تحقيق عميق في حالات سحب السجادة، يكشف عن الفوضى في نظام إثيريوم عملة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس بلا مبرر. على مدار الأشهر القليلة الماضية، تمكن فريق الأمان من رصد عدد كبير من حالات عمليات السحب rug pull. من الجدير بالذكر أن العملات التي شاركت في هذه الحالات هي جميعها عملات جديدة تم إطلاقها للتو.
بعد ذلك، تم إجراء تحقيقات متعمقة في هذه الحالات من عمليات سحب البساط، واكتشف أن هناك عصابة منظمة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل دقيق لأساليب عمل هذه العصابات، تم اكتشاف طريق محتمل للترويج لعمليات الاحتيال من قبل عصابات سحب البساط: مجموعات تيليجرام. تستخدم هذه العصابات ميزة "مستكشف الرموز الجديدة" في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية وتحقيق الأرباح من خلال سحب البساط في النهاية.
تم إحصاء معلومات دفع العملات من مجموعات Telegram خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجد أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من العملات التي تتعلق بخداع Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصائيات، كانت التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات التي تتعلق بخداع Rug Pull هي 149,813.72 ETH، وقد حققوا أرباحًا تصل إلى 282,699.96 ETH بمعدل عائد يصل إلى 188.7%، مما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة المدفوعة من قبل مجموعات Telegram على شبكة إثيريوم الرئيسية، تم إحصاء بيانات إصدار العملات الجديدة على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه تم إصدار 100,260 نوعًا من العملات الجديدة خلال هذه الفترة، حيث تمثل العملات المدفوعة من قبل مجموعات Telegram 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يفوق التوقعات المعقولة بكثير. بعد تحقيق مستمر وعميق، كانت الحقيقة مزعجة - حيث أن 48,265 نوعًا من العملات على الأقل متورطة في عمليات احتيال Rug Pull، مما يمثل 48.14%. بعبارة أخرى، فإن واحدًا من كل نوعين من العملات الجديدة على شبكة إثيريوم الرئيسية تقريبًا متورط في الاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أنه ليس فقط على الشبكة الرئيسية لإثيريوم، بل إن حالة أمان النظام البيئي للعملات الجديدة في Web3 أسوأ بكثير مما كان متوقعًا. لذلك، تم كتابة هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي بالوقاية، وأن يظلوا يقظين في مواجهة عمليات الاحتيال المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نفهم بعض المفاهيم الأساسية.
تعد عملة ERC-20 من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تعرف مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والاستعلام عن الرصيد، وتفويض إدارة العملات لطرف ثالث، وما إلى ذلك. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة استنادًا إلى معيار ERC-20، وجمع رأس المال لتمويل مشاريع مالية مختلفة من خلال بيع مسبق للعملات. وبسبب الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
العملات المعروفة لدينا مثل USDT و PEPE و DOGE هي جميعها عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الكود، وتعرضها في البورصات اللامركزية، ثم تحرض المستخدمين على شراءها.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم مثالًا لعملية احتيال بعملة Rug Pull لفهم نمط تشغيل عمليات الاحتيال بالعملات الخبيثة. أولاً، يجب الإشارة إلى أن Rug Pull تشير إلى سلوك الاحتيال الذي يقوم به فريق المشروع في مشاريع التمويل اللامركزي، حيث يسحب فجأة الأموال أو يتخلى عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر كبيرة. وعملة Rug Pull هي عملة صممت خصيصًا لتنفيذ هذا السلوك الاحتيالي.
تُعرف الرموز المذكورة في هذه المقالة أحيانًا باسم "رموز فخ العسل (Honey Pot)" أو "رموز الاحتيال (Exit Scam)"، ولكن في النص التالي سنشير إليها جميعًا باسم رموز فخ العشب (Rug Pull).
