Глубокое исследование случаев Rug Pull, раскрытие хаоса в экосистеме токенов Ethereum
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не возникли на пустом месте. В последние месяцы команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, были новыми токенами, которые только что были добавлены в сеть.
Затем было проведено углубленное расследование этих случаев Rug Pull, и было установлено, что за ними стоят организованные преступные группы, а также выявлены характерные черты этих мошенничеств. Путем глубокого анализа методов преступной деятельности этих групп было выявлено возможное мошенническое продвижение для групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге извлекать прибыль через Rug Pull.
Собрана статистика о токенах, отправленных в этих Telegram-группах, в период с ноября 2023 года по начало августа 2024 года. Обнаружено, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. Согласно статистике, общие затраты групп, стоящих за этими Rug Pull токенами, составили 149,813.72 ETH, и они получили прибыль в 282,699.96 ETH с доходностью до 188.7%, что эквивалентно примерно 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых в группе Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что в этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группу Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После дальнейшего углубленного расследования выяснилась тревожная правда — как минимум 48,265 токенов участвуют в мошенничествах Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, было обнаружено больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому был подготовлен этот исследовательский отчет, который надеется помочь всем участникам Web3 повысить осведомленность о предотвращении мошенничества, оставаться бдительными перед лицом множества схем и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать данный отчет, давайте сначала ознакомимся с некоторыми базовыми концепциями.
ERC-20 Токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц для управления токенами и т.д. Благодаря этой стандартизированной протоколу, разработчикам легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпускать свои токены на основе стандарта ERC-20 и собирать стартовые капиталы для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 Токен стал основой для множества ICO и проектов децентрализованных финансов.
USDT, PEPE и DOGE, с которыми мы знакомы, являются токенами ERC-20, и пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками в коде, выставляя их на децентрализованных биржах и затем соблазняя пользователей на покупку.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы глубже понять операционные модели злонамеренного мошенничества с токенами. Прежде всего, следует отметить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно изымает средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаемые Rug Pull Токены иногда также называются "медовым горшком (Honey Pot) токенами" или "схемой выхода (Exit Scam) токенами", но в дальнейшем мы будем единогласно называть их Rug Pull Токенами.
· примеры
Атакующие (группировка Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали ликвидный пул с 1.5 ETH и 100,000,000 токенов TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торгов в ликвидном пуле и привлечь пользователей и ботов для покупки токенов TOMMI. Когда достаточное количество ботов попалось в ловушку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токенов TOMMI для разборки ликвидного пула, обменяв их на около 3.95 ETH. Токены Rug Puller были получены через злонамеренное одобрение (Approve) токенов в контракте токена TOMMI; при развертывании контракта токена TOMMI Rug Puller получал права на одобрение ликвидного пула, что позволяло Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем производить Rug Pull.
Создание ликвидного пула: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес для перевода средств отправляет средства маскируемому пользователю (один из них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскировка пользователя при покупке токенов (один из них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправить полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Промежуточный адрес отправит средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через биржу пополнил Token Deployer (0x4bAF) на 2.47309009 Эфир в качестве стартового капитала для Rug Pull.
2. Развертывание токена Rug Pull с задней дверью.
Deployer создал токен TOMMI, предварительно добыв 100,000,000 токенов и распределив их себе.
3. Создание начального пула ликвидности.
Деплойер использовал 1.5 Эфира и все предварительно добытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
4. Уничтожить все запасы предмайнинговых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения, так как в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже лишился способности Rug Pull. (Это также одно из необходимых условий для привлечения роботов для участия в первичном размещении, некоторые роботы могут оценивать, существует ли риск Rug Pull у токенов, недавно попавших в пул, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов для первичного размещения).
5. Фальсификация объема交易.
Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, повышая объем торгов в пуле и тем самым привлекая роботов для торговли новыми токенами (основание для определения этих адресов как адресов атакующих: средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull).
