تحقيق عميق في حالات سحب السجادة، يكشف عن فوضى النظام البيئي لعملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا هدف. في الآونة الأخيرة، تمكن فريق الأمان من التقاط عدد كبير من حالات تداول Rug Pull. ومن الجدير بالذكر أن العملات المعنية في هذه الحالات هي جميعها عملات جديدة تم إدراجها حديثاً على السلسلة.
بعد ذلك، تم إجراء تحقيق معمق حول هذه الحالات من عمليات Rug Pull، واكتشف وجود عصابات منظمة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال التحليل العميق لأساليب هذه العصابات، تم اكتشاف أحد الطرق المحتملة للترويج للاحتيال من قبل عصابات Rug Pull: مجموعات Telegram. تستخدم هذه العصابات ميزة "New Token Tracer" في المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الربح من خلال Rug Pull.
تظهر الإحصاءات أنه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، قامت هذه المجموعات على تيليجرام بدفع 93,930 نوعًا جديدًا من العملات، منها 46,526 عملة تتعلق بعمليات Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. وفقًا للإحصاءات، فإن التكلفة الإجمالية لاستثمارات العصابات وراء هذه العملات التي تعرضت لعمليات Rug Pull بلغت 149,813.72 ايثر، وحققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد مرتفع يبلغ 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها من خلال مجموعات تيليجرام في شبكة إثيريوم الرئيسية، تم جمع بيانات العملات الجديدة التي تم إصدارها على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة، تم إصدار 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات المروجة عبر مجموعات تيليجرام 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيق متعمق، كانت الحقيقة مزعجة - حيث أن ما لا يقل عن 48,265 نوعًا من العملات تتعلق بعمليات احتيال نوع Rug Pull، مما يشكل 48.14%. بعبارة أخرى، فإن كل عملتين جديدتين تقريبًا على شبكة إثيريوم الرئيسية متورطتان في الاحتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات Blockchain الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا العملات الجديدة في Web3 ليس فقط على شبكة إيثيريوم الرئيسية، وإنما أكثر خطورة مما كان متوقعًا. لذلك، يهدف هذا التقرير إلى مساعدة جميع أعضاء Web3 على تعزيز الوعي الوقائي، والحفاظ على اليقظة في مواجهة الاحتيالات المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أمان أصولهم.
رمز ERC-20
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على blockchain، حيث تحدد مجموعة من المواصفات التي تمكن العملات من التفاعل بين مختلف العقود الذكية وتطبيقات اللامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، واستعلام الرصيد، وتفويض طرف ثالث لإدارة العملات. بفضل هذه البروتوكولات القياسية، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط من عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال من خلال بيع مسبق للعملات لتمويل مشاريع مالية متنوعة. نظرًا للاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها جميعًا عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال بورصات غير مركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 ضارة تحتوي على ثغرات برمجية، ثم تقوم بإدراجها في البورصات غير المركزية لإغراء المستخدمين بالشراء.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم حالة احتيال لعملة Rug Pull كحالة دراسية لفهم عميق لنموذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull تشير إلى تصرف احتيالي حيث يقوم فريق المشروع بسحب الأموال فجأة أو التخلي عن المشروع في مشاريع التمويل اللامركزي، مما يؤدي إلى تكبد المستثمرين خسائر فادحة. في حين أن عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعتبر عملة Rug Pull المذكورة في هذه المقالة أحيانًا "عملة فخ" أو "عملة خداع الخروج"، ولكن في النص التالي سنشير إليها بشكل موحد على أنها عملة Rug Pull.
حالة
قام المهاجمون (عصابة Rug Pull) بنشر عملة TOMMI باستخدام عنوان Deployer، ثم أنشأوا حوض السيولة باستخدام 1.5 إيثريوم و100,000,000 عملة TOMMI، وقاموا بشكل نشط بشراء عملة TOMMI من عناوين أخرى لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يستخدم المهاجم عنوان Rug Puller لتنفيذ عملية Rug Pull، حيث يقوم Rug Puller بتفريغ حوض السيولة باستخدام 38,739,354 عملة TOMMI وتحويلها إلى حوالي 3.95 إيثريوم. مصدر عملات Rug Puller يأتي من تفويضات approve الخبيثة لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره إذن approve لحوض السيولة لـ Rug Puller، مما يمكّن Rug Puller من سحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ عملية Rug Pull.
