Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
У світі Web3 постійно з'являються нові Токени. Чи задумувались ви, скільки нових Токенів випускається щодня? Чи безпечні ці нові Токени?
Ці питання не безпідставні. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що в усіх цих випадках були залучені нові токени, які тільки що з'явилися в мережі.
Потім було проведено детальне розслідування цих випадків Rug Pull, виявлено організовані злочинні угрупування, а також підсумовано моделі їхніх шахрайств. Через детальний аналіз методів дій цих угрупувань було виявлено можливий шлях поширення шахрайства групою Rug Pull: групи Telegram. Ці угрупування використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до купівлі шахрайських токенів і, врешті-решт, отримати прибуток через Rug Pull.
Статистика щодо інформації про токени, надіслані в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, показує, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що становить 49.53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, і вони отримали прибуток у 282,699.96 ETH з рівнем прибутковості до 188.7%, що приблизно дорівнює 8 мільйонам доларів.
Щоб оцінити частку нових токенів, просунутих через групи Telegram, у головній мережі Ethereum, були зібрані дані про нові токени, випущені в головній мережі Ethereum за той же період часу. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, просунуті через групи Telegram, складали 89.99% від головної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення глибокого розслідування виявлена тривожна правда — принаймні 48,265 токенів пов'язано зі схемою Rug Pull, що складає 48.14%. Інакше кажучи, майже кожен другий новий токен у головній мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull і в інших блокчейн-мережах. Це означає, що не тільки основна мережа Ethereum, але й безпекова ситуація в новій екосистемі токенів Web3 значно складніша, ніж очікувалося. Тому був написаний цей дослідницький звіт, сподіваючись допомогти всім учасникам Web3 підвищити обізнаність щодо запобігання, залишатися насторожі перед постійно виникаючими схемами шахрайства та вчасно вживати необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як офіційно розпочати цей звіт, давайте спочатку ознайомимося з деякими основними концепціями.
ERC-20 Токен є одним з найпоширеніших стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токенів, такі як перекази, перевірка балансу, надання дозволу третім особам на управління токенами тощо. Завдяки цій стандартизованій угоді розробникам легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді будь-яка особа чи організація може випустити свій токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме через широке застосування ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати зловмисні токени ERC-20 з кодом «задньої двері», розміщувати їх на децентралізованих біржах та спонукати користувачів купувати.
Типові шахрайські схеми з Токенами Rug Pull
Тут ми скористаємося прикладом шахрайства з токеном Rug Pull, щоб детальніше розглянути моделі роботи злочинних токенів. Перш за все, слід зазначити, що Rug Pull означає шахрайство, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованих фінансових проєктах, що призводить до величезних втрат для інвесторів. А токени Rug Pull — це токени, які спеціально випускаються для реалізації такого шахрайства.
У статті згадуються токени Rug Pull, які іноді також називають "медовими банками (Honey Pot)" або "схемами втечі (Exit Scam)", але в подальшому ми будемо єдино називати їх токенами Rug Pull.
· кейс
Атакувальники (група Rug Pull) використовували адресу Deployer (0x4bAF) для розгортання токена TOMMI, потім з 1.5 ETH та 100,000,000 токенів TOMMI створили ліквіднісний пул і активно купували токени TOMMI з інших адрес, щоб підробити обсяги торгівлі ліквіднісного пулу, щоб привабити користувачів та нових ботів на ланцюгу для покупки токенів TOMMI. Коли певна кількість ботів потрапила в пастку, атакувальники використовували адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller скинув 38,739,354 токенів TOMMI в ліквіднісний пул, обмінявши їх на приблизно 3.95 ETH. Джерело токенів Rug Puller походить з злочинного дозволу на схвалення токенів TOMMI, ліквіднісний пул отримує права на схвалення від Rug Puller під час розгортання контракту токенів TOMMI, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім виконувати Rug Pull.