· حالة
المهاجمون (عصابة Rug Pull) استخدموا عنوان Deployer (0x4bAF) لنشر عملة TOMMI، ثم استخدموا 1.5 إيثر و100,000,000 عملة TOMMI لإنشاء حوض سيولة، وقاموا بشراء عملة TOMMI عن طريق عناوين أخرى بشكل نشط لتزوير حجم معاملات حوض السيولة لجذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء في الفخ، يقوم المهاجم باستخدام عنوان Rug Puller (0x43a9) لتنفيذ Rug Pull، حيث يقوم Rug Puller ببيع 38,739,354 عملة TOMMI من حوض السيولة، مما يبادل حوالي 3.95 إيثر. مصدر عملات Rug Puller يأتي من تفويض approve الضار لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI في وقت نشره صلاحيات approve لحوض السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ Rug Pull.
سحب السجادة أرسل الأموال إلى عنوان النقل: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
عنوان التحويل سيرسل الأموال إلى عنوان الاحتفاظ بالأموال: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· عملية سحب السجادة
1. إعداد أموال الهجوم.
المهاجم قام بتحميل 2.47309009ETH إلى Token Deployer (0x4bAF) من خلال البورصة كتمويل لبدء عملية Rug Pull.
2. نشر عملة Rug Pull بباب خلفي.
قام Deployer بإنشاء عملة TOMMI، واستخرج مسبقًا 100,000,000 عملة ووزعها على نفسه.
3. إنشاء حوض السيولة الأولي.
أنشأ المنفذ حوض السيولة باستخدام 1.5 إيثر وجميع العملات المسبقة الاستخراج، وحصل على حوالي 0.387 من رموز LP.
4. تدمير جميع إمدادات العملات المسبقة التعدين.
سيقوم مُطلق العملة بإرسال جميع رموز LP إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن مُطلق العملة قد فقد نظريًا القدرة على سحب البساط. (هذا أيضًا أحد الشروط اللازمة لجذب روبوتات الدخول الجديدة، حيث ستقوم بعض روبوتات الدخول الجديدة بتقييم ما إذا كانت العملة الجديدة في تجمع العملات تحمل مخاطر سحب البساط، كما يقوم المُطلق أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الدخول الجديدة).
5. حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من بركة السيولة، لزيادة حجم التداول في البركة، مما يجذب المزيد من روبوتات تداول العملات الجديدة للدخول (الأساس لتحديد أن هذه العناوين هي عناوين المهاجمين المزيفة: تأتي أموال العناوين ذات الصلة من عناوين تحويل الأموال التاريخية لفرقة Rug Pull).
المهاجم بدأ عملية سحب البساط من خلال عنوان Rug Puller (0x43A9)، حيث قام بتحويل 38,739,354 عملة مباشرة من حوض السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لإغراق الحوض وسحب حوالي 3.95 ايثر.
أرسل المهاجم الأموال التي تم الحصول عليها من Rug Pull إلى عنوان النقل 0xD921.
عنوان النقل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما يتم الانتهاء من عملية السحب المفاجئ، فإن الساحب المفاجئ سوف يرسل الأموال إلى عنوان احتفاظ بالأموال ما. عنوان احتفاظ الأموال هو المكان الذي قمنا بمراقبة العديد من حالات السحب المفاجئ وتحويل الأموال إليه، حيث يقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال التي يتلقاها لبدء جولة جديدة من السحب المفاجئ، بينما يتم سحب كمية قليلة من الأموال عبر البورصات. لقد اكتشفنا عدة عناوين احتفاظ بالأموال، و0x2836 هو واحد منها.
· ثغرة في شفرة السحب
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ عملية سحب غير قانونية عن طريق تدمير رموز LP، إلا أن المهاجمين في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء بركة السيولة بمنح عنوان ساحب الأموال الموافقة على نقل العملات، مما يتيح لعنوان ساحب الأموال سحب العملات مباشرة من بركة السيولة.