عملية سحب السجاد
إعداد أموال الهجوم.
المهاجم قام بشحن 2.47309009 ايثر إلى Token Deployer من خلال بورصة معينة كأموال بدء لعملية Rug Pull.
نشر عملة Rug Pull تحتوي على باب خلفي.
Deployer ينشئ عملة TOMMI ، ويقوم بعمليات التعدين المسبق لـ 100,000,000 عملة وتوزيعها على نفسه.
إنشاء حوض السيولة الأولي.
أنشأ Deployer مجموعة سيولة باستخدام 1.5 ايثر وجميع العملات التي تم تعدينها مسبقًا، وحصل على حوالي 0.387 من رموز LP.
تدمير جميع إمدادات التوكن المسبقة.
سيقوم مُنشئ العملة بإرسال جميع عملات LP إلى عنوان 0 لإلغائها، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فقد فقد مُنشئ العملة نظريًا القدرة على سحب الحصائر. (هذا أيضًا أحد الشروط الضرورية لجذب روبوتات الاكتتاب، حيث ستقوم بعض روبوتات الاكتتاب بتقييم ما إذا كانت العملة الجديدة في تجمع السيولة تعرضت لخطر سحب الحصائر، كما أن المُنشئ سيقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاكتتاب).
حجم المعاملات المزورة.
المهاجمون يستخدمون عناوين متعددة لشراء عملة TOMMI من بركة السيولة بنشاط، مما يؤدي إلى رفع حجم التداول في البركة، وجذب روبوتات الاستثمار الجديدة للدخول (الأساس الذي يحكم على أن هذه العناوين هي عناوين مزيفة للمهاجمين: تأتي أموال العناوين ذات الصلة من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بالشروع في سحب السجادة من خلال عنوان Rug Puller، وسحب مباشرة 38,739,354 عملة من صندوق السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لتحطيم الصندوق، واستخرج حوالي 3.95 من ايثر.
يقوم المهاجم بإرسال الأموال الناتجة عن سحب السجادة إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان النقل إلى عنوان احتفاظ الأموال. من هنا يمكننا أن نرى أنه عندما يكتمل سحب السجادة، سيقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ الأموال معين. عنوان احتفاظ الأموال هو المكان الذي تم تجميع فيه الأموال من العديد من حالات سحب السجادة المراقبة، حيث سيقوم عنوان احتفاظ الأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة، بينما سيتم سحب كمية صغيرة من الأموال عبر إحدى البورصات.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا من خلال تدمير عملات LP إثبات أنهم لا يستطيعون تنفيذ سحب سجاد، إلا أن المهاجمين تركوا في دالة openTrading لعقد عملة TOMMI ثغرة خبيثة للموافقة، هذه الثغرة ستسمح عند إنشاء تجمع السيولة بتفويض عنوان ساحب السجاد لنقل العملات، مما يمكّن عنوان ساحب السجاد من سحب العملات مباشرة من تجمع السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا أن نستنتج الخصائص الأربعة التالية:
يقوم المُنشئ بالحصول على الأموال من خلال إحدى البورصات: يبدأ المهاجم أولاً بتوفير مصدر الأموال لعنوان المُنشئ (Deployer) عبر إحدى البورصات.
يقوم المطور بإنشاء حوض السيولة وإتلاف رموز LP: بعد أن يقوم المطور بإنشاء عملة Rug Pull، سيقوم على الفور بإنشاء حوض السيولة الخاص بها وإتلاف رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم ساحب السجادة بتبادل كمية كبيرة من العملات في مجموعة السيولة مقابل ETH: يستخدم عنوان ساحب السجادة (Rug Puller) كمية كبيرة من العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي عرض العملات) لتبادلها مقابل ETH في مجموعة السيولة. في حالات أخرى، يقوم ساحب السجادة أيضًا بإزالة السيولة للحصول على ETH الموجود في المجموعة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم الانتقال عبر عنوان وسيط.
توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يشير إلى أن سلوك سحب السجادة له سمات نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، يتم عادة تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات التي تبدو مستقلة قد تنطوي على نفس المجموعة أو حتى نفس العصابة المحتالة.
استنادًا إلى هذه الميزات، تم استخراج نمط سلوك لعمليات السحب rug pull، واستخدام هذا النمط لفحص الحالات التي تم رصدها، بهدف بناء صورة محتملة لعصابات الاحتيال.
عصابة سحب السجادة
عنوان الاحتفاظ بأموال التعدين
كما هو مذكور أعلاه، فإن حالات السحب المفاجئ عادة ما تجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. بناءً على هذا النموذج، تم اختيار بعض عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بأساليب الجرائم المرتبطة بها لتحليلها بعمق.
دخل مجال الرؤية 7 عناوين للاحتفاظ بالأموال، وهذه العناوين مرتبطة بـ 1,124 حالة من حالات السحب المفاجئ التي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ الاحتيال بنجاح، يقوم عصابة السحب المفاجئ بتجميع الأرباح غير القانونية إلى هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في عمليات الاحتيال الجديدة لسحب الأموال المفاجئ، والتلاعب بمجمعات السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال بعض بورصات أو منصات التبادل الفوري.
من خلال إحصاء تكاليف وعائدات جميع عمليات الاحتيال Rug Pull في كل عنوان احتفاظ بالتمويل، تم الحصول على البيانات ذات الصلة.
في عملية احتيال سحب البساط كاملة، عادة ما تستخدم عصابة سحب البساط عنوانًا واحدًا كمنشئ عملة سحب البساط (Deployer)، وتقوم بسحب الأموال من خلال تبادل ما للحصول على رأس المال اللازم لإنشاء عملة سحب البساط وحوض السيولة المناسب. بعد جذب عدد كافٍ من المستخدمين أو روبوتات الشراء الجديدة لاستخدام ETH لشراء عملة سحب البساط، ستستخدم عصابة سحب البساط عنوانًا آخر كمنفذ سحب البساط (Rug Puller) لتنفيذ العملية، وتحويل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة أعلاه، يتم اعتبار ETH الذي يحصل عليه Deployer من خلال البورصة، أو ETH الذي يضعه Deployer عند إنشاء بركة السيولة، كتكلفة Rug Pull (كيف يتم حساب ذلك يعتمد على سلوك Deployer). بينما يتم اعتبار ETH الذي ينتقل إلى عنوان الاحتفاظ بالتمويل (أو عنوان وسيط آخر) بعد أن يكمل Rug Pull كدخل لهذه المرة من Rug Pull.
من المهم الإشارة إلى أن عصابات Rug Pull ، عند تنفيذ احتيالها ، ستقوم أيضًا بشكل نشط بشراء عملة Rug Pull التي أنشأتها باستخدام ETH ، لمحاكاة أنشطة تجمع السيولة العادية ، وبالتالي جذب روبوتات الشراء الجديدة للشراء. لكن هذه التكاليف لم تُدرج في الحساب ، لذا فإن البيانات تبالغ في تقدير الأرباح الفعلية لعصابات Rug Pull ، والأرباح الحقيقية ستكون منخفضة نسبيًا.
تحتل العناوين التي تمثل أعلى ثلاثة نسب من الأرباح المراتب الأولى وهي 0x1607 و 0xDF1a و 0x2836. حصل العنوان 0x1607 على أعلى أرباح، حوالي 2,668.17 ETH، تمثل نسبة من أرباح جميع العناوين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
5
إعادة النشر
مشاركة
تعليق
0/400
MetaReckt
· 07-29 04:36
حمقى خداع الناس لتحقيق الربح
شاهد النسخة الأصليةرد0
LongTermDreamer
· 07-27 17:47
لا يوجد شيء. سوق الدببة سيغسل مجموعة واحدة فقط. بعد ثلاث سنوات، سيتم استعادة رأس المال المستثمر.