Rug Pull відправляє отримані кошти на проміжну адресу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Проміжна адреса відправляє кошти на адресу зберігання коштів: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Процес Rug Pull
1. Підготуйте кошти для атаки.
Зловмисник через біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
2. Розгортання токенів Rug Pull з бекдором.
Deployer створив токен TOMMI, попередньо видобувши 100,000,000 токенів і розподіливши їх собі.
3. Створення початкового пулу ліквідності.
Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримавши приблизно 0.387 LP токенів.
4. Знищити весь обсяг попередньо видобутих Токенів.
Token Deployer надсилає всі LP Токени на адресу 0 для знищення. Оскільки в контракті TOMMI немає функції Mint, то в цей момент Token Deployer теоретично вже втратив здатність до Rug Pull. (Це також одна з необхідних умов для залучення ботів для нових інвестицій. Деякі боти оцінюють, чи є ризик Rug Pull у нових токенах, що потрапляють до пулу. Deployer також встановлює власника контракту на адресу 0, щоб обманути програми захисту ботів для нових інвестицій).
5. Підробка обсягу торгів.
Зловмисники активно купують токени TOMMI з ліквідності з кількох адрес, штучно підвищуючи обсяги торгів у пулі, що додатково залучає роботів для участі в нових запусках (критерії для визначення, що ці адреси належать зловмисникам: кошти на відповідних адресах походять з історичних адрес перерахування коштів групи Rug Pull).
Зловмисник розпочав Rug Pull через адресу Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використав ці токени, щоб підірвати пул, витягнувши приблизно 3.95 ETH.
Зловмисник відправив кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 надіслала кошти на адресу зберігання коштів 0x2836. З цього видно, що після завершення Rug Pull, Rug Puller надішле кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де ми спостерігаємо за великою кількістю випадків Rug Pull, і вона розподілить більшу частину отриманих коштів для початку нового раунду Rug Pull, тоді як решту невелику частину коштів буде виведено через біржу. Ми виявили кілька адрес зберігання коштів, 0x2836 є однією з них.
· Код для Раг Пул з бекдором
Атакуюча сторона, хоча і намагалася довести зовнішньому світу, що не може здійснити Rug Pull шляхом знищення LP токенів, насправді залишила в контракті токена TOMMI зловмисний бекдор у функції openTrading. Цей бекдор дозволяє при створенні ліквіднісного пулу надавати адресу Rug Puller дозвіл на переказ токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквіднісного пулу.
Реалізація функції openTrading показана на малюнку 9, її основна функція - створення нового пулу ліквідності, але зловмисник викликав у цій функції приховану функцію onInit (показано на малюнку 10), що дозволило uniswapV2Pair надати адресу _chefAddress дозвіл на перехід кількості типу (uint256) токенів. При цьому uniswapV2Pair є адресою пулу ліквідності, _chefAddress - адресою Rug Puller, яка вказується під час розгортання контракту (показано на малюнку 11).
· Моделізація злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує кошти через біржу: зловмисник спочатку надає джерело фінансування для адреси деплойера (Deployer) через біржу.
Deployer створює ліквідність пул і знищує LP Токен: деплойер після створення Rug Pull токена відразу ж створює ліквідність пул, і знищує LP Токен, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (зазвичай кількість значно перевищує загальний обсяг токенів) для обміну на ETH у ліквіднісному пулі. У інших випадках Rug Puller також може отримувати ETH з пулу шляхом видалення ліквідності.
Rug Puller перенесе ETH, отриманий від Rug Pull, на адресу збереження коштів: Rug Puller отримає
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
6
Поділіться
Прокоментувати
0/400
gas_fee_therapist
· 6год тому
невдахи обдурюють людей, як лохів все ще стільки ж
Переглянути оригіналвідповісти на0
CryingOldWallet
· 08-03 12:49
Коло занадто заплутане, старі невдахи справді не витримують.
Переглянути оригіналвідповісти на0
RugpullSurvivor
· 08-03 12:49
Був жертвою rug pull вісім років. Ласкаво просимо до взаємної підтримки.
