Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
У світі Web3 постійно з'являються нові токени. Чи замислювались ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці запитання не безпідставні. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, що беруть участь у цих випадках, без винятку, є новими токенами, які щойно з'явилися в мережі.
Після цього було проведено глибоке розслідування цих випадків Rug Pull, виявлено, що за ними стоять організовані злочинні групи, і підсумовано їхні схемні характеристики. Після детального аналізу методів злочинної діяльності цих груп було виявлено один можливий шлях просування шахрайства групами Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до покупки шахрайських токенів і врешті-решт отримати прибуток через Rug Pull.
Згідно зі статистикою, з листопада 2023 року по початок серпня 2024 року ці Telegram-групи загалом просунули 93 930 нових токенів, з яких 46 526 токенів були пов'язані з Rug Pull, що становить 49,53%. Загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149 813,72 ETH, а прибуток склав 282 699,96 ETH з прибутковістю до 188,7%, що еквівалентно приблизно 800 мільйонам доларів.
Для оцінки частки нових токенів, які просуваються у групах Telegram, в мережі Ethereum, були статистично зібрані дані про нові токени, випущені в тій же часовій рамці на основній мережі Ethereum. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що просуваються через групи Telegram, складають 89.99% від основної мережі. Середньо щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після глибокого розслідування виявлено, що щонайменше 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull у інших блокчейн-мережах. Це означає, що безпека нових токенів у всій екосистемі Web3 є значно серйознішою, ніж очікувалося, не лише на основній мережі Ethereum. Тому сподіваємося, що зможемо допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися напоготові перед численними шахрайствами та своєчасно вживати необхідних заходів для захисту своїх активів.
ERC-20 Токен(Token)
Перш ніж розпочати цей звіт, давайте спочатку ознайомимося з деякими базовими поняттями.
ERC-20 Токен є одним із найбільш поширених стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 регламентує основні функції токена, такі як переказ, перевірка балансу, уповноваження третіх осіб на управління токеном тощо. Завдяки цьому стандартизованому протоколу розробникам легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа або організація може випустити свій токен на базі стандарту ERC-20 і залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 Токен став основою багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угруповання також можуть випускати шкідливі токени ERC-20 з кодом-задньою дверцею, розміщуючи їх на децентралізованих біржах і спокушаючи користувачів на покупку.
Типові випадки шахрайства з токенами Rug Pull
Тут ми запозичуємо випадок шахрайства з токеном Rug Pull, щоб детально розглянути моделі експлуатації зловмисних токенових шахрайств. По-перше, слід зазначити, що Rug Pull означає шахрайську поведінку, коли команда проекту раптово забирає кошти або відмовляється від проекту в децентралізованих фінансових проектах, що призводить до величезних втрат для інвесторів. А токени Rug Pull — це токени, спеціально випущені для реалізації такої шахрайської діяльності.
У статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з шахрайства", але в подальшому ми будемо єдино називати їх токенами Rug Pull.
випадок
Атакуюча група ( Rug Pull ) використала адресу Deployer ( 0x4bAF ) для розгортання токена TOMMI, а потім створила ліквідність з 1,5 ETH та 100,000,000 TOMMI, а також активно купувала токени TOMMI з інших адрес, щоб підробити обсяги торгівлі ліквідністю та залучити користувачів і нових ботів на ланцюгу для покупки токенів TOMMI. Коли певна кількість нових ботів попалася на гачок, атакуючий виконав Rug Pull за адресою Rug Puller ( 0x43a9), використавши 38,739,354 токенів TOMMI, щоб розбити ліквідність, обмінявши їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з шкідливої авторизації Approve контракту токена TOMMI; контракт токена TOMMI під час розгортання надає Rug Puller права на підтвердження ліквідності, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідності, а потім здійснювати Rug Pull.
