Investigação profunda sobre casos de Rug Pull, revelando o caos no ecossistema de tokens Ethereum
No mundo Web3, novos Tokens estão surgindo constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem por acaso. Nos últimos meses, a equipe de segurança capturou um grande número de casos de transações de Rug Pull. Vale ressaltar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Em seguida, foi realizada uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de grupos organizados por trás das ações criminosas, e foram resumidas as características padronizadas desses golpes. Através da análise detalhada das táticas desses grupos, foi descoberta uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a função "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através de Rug Pull.
Foi estatisticamente analisada a informação sobre a promoção de Tokens destes grupos do Telegram, desde novembro de 2023 até o início de agosto de 2024, e foram encontradas 93,930 novas moedas promovidas, das quais 46,526 estavam relacionadas a Rug Pull, representando uma alta percentagem de 49.53%. Segundo as estatísticas, o custo total investido pelos grupos por trás destes Tokens de Rug Pull foi de 149,813.72 Éter, e lucraram 282,699.96 Éter com uma taxa de retorno de até 188.7%, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na mainnet Ethereum, foram estatísticos os dados de novos tokens emitidos na mainnet Ethereum durante o mesmo período. Os dados mostram que, durante esse período, foram emitidos um total de 100.260 novos tokens, dos quais os tokens promovidos por grupos do Telegram representam 89,99% da mainnet. Em média, cerca de 370 novos tokens nascem por dia, superando em muito a expectativa razoável. Após uma investigação aprofundada, a verdade descoberta é inquietante - pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, o que representa 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado com a esperança de ajudar todos os membros do Web3 a aumentar sua conscientização sobre prevenção, mantendo-se vigilantes diante de fraudes que surgem sem parar e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.
ERC-20 Token
Antes de iniciar oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem a interoperabilidade entre tokens em diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 estabelece as funcionalidades básicas dos tokens, como transferência, consulta de saldo e autorização de terceiros para gerenciar os tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e utilização dos mesmos. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e angariar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base de muitos ICOs e projetos de finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20. Os usuários podem comprar esses tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir tokens ERC-20 maliciosos com backdoors de código, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Caso típico de fraude com Token Rug Pull
Aqui, vamos usar um caso de fraude com um Token Rug Pull para entender melhor o modelo operacional das fraudes de Token maliciosos. Primeiro, é necessário esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto, em um projeto de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, resultando em enormes perdas para os investidores. E o Token Rug Pull é um Token emitido especificamente para a realização desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas no texto abaixo nos referiremos a eles de forma unificada como tokens Rug Pull.
· caso
O atacante (gangue de Rug Pull) utilizou o endereço Deployer (0x4bAF) para implantar o token TOMMI, e então criou um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez e atrair usuários e robôs de compra de novos tokens na blockchain para adquirir tokens TOMMI. Quando um certo número de robôs de compra cai na armadilha, o atacante utiliza o endereço Rug Puller (0x43a9) para executar o Rug Pull, onde o Rug Puller utiliza 38.739.354 tokens TOMMI para derrubar o pool de liquidez, trocando por aproximadamente 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI; ao implantar o contrato do token TOMMI, a autorização do pool de liquidez é concedida ao Rug Puller, permitindo que o Rug Puller retire diretamente tokens TOMMI do pool de liquidez e então execute o Rug Pull.
Utilizador disfarçado de Rug Puller (um deles): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Endereço de transferência de fundos Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
Endereço de retenção de fundos do Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
· Transação relacionada
Deployer obtém capital inicial da bolsa: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Implantar o Token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Criar um pool de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
O endereço de transferência de fundos envia fundos para usuários disfarçados (um deles): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Disfarçar a compra de tokens pelo usuário (um deles): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull enviar os fundos obtidos para o endereço de transferência: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará os fundos para o endereço de retenção de fundos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Processo de Rug Pull
1. Preparar os fundos de ataque.
O atacante recarregou 2.47309009ETH para o Token Deployer (0x4bAF) através da exchange como capital inicial para o Rug Pull.
2. Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minera 100.000.000 tokens e distribui para si mesmo.
3. Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir toda a quantidade de Token pré-minerada.
O Token Deployer envia todos os tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não possui a função Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair bots de lançamento, alguns bots de lançamento avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo isso para enganar os programas antifraude dos bots de lançamento).
5. Volume de transações falsificado.
O atacante utiliza múltiplos endereços para comprar ativamente tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de investimento (a base para determinar que esses endereços são disfarces do atacante: os fundos desses endereços provêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desvalorizar o pool, obtendo cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transição 0xD921.
O endereço de transição 0xD921 enviará fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a quantidade restante será retirada através de uma exchange. Encontramos vários endereços de retenção de fundos, e 0x2836 é um deles.
· Código de backdoor Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull ao destruir os LP Tokens, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI. Esta porta dos fundos permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente Tokens do pool de liquidez.
A implementação da função openTrading é mostrada na Figura 9, cuja principal função é criar um novo pool de liquidez. No entanto, o atacante chamou a função de backdoor onInit dentro dessa função (mostrada na Figura 10), permitindo que o uniswapV2Pair aprovasse a transferência de tokens no endereço _chefAddress para a quantidade de type(uint256). Onde uniswapV2Pair é o endereço do pool de liquidez e _chefAddress é o endereço do Rug Puller, que foi especificado durante a implantação do contrato (mostrado na Figura 11).
· Modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através da exchange: o atacante primeiro fornece uma fonte de fundos para o endereço do deployer (Deployer) através da exchange.
O Deployer cria um pool de liquidez e destrói os Tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os Tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de Token por ETH no pool de liquidez: O endereço Rug Pull (Rug Puller) utiliza uma grande quantidade de Token (geralmente um valor muito superior à oferta total de Token) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: Rug Puller irá obter
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
19 Curtidas
Recompensa
19
6
Compartilhar
Comentário
0/400
gas_fee_therapist
· 6h atrás
idiotas fazer as pessoas de parvas 还是这么多
Ver originalResponder0
CryingOldWallet
· 08-03 12:49
O círculo está muito confuso, os idiotas antigos realmente não conseguem aguentar.
Ver originalResponder0
RugpullSurvivor
· 08-03 12:49
Fui vítima de rug pull durante 8 anos. Bem-vindos para nos aquecermos mutuamente.
Ver originalResponder0
VibesOverCharts
· 08-03 12:46
Os idiotas que apanham uma faca a cair realmente o fazem por vontade própria.
Ver originalResponder0
MEVSandwichMaker
· 08-03 12:44
são novos Tokens verdadeiramente deliciosos, Ser enganado por idiotas é o que se passa
Ver originalResponder0
UnluckyValidator
· 08-03 12:19
Usar um martelo para refinar o aço e casar com uma mulher rica e bonita.
Ecossistema de tokens Ethereum em desordem: quase metade dos novos tokens suspeitos de fraude Rug Pull
Investigação profunda sobre casos de Rug Pull, revelando o caos no ecossistema de tokens Ethereum
No mundo Web3, novos Tokens estão surgindo constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem por acaso. Nos últimos meses, a equipe de segurança capturou um grande número de casos de transações de Rug Pull. Vale ressaltar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Em seguida, foi realizada uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de grupos organizados por trás das ações criminosas, e foram resumidas as características padronizadas desses golpes. Através da análise detalhada das táticas desses grupos, foi descoberta uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a função "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através de Rug Pull.
Foi estatisticamente analisada a informação sobre a promoção de Tokens destes grupos do Telegram, desde novembro de 2023 até o início de agosto de 2024, e foram encontradas 93,930 novas moedas promovidas, das quais 46,526 estavam relacionadas a Rug Pull, representando uma alta percentagem de 49.53%. Segundo as estatísticas, o custo total investido pelos grupos por trás destes Tokens de Rug Pull foi de 149,813.72 Éter, e lucraram 282,699.96 Éter com uma taxa de retorno de até 188.7%, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na mainnet Ethereum, foram estatísticos os dados de novos tokens emitidos na mainnet Ethereum durante o mesmo período. Os dados mostram que, durante esse período, foram emitidos um total de 100.260 novos tokens, dos quais os tokens promovidos por grupos do Telegram representam 89,99% da mainnet. Em média, cerca de 370 novos tokens nascem por dia, superando em muito a expectativa razoável. Após uma investigação aprofundada, a verdade descoberta é inquietante - pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, o que representa 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado com a esperança de ajudar todos os membros do Web3 a aumentar sua conscientização sobre prevenção, mantendo-se vigilantes diante de fraudes que surgem sem parar e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.