Переглянути оригіналвідповісти на0
VibesOverCharts
· 08-03 12:46
невдахи, які бездумно зловили падаючий ніж, справді самі собі це зробили.
Переглянути оригіналвідповісти на0
MEVSandwichMaker
· 08-03 12:44
Все нові токени справді класні, обдурювати людей, як лохів.
Переглянути оригіналвідповісти на0
UnluckyValidator
· 08-03 12:19
Брати молоток для плавлення сталі, одружуватися з білою багатою красунею
Екосистема токенів Ethereum: майже половина нових токенів підозрюється у шахрайстві Rug Pull
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
У світі Web3 постійно з'являються нові Токени. Чи задумувались ви, скільки нових Токенів випускається щодня? Чи безпечні ці нові Токени?
Ці питання не безпідставні. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що в усіх цих випадках були залучені нові токени, які тільки що з'явилися в мережі.
Потім було проведено детальне розслідування цих випадків Rug Pull, виявлено організовані злочинні угрупування, а також підсумовано моделі їхніх шахрайств. Через детальний аналіз методів дій цих угрупувань було виявлено можливий шлях поширення шахрайства групою Rug Pull: групи Telegram. Ці угрупування використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до купівлі шахрайських токенів і, врешті-решт, отримати прибуток через Rug Pull.
Статистика щодо інформації про токени, надіслані в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, показує, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що становить 49.53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, і вони отримали прибуток у 282,699.96 ETH з рівнем прибутковості до 188.7%, що приблизно дорівнює 8 мільйонам доларів.
Щоб оцінити частку нових токенів, просунутих через групи Telegram, у головній мережі Ethereum, були зібрані дані про нові токени, випущені в головній мережі Ethereum за той же період часу. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, просунуті через групи Telegram, складали 89.99% від головної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення глибокого розслідування виявлена тривожна правда — принаймні 48,265 токенів пов'язано зі схемою Rug Pull, що складає 48.14%. Інакше кажучи, майже кожен другий новий токен у головній мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull і в інших блокчейн-мережах. Це означає, що не тільки основна мережа Ethereum, але й безпекова ситуація в новій екосистемі токенів Web3 значно складніша, ніж очікувалося. Тому був написаний цей дослідницький звіт, сподіваючись допомогти всім учасникам Web3 підвищити обізнаність щодо запобігання, залишатися насторожі перед постійно виникаючими схемами шахрайства та вчасно вживати необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як офіційно розпочати цей звіт, давайте спочатку ознайомимося з деякими основними концепціями.
ERC-20 Токен є одним з найпоширеніших стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токенів, такі як перекази, перевірка балансу, надання дозволу третім особам на управління токенами тощо. Завдяки цій стандартизованій угоді розробникам легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді будь-яка особа чи організація може випустити свій токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме через широке застосування ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати зловмисні токени ERC-20 з кодом «задньої двері», розміщувати їх на децентралізованих біржах та спонукати користувачів купувати.
Типові шахрайські схеми з Токенами Rug Pull
Тут ми скористаємося прикладом шахрайства з токеном Rug Pull, щоб детальніше розглянути моделі роботи злочинних токенів. Перш за все, слід зазначити, що Rug Pull означає шахрайство, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованих фінансових проєктах, що призводить до величезних втрат для інвесторів. А токени Rug Pull — це токени, які спеціально випускаються для реалізації такого шахрайства.
У статті згадуються токени Rug Pull, які іноді також називають "медовими банками (Honey Pot)" або "схемами втечі (Exit Scam)", але в подальшому ми будемо єдино називати їх токенами Rug Pull.