Створення ліквідності пулу:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адреса для переказу коштів відправляє кошти до замаскованого користувача ( одного з них ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Прихований користувач купує токени ( з числа ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull відправляє отримані кошти на проміжну адресу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Проміжна адреса відправляє кошти на адресу зберігання коштів:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процес Rug Pull
Підготувати кошти для атаки.
Зловмисник через біржу, поповнив Token Deployer(0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.
Розгортання токена Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх собі.
Створення початкового ліквідного пулу.
Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримавши приблизно 0.387 LP токенів.
Знищити всі попередньо видобуті обсяги Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив можливість Rug Pull. ( це також одна з необхідних умов для залучення роботів для нових інвестицій, деякі роботи оцінюють, чи існує ризик Rug Pull у нових токенах, які потрапляють у пул, Deployer також встановлює власника контракту на адресу 0, щоб обдурити програми протидії шахрайству роботів для нових інвестицій ).
Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгів у пулі, що додатково залучає роботів для нових інвестицій (. Оцінка цих адрес як адрес зловмисників базується на тому, що кошти, пов'язані з ними, походять з історичних адрес переведення коштів групи Rug Pull ).
Атакуючий через адресу Rug Puller (0x43A9) ініціює Rug Pull, через бекдор токена безпосередньо виводячи 38,739,354 токенів з ліквідного пулу, а потім використовує ці токени для розгромлення пулу, витягуючи близько 3.95 Етер.
Зловмисник відправив кошти від Rug Pull на проміжну адресу 0xD921.
Проміжна адреса 0xD921 надсилає кошти на адресу зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправить кошти на якусь адресу зберігання коштів. Адреса зберігання коштів є місцем зосередження коштів у численних випадках Rug Pull, які були зафіксовані, адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невеликої суми коштів буде виведена через біржу. Було виявлено кілька адрес зберігання коштів, 0x2836 є однією з них.
Код для Rug Pull задня дверка
Атакувальники, хоча й спробували довести зовні, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили шкідливу функцію approve в функції openTrading контракту TOMMI, яка під час створення ліквідного пулу дозволяє ліквідному пулу надати адресу Rug Puller дозвіл на переміщення токенів, дозволяючи адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
реалізація функції openTrading має на меті створити новий пул ліквідності, але зловмисник викликав у цій функції функцію-задню двері onInit, що дозволяє uniswapV2Pair схвалити кількість токенів, що дорівнює type(uint256), для передачі прав на переміщення. Де uniswapV2Pair - це адреса пулу ліквідності, _chefAddress - адреса Rug Puller, _chefAddress визначається під час розгортання контракту.
Моделювання злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує фінансування через біржу: атакуючий спочатку забезпечує джерело фінансування для адреси розгортання (Deployer) через біржу.
Deployer створює ліквідність пул та знищує LP токени: після створення Rug Pull токена, розробник відразу створює ліквідність пул, та знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller обмінює велику кількість Токенів на ETH у ліквіднісному пулі: адреса Rug Pull ( Rug Puller ) використовує велику кількість Токенів (, зазвичай кількість значно перевищує загальну пропозицію Токенів ), щоб обміняти на ETH у ліквіднісному пулі. В інших випадках Rug Puller також може отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переводить ETH, отримані від Rug Pull, на адресу утримання коштів: Rug Puller переводитиме отримані ETH на адресу утримання коштів, іноді через проміжну адресу.
Ці характеристики поширені в захоплених випадках, що вказує на те, що поведінка Rug Pull має явні ознаки шаблонності. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу збереження коштів, що натякає на те, що за цими, здавалося б, незалежними випадками Rug Pull може стояти одна й та ж група шахраїв, або навіть одна й та ж банда.
На основі цих характеристик ми виділили модель поведінки Rug Pull і використали цю модель.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
6
Поділіться
Прокоментувати
0/400
MemeCoinSavant
· 07-19 22:42
лол, статистично кажучи, 49% нових токенів = сертифіковані gm't
Переглянути оригіналвідповісти на0
UnluckyLemur
· 07-18 22:28
Вартість навчання дійсно висока, лише після програшу можна вважати себе новачком.