فوضى بيئة عملات إثيريوم: ما يقرب من نصف العملات الجديدة تتعلق بعمليات احتيال Rug Pull بخسائر تصل إلى 800 مليون دولار
تحقيق عميق في حالات سحب السجادة، يكشف عن فوضى النظام البيئي لعملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا هدف. في الآونة الأخيرة، تمكن فريق الأمان من التقاط عدد كبير من حالات تداول Rug Pull. ومن الجدير بالذكر أن العملات المعنية في هذه الحالات هي جميعها عملات جديدة تم إدراجها حديثاً على السلسلة.
بعد ذلك، تم إجراء تحقيق معمق حول هذه الحالات من عمليات Rug Pull، واكتشف وجود عصابات منظمة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال التحليل العميق لأساليب هذه العصابات، تم اكتشاف أحد الطرق المحتملة للترويج للاحتيال من قبل عصابات Rug Pull: مجموعات Telegram. تستخدم هذه العصابات ميزة "New Token Tracer" في المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الربح من خلال Rug Pull.
تظهر الإحصاءات أنه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، قامت هذه المجموعات على تيليجرام بدفع 93,930 نوعًا جديدًا من العملات، منها 46,526 عملة تتعلق بعمليات Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. وفقًا للإحصاءات، فإن التكلفة الإجمالية لاستثمارات العصابات وراء هذه العملات التي تعرضت لعمليات Rug Pull بلغت 149,813.72 ايثر، وحققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد مرتفع يبلغ 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها من خلال مجموعات تيليجرام في شبكة إثيريوم الرئيسية، تم جمع بيانات العملات الجديدة التي تم إصدارها على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة، تم إصدار 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات المروجة عبر مجموعات تيليجرام 89.99% من الشبكة الرئيسية. يولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيق متعمق، كانت الحقيقة مزعجة - حيث أن ما لا يقل عن 48,265 نوعًا من العملات تتعلق بعمليات احتيال نوع Rug Pull، مما يشكل 48.14%. بعبارة أخرى، فإن كل عملتين جديدتين تقريبًا على شبكة إثيريوم الرئيسية متورطتان في الاحتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات Blockchain الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا العملات الجديدة في Web3 ليس فقط على شبكة إيثيريوم الرئيسية، وإنما أكثر خطورة مما كان متوقعًا. لذلك، يهدف هذا التقرير إلى مساعدة جميع أعضاء Web3 على تعزيز الوعي الوقائي، والحفاظ على اليقظة في مواجهة الاحتيالات المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أمان أصولهم.
رمز ERC-20
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على blockchain، حيث تحدد مجموعة من المواصفات التي تمكن العملات من التفاعل بين مختلف العقود الذكية وتطبيقات اللامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، واستعلام الرصيد، وتفويض طرف ثالث لإدارة العملات. بفضل هذه البروتوكولات القياسية، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط من عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال من خلال بيع مسبق للعملات لتمويل مشاريع مالية متنوعة. نظرًا للاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها جميعًا عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال بورصات غير مركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 ضارة تحتوي على ثغرات برمجية، ثم تقوم بإدراجها في البورصات غير المركزية لإغراء المستخدمين بالشراء.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم حالة احتيال لعملة Rug Pull كحالة دراسية لفهم عميق لنموذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull تشير إلى تصرف احتيالي حيث يقوم فريق المشروع بسحب الأموال فجأة أو التخلي عن المشروع في مشاريع التمويل اللامركزي، مما يؤدي إلى تكبد المستثمرين خسائر فادحة. في حين أن عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعتبر عملة Rug Pull المذكورة في هذه المقالة أحيانًا "عملة فخ" أو "عملة خداع الخروج"، ولكن في النص التالي سنشير إليها بشكل موحد على أنها عملة Rug Pull.
