Глубокое расследование случаев Rug Pull, раскрывающих беспорядки в экосистеме токенов Ethereum
В мире Web3 постоянно появляются новые Токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не лишены оснований. За последние несколько месяцев команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, которые только что были добавлены в цепочку.
Затем было проведено глубокое расследование этих случаев Rug Pull, и было обнаружено, что за ними стоят организованные преступные группы, а также обобщены их модельные характеристики мошенничества. Проведя углубленный анализ методов работы этих групп, была выявлена возможная схема мошенничества, связанная с Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге извлекать прибыль через Rug Pull.
По статистике, с ноября 2023 года до начала августа 2024 года эти группы в Telegram отправили 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53%. Общие затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и с доходностью до 188.7% они заработали 282,699.96 Эфир, что эквивалентно около 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно создается около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования было обнаружено, что как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, в других блокчейн-сетях также были обнаружены дополнительные случаи Rug Pull. Это означает, что безопасность всей экосистемы новых токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому мы надеемся помочь всем участникам Web3 повысить осведомленность о рисках, оставаться бдительными перед лицом множества мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен(Token)
Перед тем как официально начать данный отчет, давайте сначала ознакомимся с некоторыми базовыми концепциями.
ERC-20 Токены являются одним из наиболее распространённых стандартов токенов на блокчейне, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токенов, такие как переводы, проверка баланса, авторизация третьих лиц на управление токенами и т.д. Благодаря этому стандартизированному протоколу разработчикам гораздо проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно из-за широкого применения ERC-20 Токенов они стали основой для множества ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые являются ERC-20 токенами. Пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные ERC-20 токены с закладками в коде, размещая их на децентрализованных биржах и затем诱导用户进行购买.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы воспользуемся примером мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренных токенов. Прежде всего, необходимо отметить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "медовыми токенами" или "схемами ухода", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.
случай
Атакующий ( группа Rug Pull ) использует адрес Deployer ( 0x4bAF ) для развертывания токена TOMMI, затем с 1,5 Эфир и 100,000,000 токенов TOMMI создает ликвидность, и через другие адреса активно покупает токены TOMMI, чтобы сфальсифицировать объем торгов ликвидности и привлечь пользователей и роботов для покупки токенов TOMMI. Когда определенное количество роботов попадает в ловушку, атакующий использует адрес Rug Puller ( 0x43a9) для выполнения Rug Pull, Rug Puller использует 38,739,354 токенов TOMMI для разрушения ликвидности, обменяв их на примерно 3,95 Эфир. Токены Rug Puller поступают из злонамеренного одобрения в контракте токенов TOMMI, при развертывании контракта токенов TOMMI Rug Puller получает права на одобрение ликвидности, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидности и затем проводить Rug Pull.
Создание пула ликвидности:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес для перевода средств отправляет средства одному из маскированных пользователей ( ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскирующий пользователь покупает токен ( один из ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправит полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Промежуточный адрес отправляет средства на адрес хранения средств:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процесс Rug Pull
Подготовьте средства для атаки.
Атакующий через биржу пополнил Token Deployer(0x4bAF) на 2.47309009Эфир в качестве стартового капитала для Rug Pull.
Развертывание токена Rug Pull с задней дверью.
Deployer создает токен TOMMI, предварительно добывает 100,000,000 токенов и распределяет их себе.
Создайте начальный пул ликвидности.
Деплойер использовал 1.5 Эфира и все преддобытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
Уничтожить все запасы преддобытых Токенов.
Token Deployer отправляет все LP Токены на адрес 0 для уничтожения, так как в контракте TOMMI отсутствует функция Mint, таким образом, в данный момент Token Deployer теоретически уже утратил возможность Rug Pull. ( это также одно из необходимых условий для привлечения ботов для участия в новых предложениях, некоторые боты оценивают, существует ли риск Rug Pull для новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы ботов для новых предложений ).
Поддельный объем торгов.
Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, поднимая объем торгов в пуле и далее привлекая ботов для торговли новыми токенами (. Основание для определения этих адресов как замаскированных атакующих: средства соответствующих адресов поступают из исторических адресов перевода средств группы Rug Pull ).