Переглянути оригіналвідповісти на0
GateUser-954f2c4f
· 07-17 00:17
Фірма HODL💎
Переглянути оригіналвідповісти на0
SlowLearnerWang
· 07-16 23:25
Знову запізнився на крок, Скорочення втрат вже набридло... тепер скажи мені, яка користь від чуток?
Переглянути оригіналвідповісти на0
LootboxPhobia
· 07-16 23:05
обдурювати людей, як лохів раз
Переглянути оригіналвідповісти на0
HorizonHunter
· 07-16 22:59
Обман для дурнів засобами стає все більш нахабним.
Екосистема токенів Ethereum: випадки Rug Pull вказують на 49% нових токенів, пов'язаних із шахрайством
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
У світі Web3 постійно з'являються нові токени. Чи замислювались ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці запитання не безпідставні. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, що беруть участь у цих випадках, без винятку, є новими токенами, які щойно з'явилися в мережі.
Після цього було проведено глибоке розслідування цих випадків Rug Pull, виявлено, що за ними стоять організовані злочинні групи, і підсумовано їхні схемні характеристики. Після детального аналізу методів злочинної діяльності цих груп було виявлено один можливий шлях просування шахрайства групами Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до покупки шахрайських токенів і врешті-решт отримати прибуток через Rug Pull.
Згідно зі статистикою, з листопада 2023 року по початок серпня 2024 року ці Telegram-групи загалом просунули 93 930 нових токенів, з яких 46 526 токенів були пов'язані з Rug Pull, що становить 49,53%. Загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149 813,72 ETH, а прибуток склав 282 699,96 ETH з прибутковістю до 188,7%, що еквівалентно приблизно 800 мільйонам доларів.
Для оцінки частки нових токенів, які просуваються у групах Telegram, в мережі Ethereum, були статистично зібрані дані про нові токени, випущені в тій же часовій рамці на основній мережі Ethereum. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що просуваються через групи Telegram, складають 89.99% від основної мережі. Середньо щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після глибокого розслідування виявлено, що щонайменше 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull у інших блокчейн-мережах. Це означає, що безпека нових токенів у всій екосистемі Web3 є значно серйознішою, ніж очікувалося, не лише на основній мережі Ethereum. Тому сподіваємося, що зможемо допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися напоготові перед численними шахрайствами та своєчасно вживати необхідних заходів для захисту своїх активів.
ERC-20 Токен(Token)
Перш ніж розпочати цей звіт, давайте спочатку ознайомимося з деякими базовими поняттями.
ERC-20 Токен є одним із найбільш поширених стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 регламентує основні функції токена, такі як переказ, перевірка балансу, уповноваження третіх осіб на управління токеном тощо. Завдяки цьому стандартизованому протоколу розробникам легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа або організація може випустити свій токен на базі стандарту ERC-20 і залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 Токен став основою багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угруповання також можуть випускати шкідливі токени ERC-20 з кодом-задньою дверцею, розміщуючи їх на децентралізованих біржах і спокушаючи користувачів на покупку.
Типові випадки шахрайства з токенами Rug Pull
Тут ми запозичуємо випадок шахрайства з токеном Rug Pull, щоб детально розглянути моделі експлуатації зловмисних токенових шахрайств. По-перше, слід зазначити, що Rug Pull означає шахрайську поведінку, коли команда проекту раптово забирає кошти або відмовляється від проекту в децентралізованих фінансових проектах, що призводить до величезних втрат для інвесторів. А токени Rug Pull — це токени, спеціально випущені для реалізації такої шахрайської діяльності.
У статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з шахрайства", але в подальшому ми будемо єдино називати їх токенами Rug Pull.