· кейс
Атакувальники (група Rug Pull) використовували адресу Deployer (0x4bAF) для розгортання токена TOMMI, потім з 1.5 ETH та 100,000,000 токенів TOMMI створили ліквіднісний пул і активно купували токени TOMMI з інших адрес, щоб підробити обсяги торгівлі ліквіднісного пулу, щоб привабити користувачів та нових ботів на ланцюгу для покупки токенів TOMMI. Коли певна кількість ботів потрапила в пастку, атакувальники використовували адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller скинув 38,739,354 токенів TOMMI в ліквіднісний пул, обмінявши їх на приблизно 3.95 ETH. Джерело токенів Rug Puller походить з злочинного дозволу на схвалення токенів TOMMI, ліквіднісний пул отримує права на схвалення від Rug Puller під час розгортання контракту токенів TOMMI, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім виконувати Rug Pull.
· Пов'язана адреса
· Пов'язані угоди
· Процес Rug Pull
1. Підготуйте кошти для атаки.
Зловмисник через біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
2. Розгортання токенів Rug Pull з бекдором.
Deployer створив токен TOMMI, попередньо видобувши 100,000,000 токенів і розподіливши їх собі.
3. Створення початкового пулу ліквідності.
Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримавши приблизно 0.387 LP токенів.
4. Знищити весь обсяг попередньо видобутих Токенів.
Token Deployer надсилає всі LP Токени на адресу 0 для знищення. Оскільки в контракті TOMMI немає функції Mint, то в цей момент Token Deployer теоретично вже втратив здатність до Rug Pull. (Це також одна з необхідних умов для залучення ботів для нових інвестицій. Деякі боти оцінюють, чи є ризик Rug Pull у нових токенах, що потрапляють до пулу. Deployer також встановлює власника контракту на адресу 0, щоб обманути програми захисту ботів для нових інвестицій).
5. Підробка обсягу торгів.
Зловмисники активно купують токени TOMMI з ліквідності з кількох адрес, штучно підвищуючи обсяги торгів у пулі, що додатково залучає роботів для участі в нових запусках (критерії для визначення, що ці адреси належать зловмисникам: кошти на відповідних адресах походять з історичних адрес перерахування коштів групи Rug Pull).
Зловмисник розпочав Rug Pull через адресу Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використав ці токени, щоб підірвати пул, витягнувши приблизно 3.95 ETH.
Зловмисник відправив кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 надіслала кошти на адресу зберігання коштів 0x2836. З цього видно, що після завершення Rug Pull, Rug Puller надішле кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де ми спостерігаємо за великою кількістю випадків Rug Pull, і вона розподілить більшу частину отриманих коштів для початку нового раунду Rug Pull, тоді як решту невелику частину коштів буде виведено через біржу. Ми виявили кілька адрес зберігання коштів, 0x2836 є однією з них.
· Код для Раг Пул з бекдором
Атакуюча сторона, хоча і намагалася довести зовнішньому світу, що не може здійснити Rug Pull шляхом знищення LP токенів, насправді залишила в контракті токена TOMMI зловмисний бекдор у функції openTrading. Цей бекдор дозволяє при створенні ліквіднісного пулу надавати адресу Rug Puller дозвіл на переказ токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквіднісного пулу.
Реалізація функції openTrading показана на малюнку 9, її основна функція - створення нового пулу ліквідності, але зловмисник викликав у цій функції приховану функцію onInit (показано на малюнку 10), що дозволило uniswapV2Pair надати адресу _chefAddress дозвіл на перехід кількості типу (uint256) токенів. При цьому uniswapV2Pair є адресою пулу ліквідності, _chefAddress - адресою Rug Puller, яка вказується під час розгортання контракту (показано на малюнку 11).
· Моделізація злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує кошти через біржу: зловмисник спочатку надає джерело фінансування для адреси деплойера (Deployer) через біржу.
Deployer створює ліквідність пул і знищує LP Токен: деплойер після створення Rug Pull токена відразу ж створює ліквідність пул, і знищує LP Токен, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (зазвичай кількість значно перевищує загальний обсяг токенів) для обміну на ETH у ліквіднісному пулі. У інших випадках Rug Puller також може отримувати ETH з пулу шляхом видалення ліквідності.
Rug Puller перенесе ETH, отриманий від Rug Pull, на адресу збереження коштів: Rug Puller отримає