ERC-20 Token
Antes de iniciar oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem a interoperabilidade entre tokens em diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 estabelece as funcionalidades básicas dos tokens, como transferência, consulta de saldo e autorização de terceiros para gerenciar os tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e utilização dos mesmos. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e angariar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base de muitos ICOs e projetos de finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20. Os usuários podem comprar esses tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir tokens ERC-20 maliciosos com backdoors de código, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Caso típico de fraude com Token Rug Pull
Aqui, vamos usar um caso de fraude com um Token Rug Pull para entender melhor o modelo operacional das fraudes de Token maliciosos. Primeiro, é necessário esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto, em um projeto de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, resultando em enormes perdas para os investidores. E o Token Rug Pull é um Token emitido especificamente para a realização desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas no texto abaixo nos referiremos a eles de forma unificada como tokens Rug Pull.
· caso
O atacante (gangue de Rug Pull) utilizou o endereço Deployer (0x4bAF) para implantar o token TOMMI, e então criou um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez e atrair usuários e robôs de compra de novos tokens na blockchain para adquirir tokens TOMMI. Quando um certo número de robôs de compra cai na armadilha, o atacante utiliza o endereço Rug Puller (0x43a9) para executar o Rug Pull, onde o Rug Puller utiliza 38.739.354 tokens TOMMI para derrubar o pool de liquidez, trocando por aproximadamente 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI; ao implantar o contrato do token TOMMI, a autorização do pool de liquidez é concedida ao Rug Puller, permitindo que o Rug Puller retire diretamente tokens TOMMI do pool de liquidez e então execute o Rug Pull.
· Endereço relacionado
· Transação relacionada
· Processo de Rug Pull
1. Preparar os fundos de ataque.
O atacante recarregou 2.47309009ETH para o Token Deployer (0x4bAF) através da exchange como capital inicial para o Rug Pull.
2. Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minera 100.000.000 tokens e distribui para si mesmo.
3. Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir toda a quantidade de Token pré-minerada.
O Token Deployer envia todos os tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não possui a função Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair bots de lançamento, alguns bots de lançamento avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo isso para enganar os programas antifraude dos bots de lançamento).
5. Volume de transações falsificado.
O atacante utiliza múltiplos endereços para comprar ativamente tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de investimento (a base para determinar que esses endereços são disfarces do atacante: os fundos desses endereços provêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desvalorizar o pool, obtendo cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transição 0xD921.
O endereço de transição 0xD921 enviará fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a quantidade restante será retirada através de uma exchange. Encontramos vários endereços de retenção de fundos, e 0x2836 é um deles.
· Código de backdoor Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull ao destruir os LP Tokens, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI. Esta porta dos fundos permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente Tokens do pool de liquidez.
A implementação da função openTrading é mostrada na Figura 9, cuja principal função é criar um novo pool de liquidez. No entanto, o atacante chamou a função de backdoor onInit dentro dessa função (mostrada na Figura 10), permitindo que o uniswapV2Pair aprovasse a transferência de tokens no endereço _chefAddress para a quantidade de type(uint256). Onde uniswapV2Pair é o endereço do pool de liquidez e _chefAddress é o endereço do Rug Puller, que foi especificado durante a implantação do contrato (mostrado na Figura 11).
· Modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através da exchange: o atacante primeiro fornece uma fonte de fundos para o endereço do deployer (Deployer) através da exchange.
O Deployer cria um pool de liquidez e destrói os Tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os Tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de Token por ETH no pool de liquidez: O endereço Rug Pull (Rug Puller) utiliza uma grande quantidade de Token (geralmente um valor muito superior à oferta total de Token) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: Rug Puller irá obter