تنفيذ دالة openTrading موضح في الشكل 9، وتتمثل الوظيفة الرئيسية لها في إنشاء مجموعة سيولة جديدة، ولكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة (كما هو موضح في الشكل 10)، مما سمح لـ uniswapV2Pair بمنح الإذن لنقل عملة بقيمة type(uint256) إلى عنوان _chefAddress. حيث أن uniswapV2Pair هو عنوان مجموعة السيولة، و _chefAddress هو عنوان Rug Puller، وتم تحديد _chefAddress عند نشر العقد (كما هو موضح في الشكل 11).
· نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المُنشئ بالحصول على الأموال من خلال البورصة: أولاً، يقوم المهاجم بتوفير مصدر الأموال لعنوان المُنشئ (Deployer) من خلال البورصة.
يقوم الناشر بإنشاء حوض السيولة وإتلاف عملة LP: بعد أن ينشئ الناشر عملة Rug Pull، سيقوم على الفور بإنشاء حوض السيولة لها، وإتلاف عملة LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يستخدم ساحب السجادة كمية كبيرة من العملات لتبادل ETH في حوض السيولة: عنوان ساحب السجادة (Rug Puller) يستخدم كمية كبيرة من العملات (عادة ما تكون الكمية تتجاوز بكثير إجمالي المعروض من العملات) لتبادل ETH في حوض السيولة. في حالات أخرى، يمكن أن يحصل ساحب السجادة أيضًا على ETH من الحوض عن طريق إزالة السيولة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالتمويل: سيقوم Rug Puller بنقل الحصول على
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 19
أعجبني
19
6
مشاركة
تعليق
0/400
gas_fee_therapist
· منذ 6 س
حمقى خداع الناس لتحقيق الربح 还是这么多
شاهد النسخة الأصليةرد0
CryingOldWallet
· 08-03 12:49
الدائرة مزدحمة جدًا، الحمقى لا يستطيعون التحمل حقًا.
شاهد النسخة الأصليةرد0
RugpullSurvivor
· 08-03 12:49
كنت ضحية لعملية سحب سجاد لمدة 8 سنوات، مرحبًا بكم في التدفئة المتبادلة.
شاهد النسخة الأصليةرد0
VibesOverCharts
· 08-03 12:46
حمقى التقاط السكين المتساقطة حقا يبحثون عن المتاعب بأنفسهم
شاهد النسخة الأصليةرد0
MEVSandwichMaker
· 08-03 12:44
كلها عملات جديدة، إنها رائعة، يُستغل بغباء.
شاهد النسخة الأصليةرد0
UnluckyValidator
· 08-03 12:19
استخدم المطرقة لصهر الفولاذ وتزوج من امرأة غنية ذات بشرة بيضاء
إثيريوم عملة生态乱象:近半新عملة涉嫌Rug Pull诈骗
تحقيق عميق في حالات سحب السجادة، يكشف عن الفوضى في نظام إثيريوم عملة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس بلا مبرر. على مدار الأشهر القليلة الماضية، تمكن فريق الأمان من رصد عدد كبير من حالات عمليات السحب rug pull. من الجدير بالذكر أن العملات التي شاركت في هذه الحالات هي جميعها عملات جديدة تم إطلاقها للتو.
بعد ذلك، تم إجراء تحقيقات متعمقة في هذه الحالات من عمليات سحب البساط، واكتشف أن هناك عصابة منظمة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل دقيق لأساليب عمل هذه العصابات، تم اكتشاف طريق محتمل للترويج لعمليات الاحتيال من قبل عصابات سحب البساط: مجموعات تيليجرام. تستخدم هذه العصابات ميزة "مستكشف الرموز الجديدة" في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية وتحقيق الأرباح من خلال سحب البساط في النهاية.