حالة
قام المهاجمون (عصابة Rug Pull) بنشر عملة TOMMI باستخدام عنوان Deployer، ثم أنشأوا حوض السيولة باستخدام 1.5 إيثريوم و100,000,000 عملة TOMMI، وقاموا بشكل نشط بشراء عملة TOMMI من عناوين أخرى لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يستخدم المهاجم عنوان Rug Puller لتنفيذ عملية Rug Pull، حيث يقوم Rug Puller بتفريغ حوض السيولة باستخدام 38,739,354 عملة TOMMI وتحويلها إلى حوالي 3.95 إيثريوم. مصدر عملات Rug Puller يأتي من تفويضات approve الخبيثة لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره إذن approve لحوض السيولة لـ Rug Puller، مما يمكّن Rug Puller من سحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ عملية Rug Pull.
عملية سحب السجاد
المهاجم قام بشحن 2.47309009 ايثر إلى Token Deployer من خلال بورصة معينة كأموال بدء لعملية Rug Pull.
Deployer ينشئ عملة TOMMI ، ويقوم بعمليات التعدين المسبق لـ 100,000,000 عملة وتوزيعها على نفسه.
أنشأ Deployer مجموعة سيولة باستخدام 1.5 ايثر وجميع العملات التي تم تعدينها مسبقًا، وحصل على حوالي 0.387 من رموز LP.
سيقوم مُنشئ العملة بإرسال جميع عملات LP إلى عنوان 0 لإلغائها، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فقد فقد مُنشئ العملة نظريًا القدرة على سحب الحصائر. (هذا أيضًا أحد الشروط الضرورية لجذب روبوتات الاكتتاب، حيث ستقوم بعض روبوتات الاكتتاب بتقييم ما إذا كانت العملة الجديدة في تجمع السيولة تعرضت لخطر سحب الحصائر، كما أن المُنشئ سيقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاكتتاب).
المهاجمون يستخدمون عناوين متعددة لشراء عملة TOMMI من بركة السيولة بنشاط، مما يؤدي إلى رفع حجم التداول في البركة، وجذب روبوتات الاستثمار الجديدة للدخول (الأساس الذي يحكم على أن هذه العناوين هي عناوين مزيفة للمهاجمين: تأتي أموال العناوين ذات الصلة من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بالشروع في سحب السجادة من خلال عنوان Rug Puller، وسحب مباشرة 38,739,354 عملة من صندوق السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لتحطيم الصندوق، واستخرج حوالي 3.95 من ايثر.
يقوم المهاجم بإرسال الأموال الناتجة عن سحب السجادة إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان النقل إلى عنوان احتفاظ الأموال. من هنا يمكننا أن نرى أنه عندما يكتمل سحب السجادة، سيقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ الأموال معين. عنوان احتفاظ الأموال هو المكان الذي تم تجميع فيه الأموال من العديد من حالات سحب السجادة المراقبة، حيث سيقوم عنوان احتفاظ الأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة، بينما سيتم سحب كمية صغيرة من الأموال عبر إحدى البورصات.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا من خلال تدمير عملات LP إثبات أنهم لا يستطيعون تنفيذ سحب سجاد، إلا أن المهاجمين تركوا في دالة openTrading لعقد عملة TOMMI ثغرة خبيثة للموافقة، هذه الثغرة ستسمح عند إنشاء تجمع السيولة بتفويض عنوان ساحب السجاد لنقل العملات، مما يمكّن عنوان ساحب السجاد من سحب العملات مباشرة من تجمع السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا أن نستنتج الخصائص الأربعة التالية:
يقوم المُنشئ بالحصول على الأموال من خلال إحدى البورصات: يبدأ المهاجم أولاً بتوفير مصدر الأموال لعنوان المُنشئ (Deployer) عبر إحدى البورصات.