Злоумышленник инициировал Rug Pull через адрес Rug Puller (0x43A9), напрямую вывел 38,739,354 токенов из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы разрушить пул и извлечь около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на адрес-посредник 0xD921.
Адрес промежуточного перевода 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом, где мы зафиксировали большое количество случаев Rug Pull, и этот адрес будет разделять большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма будет выведена через биржи. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
· Код бэкдора Rug Pull
Хотя злоумышленники пытались доказать внешнему миру, уничтожив LP токены, что они не могут осуществить Rug Pull, на самом деле злоумышленники оставили злонамеренную лазейку с approve в функции openTrading контракта токена TOMMI. Эта лазейка позволяет при создании ликвидного пула предоставлять адресам Rug Puller разрешение на перевод токенов, что позволяет адресам Rug Puller напрямую выводить токены из ликвидного пула.
Реализация функции openTrading показана на рисунке 9, ее основная функция заключается в создании нового пула ликвидности, но злоумышленник вызвал в данной функции бэкдор-функцию onInit (показана на рисунке 10), что позволило uniswapV2Pair предоставить разрешение на перевод токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair — это адрес пула ликвидности, а _chefAddress — адрес Rug Puller, который указывается при развертывании контракта (показан на рисунке 11).
· Модель совершения преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Деплойер получает средства через биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через биржу.
Deployer создает ликвидность и уничтожает LP токены: после создания токена Rug Pull, разработчик немедленно создает ликвидность для него и уничтожает LP токены, чтобы увеличить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общий объем токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller получает
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
6
Поделиться
комментарий
0/400
gas_fee_therapist
· 6ч назад
неудачники разыгрывайте людей как лохов 还是这么多
Посмотреть ОригиналОтветить0
CryingOldWallet
· 08-03 12:49
Круг слишком запутан, старые неудачники действительно не могут больше терпеть.
Посмотреть ОригиналОтветить0
RugpullSurvivor
· 08-03 12:49
Был жертвой rug pull в течение 8 лет. Добро пожаловать, давайте поддерживать друг друга.
Посмотреть ОригиналОтветить0
VibesOverCharts
· 08-03 12:46
Неудачники, ловящие падающий нож, действительно сами себе создают проблемы.
Посмотреть ОригиналОтветить0
MEVSandwichMaker
· 08-03 12:44
Все новые токены действительно хороши, будут играть для лохов.
Посмотреть ОригиналОтветить0
UnluckyValidator
· 08-03 12:19
Брать молот и плавить сталь, жениться на белой богатой красавице
Экосистема токенов Ethereum: почти половина новых токенов подозревается в мошенничестве Rug Pull
Глубокое исследование случаев Rug Pull, раскрытие хаоса в экосистеме токенов Ethereum
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не возникли на пустом месте. В последние месяцы команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, были новыми токенами, которые только что были добавлены в сеть.
Затем было проведено углубленное расследование этих случаев Rug Pull, и было установлено, что за ними стоят организованные преступные группы, а также выявлены характерные черты этих мошенничеств. Путем глубокого анализа методов преступной деятельности этих групп было выявлено возможное мошенническое продвижение для групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге извлекать прибыль через Rug Pull.
Собрана статистика о токенах, отправленных в этих Telegram-группах, в период с ноября 2023 года по начало августа 2024 года. Обнаружено, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. Согласно статистике, общие затраты групп, стоящих за этими Rug Pull токенами, составили 149,813.72 ETH, и они получили прибыль в 282,699.96 ETH с доходностью до 188.7%, что эквивалентно примерно 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых в группе Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что в этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группу Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После дальнейшего углубленного расследования выяснилась тревожная правда — как минимум 48,265 токенов участвуют в мошенничествах Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, было обнаружено больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому был подготовлен этот исследовательский отчет, который надеется помочь всем участникам Web3 повысить осведомленность о предотвращении мошенничества, оставаться бдительными перед лицом множества схем и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать данный отчет, давайте сначала ознакомимся с некоторыми базовыми концепциями.