تم إحصاء معلومات دفع العملات من مجموعات Telegram خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجد أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من العملات التي تتعلق بخداع Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصائيات، كانت التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات التي تتعلق بخداع Rug Pull هي 149,813.72 ETH، وقد حققوا أرباحًا تصل إلى 282,699.96 ETH بمعدل عائد يصل إلى 188.7%، مما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة المدفوعة من قبل مجموعات Telegram على شبكة إثيريوم الرئيسية، تم إحصاء بيانات إصدار العملات الجديدة على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه تم إصدار 100,260 نوعًا من العملات الجديدة خلال هذه الفترة، حيث تمثل العملات المدفوعة من قبل مجموعات Telegram 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يفوق التوقعات المعقولة بكثير. بعد تحقيق مستمر وعميق، كانت الحقيقة مزعجة - حيث أن 48,265 نوعًا من العملات على الأقل متورطة في عمليات احتيال Rug Pull، مما يمثل 48.14%. بعبارة أخرى، فإن واحدًا من كل نوعين من العملات الجديدة على شبكة إثيريوم الرئيسية تقريبًا متورط في الاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أنه ليس فقط على الشبكة الرئيسية لإثيريوم، بل إن حالة أمان النظام البيئي للعملات الجديدة في Web3 أسوأ بكثير مما كان متوقعًا. لذلك، تم كتابة هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي بالوقاية، وأن يظلوا يقظين في مواجهة عمليات الاحتيال المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نفهم بعض المفاهيم الأساسية.
تعد عملة ERC-20 من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تعرف مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والاستعلام عن الرصيد، وتفويض إدارة العملات لطرف ثالث، وما إلى ذلك. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة استنادًا إلى معيار ERC-20، وجمع رأس المال لتمويل مشاريع مالية مختلفة من خلال بيع مسبق للعملات. وبسبب الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
العملات المعروفة لدينا مثل USDT و PEPE و DOGE هي جميعها عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الكود، وتعرضها في البورصات اللامركزية، ثم تحرض المستخدمين على شراءها.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم مثالًا لعملية احتيال بعملة Rug Pull لفهم نمط تشغيل عمليات الاحتيال بالعملات الخبيثة. أولاً، يجب الإشارة إلى أن Rug Pull تشير إلى سلوك الاحتيال الذي يقوم به فريق المشروع في مشاريع التمويل اللامركزي، حيث يسحب فجأة الأموال أو يتخلى عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر كبيرة. وعملة Rug Pull هي عملة صممت خصيصًا لتنفيذ هذا السلوك الاحتيالي.
تُعرف الرموز المذكورة في هذه المقالة أحيانًا باسم "رموز فخ العسل (Honey Pot)" أو "رموز الاحتيال (Exit Scam)"، ولكن في النص التالي سنشير إليها جميعًا باسم رموز فخ العشب (Rug Pull).
· حالة
المهاجمون (عصابة Rug Pull) استخدموا عنوان Deployer (0x4bAF) لنشر عملة TOMMI، ثم استخدموا 1.5 إيثر و100,000,000 عملة TOMMI لإنشاء حوض سيولة، وقاموا بشراء عملة TOMMI عن طريق عناوين أخرى بشكل نشط لتزوير حجم معاملات حوض السيولة لجذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء في الفخ، يقوم المهاجم باستخدام عنوان Rug Puller (0x43a9) لتنفيذ Rug Pull، حيث يقوم Rug Puller ببيع 38,739,354 عملة TOMMI من حوض السيولة، مما يبادل حوالي 3.95 إيثر. مصدر عملات Rug Puller يأتي من تفويض approve الضار لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI في وقت نشره صلاحيات approve لحوض السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ Rug Pull.
· العنوان ذات الصلة
· المعاملات ذات الصلة
· عملية سحب السجادة
1. إعداد أموال الهجوم.
المهاجم قام بتحميل 2.47309009ETH إلى Token Deployer (0x4bAF) من خلال البورصة كتمويل لبدء عملية Rug Pull.
2. نشر عملة Rug Pull بباب خلفي.
قام Deployer بإنشاء عملة TOMMI، واستخرج مسبقًا 100,000,000 عملة ووزعها على نفسه.
3. إنشاء حوض السيولة الأولي.