يقوم المطور بإنشاء حوض السيولة وإتلاف رموز LP: بعد أن يقوم المطور بإنشاء عملة Rug Pull، سيقوم على الفور بإنشاء حوض السيولة الخاص بها وإتلاف رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم ساحب السجادة بتبادل كمية كبيرة من العملات في مجموعة السيولة مقابل ETH: يستخدم عنوان ساحب السجادة (Rug Puller) كمية كبيرة من العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي عرض العملات) لتبادلها مقابل ETH في مجموعة السيولة. في حالات أخرى، يقوم ساحب السجادة أيضًا بإزالة السيولة للحصول على ETH الموجود في المجموعة.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم الانتقال عبر عنوان وسيط.
توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يشير إلى أن سلوك سحب السجادة له سمات نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، يتم عادة تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات التي تبدو مستقلة قد تنطوي على نفس المجموعة أو حتى نفس العصابة المحتالة.
استنادًا إلى هذه الميزات، تم استخراج نمط سلوك لعمليات السحب rug pull، واستخدام هذا النمط لفحص الحالات التي تم رصدها، بهدف بناء صورة محتملة لعصابات الاحتيال.
عصابة سحب السجادة
عنوان الاحتفاظ بأموال التعدين
كما هو مذكور أعلاه، فإن حالات السحب المفاجئ عادة ما تجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. بناءً على هذا النموذج، تم اختيار بعض عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بأساليب الجرائم المرتبطة بها لتحليلها بعمق.
دخل مجال الرؤية 7 عناوين للاحتفاظ بالأموال، وهذه العناوين مرتبطة بـ 1,124 حالة من حالات السحب المفاجئ التي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ الاحتيال بنجاح، يقوم عصابة السحب المفاجئ بتجميع الأرباح غير القانونية إلى هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في عمليات الاحتيال الجديدة لسحب الأموال المفاجئ، والتلاعب بمجمعات السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال بعض بورصات أو منصات التبادل الفوري.
من خلال إحصاء تكاليف وعائدات جميع عمليات الاحتيال Rug Pull في كل عنوان احتفاظ بالتمويل، تم الحصول على البيانات ذات الصلة.
في عملية احتيال سحب البساط كاملة، عادة ما تستخدم عصابة سحب البساط عنوانًا واحدًا كمنشئ عملة سحب البساط (Deployer)، وتقوم بسحب الأموال من خلال تبادل ما للحصول على رأس المال اللازم لإنشاء عملة سحب البساط وحوض السيولة المناسب. بعد جذب عدد كافٍ من المستخدمين أو روبوتات الشراء الجديدة لاستخدام ETH لشراء عملة سحب البساط، ستستخدم عصابة سحب البساط عنوانًا آخر كمنفذ سحب البساط (Rug Puller) لتنفيذ العملية، وتحويل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة أعلاه، يتم اعتبار ETH الذي يحصل عليه Deployer من خلال البورصة، أو ETH الذي يضعه Deployer عند إنشاء بركة السيولة، كتكلفة Rug Pull (كيف يتم حساب ذلك يعتمد على سلوك Deployer). بينما يتم اعتبار ETH الذي ينتقل إلى عنوان الاحتفاظ بالتمويل (أو عنوان وسيط آخر) بعد أن يكمل Rug Pull كدخل لهذه المرة من Rug Pull.
من المهم الإشارة إلى أن عصابات Rug Pull ، عند تنفيذ احتيالها ، ستقوم أيضًا بشكل نشط بشراء عملة Rug Pull التي أنشأتها باستخدام ETH ، لمحاكاة أنشطة تجمع السيولة العادية ، وبالتالي جذب روبوتات الشراء الجديدة للشراء. لكن هذه التكاليف لم تُدرج في الحساب ، لذا فإن البيانات تبالغ في تقدير الأرباح الفعلية لعصابات Rug Pull ، والأرباح الحقيقية ستكون منخفضة نسبيًا.
تحتل العناوين التي تمثل أعلى ثلاثة نسب من الأرباح المراتب الأولى وهي 0x1607 و 0xDF1a و 0x2836. حصل العنوان 0x1607 على أعلى أرباح، حوالي 2,668.17 ETH، تمثل نسبة من أرباح جميع العناوين.