ERC-20 Токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц для управления токенами и т.д. Благодаря этой стандартизированной протоколу, разработчикам легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпускать свои токены на основе стандарта ERC-20 и собирать стартовые капиталы для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 Токен стал основой для множества ICO и проектов децентрализованных финансов.
USDT, PEPE и DOGE, с которыми мы знакомы, являются токенами ERC-20, и пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками в коде, выставляя их на децентрализованных биржах и затем соблазняя пользователей на покупку.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы глубже понять операционные модели злонамеренного мошенничества с токенами. Прежде всего, следует отметить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно изымает средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаемые Rug Pull Токены иногда также называются "медовым горшком (Honey Pot) токенами" или "схемой выхода (Exit Scam) токенами", но в дальнейшем мы будем единогласно называть их Rug Pull Токенами.
· примеры
Атакующие (группировка Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали ликвидный пул с 1.5 ETH и 100,000,000 токенов TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торгов в ликвидном пуле и привлечь пользователей и ботов для покупки токенов TOMMI. Когда достаточное количество ботов попалось в ловушку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токенов TOMMI для разборки ликвидного пула, обменяв их на около 3.95 ETH. Токены Rug Puller были получены через злонамеренное одобрение (Approve) токенов в контракте токена TOMMI; при развертывании контракта токена TOMMI Rug Puller получал права на одобрение ликвидного пула, что позволяло Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем производить Rug Pull.
· связанные адреса
· связанные сделки
· Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через биржу пополнил Token Deployer (0x4bAF) на 2.47309009 Эфир в качестве стартового капитала для Rug Pull.
2. Развертывание токена Rug Pull с задней дверью.
Deployer создал токен TOMMI, предварительно добыв 100,000,000 токенов и распределив их себе.
3. Создание начального пула ликвидности.
Деплойер использовал 1.5 Эфира и все предварительно добытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
4. Уничтожить все запасы предмайнинговых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения, так как в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже лишился способности Rug Pull. (Это также одно из необходимых условий для привлечения роботов для участия в первичном размещении, некоторые роботы могут оценивать, существует ли риск Rug Pull у токенов, недавно попавших в пул, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов для первичного размещения).
5. Фальсификация объема交易.
Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, повышая объем торгов в пуле и тем самым привлекая роботов для торговли новыми токенами (основание для определения этих адресов как адресов атакующих: средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull).
Злоумышленник инициировал Rug Pull через адрес Rug Puller (0x43A9), напрямую вывел 38,739,354 токенов из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы разрушить пул и извлечь около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на адрес-посредник 0xD921.
Адрес промежуточного перевода 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом, где мы зафиксировали большое количество случаев Rug Pull, и этот адрес будет разделять большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма будет выведена через биржи. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
· Код бэкдора Rug Pull
Хотя злоумышленники пытались доказать внешнему миру, уничтожив LP токены, что они не могут осуществить Rug Pull, на самом деле злоумышленники оставили злонамеренную лазейку с approve в функции openTrading контракта токена TOMMI. Эта лазейка позволяет при создании ликвидного пула предоставлять адресам Rug Puller разрешение на перевод токенов, что позволяет адресам Rug Puller напрямую выводить токены из ликвидного пула.
Реализация функции openTrading показана на рисунке 9, ее основная функция заключается в создании нового пула ликвидности, но злоумышленник вызвал в данной функции бэкдор-функцию onInit (показана на рисунке 10), что позволило uniswapV2Pair предоставить разрешение на перевод токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair — это адрес пула ликвидности, а _chefAddress — адрес Rug Puller, который указывается при развертывании контракта (показан на рисунке 11).
· Модель совершения преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Деплойер получает средства через биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через биржу.
Deployer создает ликвидность и уничтожает LP токены: после создания токена Rug Pull, разработчик немедленно создает ликвидность для него и уничтожает LP токены, чтобы увеличить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общий объем токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller получает