أنشأ المنفذ حوض السيولة باستخدام 1.5 إيثر وجميع العملات المسبقة الاستخراج، وحصل على حوالي 0.387 من رموز LP.
4. تدمير جميع إمدادات العملات المسبقة التعدين.
سيقوم مُطلق العملة بإرسال جميع رموز LP إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن مُطلق العملة قد فقد نظريًا القدرة على سحب البساط. (هذا أيضًا أحد الشروط اللازمة لجذب روبوتات الدخول الجديدة، حيث ستقوم بعض روبوتات الدخول الجديدة بتقييم ما إذا كانت العملة الجديدة في تجمع العملات تحمل مخاطر سحب البساط، كما يقوم المُطلق أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الدخول الجديدة).
5. حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من بركة السيولة، لزيادة حجم التداول في البركة، مما يجذب المزيد من روبوتات تداول العملات الجديدة للدخول (الأساس لتحديد أن هذه العناوين هي عناوين المهاجمين المزيفة: تأتي أموال العناوين ذات الصلة من عناوين تحويل الأموال التاريخية لفرقة Rug Pull).
المهاجم بدأ عملية سحب البساط من خلال عنوان Rug Puller (0x43A9)، حيث قام بتحويل 38,739,354 عملة مباشرة من حوض السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لإغراق الحوض وسحب حوالي 3.95 ايثر.
أرسل المهاجم الأموال التي تم الحصول عليها من Rug Pull إلى عنوان النقل 0xD921.
عنوان النقل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما يتم الانتهاء من عملية السحب المفاجئ، فإن الساحب المفاجئ سوف يرسل الأموال إلى عنوان احتفاظ بالأموال ما. عنوان احتفاظ الأموال هو المكان الذي قمنا بمراقبة العديد من حالات السحب المفاجئ وتحويل الأموال إليه، حيث يقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال التي يتلقاها لبدء جولة جديدة من السحب المفاجئ، بينما يتم سحب كمية قليلة من الأموال عبر البورصات. لقد اكتشفنا عدة عناوين احتفاظ بالأموال، و0x2836 هو واحد منها.
· ثغرة في شفرة السحب
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ عملية سحب غير قانونية عن طريق تدمير رموز LP، إلا أن المهاجمين في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء بركة السيولة بمنح عنوان ساحب الأموال الموافقة على نقل العملات، مما يتيح لعنوان ساحب الأموال سحب العملات مباشرة من بركة السيولة.
تنفيذ دالة openTrading موضح في الشكل 9، وتتمثل الوظيفة الرئيسية لها في إنشاء مجموعة سيولة جديدة، ولكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة (كما هو موضح في الشكل 10)، مما سمح لـ uniswapV2Pair بمنح الإذن لنقل عملة بقيمة type(uint256) إلى عنوان _chefAddress. حيث أن uniswapV2Pair هو عنوان مجموعة السيولة، و _chefAddress هو عنوان Rug Puller، وتم تحديد _chefAddress عند نشر العقد (كما هو موضح في الشكل 11).
· نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المُنشئ بالحصول على الأموال من خلال البورصة: أولاً، يقوم المهاجم بتوفير مصدر الأموال لعنوان المُنشئ (Deployer) من خلال البورصة.
يقوم الناشر بإنشاء حوض السيولة وإتلاف عملة LP: بعد أن ينشئ الناشر عملة Rug Pull، سيقوم على الفور بإنشاء حوض السيولة لها، وإتلاف عملة LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يستخدم ساحب السجادة كمية كبيرة من العملات لتبادل ETH في حوض السيولة: عنوان ساحب السجادة (Rug Puller) يستخدم كمية كبيرة من العملات (عادة ما تكون الكمية تتجاوز بكثير إجمالي المعروض من العملات) لتبادل ETH في حوض السيولة. في حالات أخرى، يمكن أن يحصل ساحب السجادة أيضًا على ETH من الحوض عن طريق إزالة السيولة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالتمويل: سيقوم Rug Puller بنقل الحصول على