Атакующий инициировал Rug Pull через адрес Rug Puller (0x43A9), выведя 38,739,354 токенов напрямую из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы разрушить пул, извлекая около 3.95 Эфира.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Промежуточный адрес 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправит средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств в многочисленных случаях Rug Pull, на которые было обращено внимание, адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, а оставшаяся небольшая часть средств будет выведена через биржу. Обнаружено несколько адресов хранения средств, 0x2836 является одним из них.
Код задней двери для Rug Pull
Хотя злоумышленники уже пытались доказать окружающим, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили в функции openTrading контракта токена TOMMI злонамеренную дверь approve, которая при создании ликвидного пула позволяет ликвидному пулу одобрять перевод токенов на адрес Rug Puller, что дает возможность адресу Rug Puller напрямую выводить токены из ликвидного пула.
Основная функция реализации функции openTrading заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции бэкдор функцию onInit, позволив uniswapV2Pair одобрить передачу токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair является адресом пула ликвидности, а _chefAddress — адресом Rug Puller, который указывается при развертывании контракта.
Моделирование преступлений
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает финансирование через биржу: злоумышленник сначала предоставляет источник финансирования для адреса (Deployer) через биржу.
Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, развертыватель сразу создаст ликвидный пул и уничтожит LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно количество которых значительно превышает общее предложение токенов ), для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также получает ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученные от Rug Pull, на адрес хранения средств: Rug Puller переводит полученные ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные особенности обычно присутствуют в захваченных случаях, что свидетельствует о явных паттернах поведения Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на одном адресе хранения, что подразумевает, что эти, на первый взгляд, независимые случаи Rug Pull могут быть связаны с одной и той же группой мошенников или даже с одним и тем же мошенническим бандой.
Основываясь на этих характеристиках, мы выделили модель поведения Rug Pull и использовали эту модель.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
6
Поделиться
комментарий
0/400
MemeCoinSavant
· 07-19 22:42
лол, статистически говоря, 49% новых токенов = сертифицированный gm't
Посмотреть ОригиналОтветить0
UnluckyLemur
· 07-18 22:28
Учебные расходы действительно высоки, только после потерь это считается началом.
Посмотреть ОригиналОтветить0
GateUser-954f2c4f
· 07-17 00:17
Фирма HODL💎
Посмотреть ОригиналОтветить0
SlowLearnerWang
· 07-16 23:25
Снова опоздал на шаг. Сокращение потерь уже надоело... Теперь расскажи мне, в чем смысл слухов.
Экосистема токенов Ethereum: случаи Rug Pull показывают, что 49% новых токенов вовлечены в мошенничество.
Глубокое расследование случаев Rug Pull, раскрывающих беспорядки в экосистеме токенов Ethereum
В мире Web3 постоянно появляются новые Токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не лишены оснований. За последние несколько месяцев команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, которые только что были добавлены в цепочку.
Затем было проведено глубокое расследование этих случаев Rug Pull, и было обнаружено, что за ними стоят организованные преступные группы, а также обобщены их модельные характеристики мошенничества. Проведя углубленный анализ методов работы этих групп, была выявлена возможная схема мошенничества, связанная с Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге извлекать прибыль через Rug Pull.
По статистике, с ноября 2023 года до начала августа 2024 года эти группы в Telegram отправили 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53%. Общие затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и с доходностью до 188.7% они заработали 282,699.96 Эфир, что эквивалентно около 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно создается около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования было обнаружено, что как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, в других блокчейн-сетях также были обнаружены дополнительные случаи Rug Pull. Это означает, что безопасность всей экосистемы новых токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому мы надеемся помочь всем участникам Web3 повысить осведомленность о рисках, оставаться бдительными перед лицом множества мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен(Token)
Перед тем как официально начать данный отчет, давайте сначала ознакомимся с некоторыми базовыми концепциями.