випадок
Атакуюча група ( Rug Pull ) використала адресу Deployer ( 0x4bAF ) для розгортання токена TOMMI, а потім створила ліквідність з 1,5 ETH та 100,000,000 TOMMI, а також активно купувала токени TOMMI з інших адрес, щоб підробити обсяги торгівлі ліквідністю та залучити користувачів і нових ботів на ланцюгу для покупки токенів TOMMI. Коли певна кількість нових ботів попалася на гачок, атакуючий виконав Rug Pull за адресою Rug Puller ( 0x43a9), використавши 38,739,354 токенів TOMMI, щоб розбити ліквідність, обмінявши їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з шкідливої авторизації Approve контракту токена TOMMI; контракт токена TOMMI під час розгортання надає Rug Puller права на підтвердження ліквідності, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідності, а потім здійснювати Rug Pull.
відповідна адреса
відповідні угоди
Процес Rug Pull
Зловмисник через біржу, поповнив Token Deployer(0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх собі.
Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримавши приблизно 0.387 LP токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив можливість Rug Pull. ( це також одна з необхідних умов для залучення роботів для нових інвестицій, деякі роботи оцінюють, чи існує ризик Rug Pull у нових токенах, які потрапляють у пул, Deployer також встановлює власника контракту на адресу 0, щоб обдурити програми протидії шахрайству роботів для нових інвестицій ).
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгів у пулі, що додатково залучає роботів для нових інвестицій (. Оцінка цих адрес як адрес зловмисників базується на тому, що кошти, пов'язані з ними, походять з історичних адрес переведення коштів групи Rug Pull ).
Атакуючий через адресу Rug Puller (0x43A9) ініціює Rug Pull, через бекдор токена безпосередньо виводячи 38,739,354 токенів з ліквідного пулу, а потім використовує ці токени для розгромлення пулу, витягуючи близько 3.95 Етер.
Зловмисник відправив кошти від Rug Pull на проміжну адресу 0xD921.
Проміжна адреса 0xD921 надсилає кошти на адресу зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправить кошти на якусь адресу зберігання коштів. Адреса зберігання коштів є місцем зосередження коштів у численних випадках Rug Pull, які були зафіксовані, адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невеликої суми коштів буде виведена через біржу. Було виявлено кілька адрес зберігання коштів, 0x2836 є однією з них.
Код для Rug Pull задня дверка
Атакувальники, хоча й спробували довести зовні, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили шкідливу функцію approve в функції openTrading контракту TOMMI, яка під час створення ліквідного пулу дозволяє ліквідному пулу надати адресу Rug Puller дозвіл на переміщення токенів, дозволяючи адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
реалізація функції openTrading має на меті створити новий пул ліквідності, але зловмисник викликав у цій функції функцію-задню двері onInit, що дозволяє uniswapV2Pair схвалити кількість токенів, що дорівнює type(uint256), для передачі прав на переміщення. Де uniswapV2Pair - це адреса пулу ліквідності, _chefAddress - адреса Rug Puller, _chefAddress визначається під час розгортання контракту.
Моделювання злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує фінансування через біржу: атакуючий спочатку забезпечує джерело фінансування для адреси розгортання (Deployer) через біржу.
Deployer створює ліквідність пул та знищує LP токени: після створення Rug Pull токена, розробник відразу створює ліквідність пул, та знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller обмінює велику кількість Токенів на ETH у ліквіднісному пулі: адреса Rug Pull ( Rug Puller ) використовує велику кількість Токенів (, зазвичай кількість значно перевищує загальну пропозицію Токенів ), щоб обміняти на ETH у ліквіднісному пулі. В інших випадках Rug Puller також може отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переводить ETH, отримані від Rug Pull, на адресу утримання коштів: Rug Puller переводитиме отримані ETH на адресу утримання коштів, іноді через проміжну адресу.
Ці характеристики поширені в захоплених випадках, що вказує на те, що поведінка Rug Pull має явні ознаки шаблонності. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу збереження коштів, що натякає на те, що за цими, здавалося б, незалежними випадками Rug Pull може стояти одна й та ж група шахраїв, або навіть одна й та ж банда.
На основі цих характеристик ми виділили модель поведінки Rug Pull і використали цю модель.