيم الجزء الأكبر من الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب القليل المتبقي من الأموال عبر البورصة. تم العثور على عدة عناوين احتفاظ بالأموال، 0x2836 هو واحد منها.
كود سحب البساط ثغرة
على الرغم من أن المهاجمين حاولوا من خلال تدمير عملة LP إثبات أنهم لا يستطيعون القيام بعمليات احتيالية، إلا أن المهاجمين في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، هذا الباب الخلفي سيسمح عند إنشاء تجمع السيولة للمجمع بالموافقة على نقل العملات إلى عنوان Rug Puller، مما يتيح لعنوان Rug Puller سحب العملات مباشرة من تجمع السيولة.
تتمثل الوظيفة الرئيسية لتنفيذ دالة openTrading في إنشاء برك السيولة الجديدة، لكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة، مما سمح لـ uniswapV2Pair بمنح عنوان _chefAddress إذن تحويل لعدد يساوي type(uint256) من العملة. حيث uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، و _chefAddress يتم تحديده عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربع التالية:
يقوم المهاجم أولاً بالحصول على مصدر التمويل لعنوان Deployer( من خلال البورصة.
يقوم المنشئ بإنشاء حوض السيولة ونسخ رموز LP: بعد أن يقوم المنشئ بإنشاء رموز Rug Pull، سيقوم فوراً بإنشاء حوض السيولة لها، ونسخ رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من العملة لتبادل ETH في بركة السيولة: عنوان Rug Pull ) Rug Puller ( يستخدم كمية كبيرة من العملة ) عادةً ما تتجاوز الكمية الإجمالية للعملة ( لتبادل ETH في بركة السيولة. في حالات أخرى، قد يقوم Rug Puller أيضًا بإزالة السيولة للحصول على ETH من البركة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم ذلك عبر عنوان وسيط.
تتواجد هذه الميزات بشكل عام في الحالات الملتقطة، مما يدل على أن سلوك سحب السجادة له خصائص نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، غالبًا ما يتم تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات المستقلة من سحب السجادة قد تكون مرتبطة بنفس المجموعة أو حتى بنفس العصابة المحتالة.
استنادًا إلى هذه الميزات، قمنا باستخراج نمط سلوك Rug Pull واستخدمنا هذا النمط