ERC-20 Токены являются одним из наиболее распространённых стандартов токенов на блокчейне, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токенов, такие как переводы, проверка баланса, авторизация третьих лиц на управление токенами и т.д. Благодаря этому стандартизированному протоколу разработчикам гораздо проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно из-за широкого применения ERC-20 Токенов они стали основой для множества ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые являются ERC-20 токенами. Пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные ERC-20 токены с закладками в коде, размещая их на децентрализованных биржах и затем诱导用户进行购买.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы воспользуемся примером мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренных токенов. Прежде всего, необходимо отметить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "медовыми токенами" или "схемами ухода", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.
случай
Атакующий ( группа Rug Pull ) использует адрес Deployer ( 0x4bAF ) для развертывания токена TOMMI, затем с 1,5 Эфир и 100,000,000 токенов TOMMI создает ликвидность, и через другие адреса активно покупает токены TOMMI, чтобы сфальсифицировать объем торгов ликвидности и привлечь пользователей и роботов для покупки токенов TOMMI. Когда определенное количество роботов попадает в ловушку, атакующий использует адрес Rug Puller ( 0x43a9) для выполнения Rug Pull, Rug Puller использует 38,739,354 токенов TOMMI для разрушения ликвидности, обменяв их на примерно 3,95 Эфир. Токены Rug Puller поступают из злонамеренного одобрения в контракте токенов TOMMI, при развертывании контракта токенов TOMMI Rug Puller получает права на одобрение ликвидности, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидности и затем проводить Rug Pull.
Связанный адрес
связанные сделки
Процесс Rug Pull
Атакующий через биржу пополнил Token Deployer(0x4bAF) на 2.47309009Эфир в качестве стартового капитала для Rug Pull.
Deployer создает токен TOMMI, предварительно добывает 100,000,000 токенов и распределяет их себе.
Деплойер использовал 1.5 Эфира и все преддобытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
Token Deployer отправляет все LP Токены на адрес 0 для уничтожения, так как в контракте TOMMI отсутствует функция Mint, таким образом, в данный момент Token Deployer теоретически уже утратил возможность Rug Pull. ( это также одно из необходимых условий для привлечения ботов для участия в новых предложениях, некоторые боты оценивают, существует ли риск Rug Pull для новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы ботов для новых предложений ).
Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, поднимая объем торгов в пуле и далее привлекая ботов для торговли новыми токенами (. Основание для определения этих адресов как замаскированных атакующих: средства соответствующих адресов поступают из исторических адресов перевода средств группы Rug Pull ).
Атакующий инициировал Rug Pull через адрес Rug Puller (0x43A9), выведя 38,739,354 токенов напрямую из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы разрушить пул, извлекая около 3.95 Эфира.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Промежуточный адрес 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправит средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств в многочисленных случаях Rug Pull, на которые было обращено внимание, адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, а оставшаяся небольшая часть средств будет выведена через биржу. Обнаружено несколько адресов хранения средств, 0x2836 является одним из них.
Код задней двери для Rug Pull
Хотя злоумышленники уже пытались доказать окружающим, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили в функции openTrading контракта токена TOMMI злонамеренную дверь approve, которая при создании ликвидного пула позволяет ликвидному пулу одобрять перевод токенов на адрес Rug Puller, что дает возможность адресу Rug Puller напрямую выводить токены из ликвидного пула.
Основная функция реализации функции openTrading заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции бэкдор функцию onInit, позволив uniswapV2Pair одобрить передачу токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair является адресом пула ликвидности, а _chefAddress — адресом Rug Puller, который указывается при развертывании контракта.
Моделирование преступлений
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает финансирование через биржу: злоумышленник сначала предоставляет источник финансирования для адреса (Deployer) через биржу.
Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, развертыватель сразу создаст ликвидный пул и уничтожит LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно количество которых значительно превышает общее предложение токенов ), для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также получает ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученные от Rug Pull, на адрес хранения средств: Rug Puller переводит полученные ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные особенности обычно присутствуют в захваченных случаях, что свидетельствует о явных паттернах поведения Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на одном адресе хранения, что подразумевает, что эти, на первый взгляд, независимые случаи Rug Pull могут быть связаны с одной и той же группой мошенников или даже с одним и тем же мошенническим бандой.
Основываясь на этих характеристиках, мы выделили модель поведения Rug Pull и использовали эту модель.