Informe de investigación: Casi el 50% del nuevo ecosistema de tokens de Ethereum está involucrado en Rug Pull, estafando 800 millones de dólares en seis meses.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas dudas no son infundadas. En los últimos meses, un equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Cabe destacar que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser desplegados en la cadena.
Luego, el equipo realizó una investigación exhaustiva sobre estos casos de Rug Pull y descubrió la existencia de una organización delictiva detrás de ellos, y resumió las características patrones de estas estafas. A través de un análisis profundo de los métodos de operación de estas bandas, encontraron una posible vía de promoción de fraude de los grupos de Rug Pull: los grupos de Telegram. Estas bandas utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, en última instancia, obtener ganancias a través de Rug Pull.
El equipo recopiló información sobre los mensajes de tokens enviados en estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, descubriendo que se enviaron un total de 93,930 nuevos tokens, de los cuales 46,526 estaban relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo total de inversión de los grupos detrás de estos tokens Rug Pull fue de 149,813.72 Ether, obteniendo un beneficio de 282,699.96 Ether con una tasa de retorno de hasta el 188.7%, equivalente a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promovidos en grupos de Telegram en la red principal de Ethereum, el equipo recopiló datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este período se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promovidos a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen alrededor de 370 nuevos tokens cada día, lo que supera con creces las expectativas razonables. Después de una investigación continua y profunda, descubrieron una verdad inquietante: al menos 48,265 de estos tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en una estafa.
Además, también han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la mainnet de Ethereum, la situación de seguridad de todo el nuevo ecosistema de tokens en Web3 es mucho más grave de lo que se esperaba. Por lo tanto, el equipo redactó este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantenerse alerta ante las numerosas estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar oficialmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de token más comunes en la blockchain actualmente, definiendo un conjunto de normas que permite la interoperabilidad de los tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como la transferencia, la consulta de saldo y la autorización de terceros para gestionar los tokens. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando así la creación y el uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para varios proyectos financieros a través de la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE son tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude de Token Rug Pull
Aquí, tomamos como ejemplo un caso de fraude con un token de Rug Pull para profundizar en el modelo operativo de las estafas de tokens maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la conducta fraudulenta en la que el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que causa enormes pérdidas a los inversores. Por otro lado, el token de Rug Pull es un token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se conocen como "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
· caso
Los atacantes (el grupo Rug Pull) utilizaron la dirección Deployer (0x4bAF) para desplegar el token TOMMI, luego crearon un fondo de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones en el fondo de liquidez con el fin de atraer a los usuarios y a los bots de lanzamiento en la cadena a comprar tokens TOMMI. Cuando un número suficiente de bots de lanzamiento cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull; el Rug Puller utiliza 38,739,354 tokens TOMMI para aplastar el fondo de liquidez, intercambiando aproximadamente 3.95 ETH. La fuente de tokens del Rug Puller proviene de la autorización maliciosa de Approval del contrato del token TOMMI; cuando se despliega el contrato del token TOMMI, se le otorgan permisos de aprobación para el fondo de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del fondo de liquidez y luego realizar el Rug Pull.
Usuario disfrazado de Rug Puller (uno de ellos): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Dirección de transferencia de fondos de Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
Dirección de retención de fondos de Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
· transacciones relacionadas
El Deployer obtiene capital inicial de un intercambio centralizado: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Despliegue del token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Crear un fondo de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Dirección de transferencia de fondos envía fondos a un usuario disfrazado (uno de ellos): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Disfrazar a los usuarios para comprar Token (uno de ellos): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envía los fondos obtenidos a la dirección de intermediación: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
La dirección de transferencia enviará los fondos a la dirección de retención de fondos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Proceso de Rug Pull
1. Preparar fondos para el ataque.
El atacante recargó 2.47309009ETH al Token Deployer (0x4bAF) a través de un intercambio centralizado como capital inicial para el Rug Pull.
2. Desplegar Token de Rug Pull con puerta trasera.
El Deployer crea el Token TOMMI, premina 100,000,000 Tokens y los asigna a sí mismo.
3. Crear el fondo de liquidez inicial.
El Deployer creó un fondo de liquidez con 1.5 ETH y todos los tokens preminados, obteniendo aproximadamente 0.387 tokens LP.
4. Destruir toda la oferta de Token pre-minados.
Token Deployer envía todos los LP Tokens a la dirección 0 para ser destruidos, y dado que el contrato TOMMI no tiene función de Mint, en este momento el Token Deployer ha perdido teóricamente la capacidad de Rug Pull. (Esta es también una de las condiciones necesarias para atraer a los bots de nuevas inversiones, algunos bots de nuevas inversiones evaluarán si los tokens recién añadidos a la piscina tienen riesgo de Rug Pull, el Deployer también establece el Owner del contrato en la dirección 0, todo esto es para engañar a los programas anti-fraude de los bots de nuevas inversiones).
5. Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente el Token TOMMI del fondo de liquidez, elevando el volumen de transacciones en el fondo y atrayendo más robots de nuevas inversiones (la base para determinar que estas direcciones son de atacantes disfrazados: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).
El atacante inicia un Rug Pull a través de la dirección Rug Puller (0x43A9), extrayendo directamente 38,739,354 Token del grupo de liquidez a través de una puerta trasera del token, y luego utiliza estos tokens para desestabilizar el grupo, obteniendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediación 0xD921.
La dirección de tránsito 0xD921 envió fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, cuando se completa el Rug Pull, el Rug Puller enviará fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde hemos monitoreado muchos casos de Rug Pull, y esta dirección dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que una pequeña cantidad de fondos se retirará a través de un intercambio centralizado. Hemos encontrado varias direcciones de retención de fondos, 0x2836 es una de ellas.
· puerta trasera del código Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad los atacantes han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permitirá que al crear el pool de liquidez, el pool apruebe la transferencia de tokens a la dirección del Rug Puller, permitiendo así que la dirección del Rug Puller pueda retirar directamente tokens del pool de liquidez.
La implementación de la función openTrading se muestra en la figura 9, y su función principal es crear un nuevo grupo de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esta función (como se muestra en la figura 10), permitiendo que uniswapV2Pair aprobara la dirección _chefAddress para la transferencia de un Token por un monto de type(uint256). Donde uniswapV2Pair es la dirección del grupo de liquidez, _chefAddress es la dirección del Rug Puller, y _chefAddress se especifica al implementar el contrato (como se muestra en la figura 11).
· Patrón del delito
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Desplegador obtiene fondos a través de un intercambio centralizado: el atacante primero proporciona una fuente de fondos para la dirección del Desplegador a través de un intercambio centralizado.
El creador crea el grupo de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el creador inmediatamente creará un grupo de liquidez y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller usa una gran cantidad de Token para canjear ETH en el fondo de liquidez: Rug Pull
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
7
Republicar
Compartir
Comentar
0/400
GateUser-0717ab66
· hace8h
Ser engañados nunca pasa de moda.
Ver originalesResponder0
CrashHotline
· hace15h
tontos终究是tontos
Ver originalesResponder0
CommunityWorker
· hace15h
tontos nunca serán esclavos gm
Ver originalesResponder0
NFTDreamer
· hace15h
Cuatro Token tres trampas trampas con cuchillo
Ver originalesResponder0
AlgoAlchemist
· hace15h
No vale la pena comerciar con nuevas monedas, es mejor tomar a la gente por tonta.
Ver originalesResponder0
GateUser-00be86fc
· hace15h
tontos debería despertar
Ver originalesResponder0
CryptoTarotReader
· hace16h
Otra vez es un día en que los tontos son tomados por tontos...
Informe de investigación: Casi el 50% del nuevo ecosistema de tokens de Ethereum está involucrado en Rug Pull, estafando 800 millones de dólares en seis meses.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas dudas no son infundadas. En los últimos meses, un equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Cabe destacar que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser desplegados en la cadena.
Luego, el equipo realizó una investigación exhaustiva sobre estos casos de Rug Pull y descubrió la existencia de una organización delictiva detrás de ellos, y resumió las características patrones de estas estafas. A través de un análisis profundo de los métodos de operación de estas bandas, encontraron una posible vía de promoción de fraude de los grupos de Rug Pull: los grupos de Telegram. Estas bandas utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, en última instancia, obtener ganancias a través de Rug Pull.
El equipo recopiló información sobre los mensajes de tokens enviados en estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, descubriendo que se enviaron un total de 93,930 nuevos tokens, de los cuales 46,526 estaban relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo total de inversión de los grupos detrás de estos tokens Rug Pull fue de 149,813.72 Ether, obteniendo un beneficio de 282,699.96 Ether con una tasa de retorno de hasta el 188.7%, equivalente a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promovidos en grupos de Telegram en la red principal de Ethereum, el equipo recopiló datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este período se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promovidos a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen alrededor de 370 nuevos tokens cada día, lo que supera con creces las expectativas razonables. Después de una investigación continua y profunda, descubrieron una verdad inquietante: al menos 48,265 de estos tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en una estafa.
Además, también han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la mainnet de Ethereum, la situación de seguridad de todo el nuevo ecosistema de tokens en Web3 es mucho más grave de lo que se esperaba. Por lo tanto, el equipo redactó este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantenerse alerta ante las numerosas estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar oficialmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de token más comunes en la blockchain actualmente, definiendo un conjunto de normas que permite la interoperabilidad de los tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como la transferencia, la consulta de saldo y la autorización de terceros para gestionar los tokens. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando así la creación y el uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para varios proyectos financieros a través de la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE son tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude de Token Rug Pull
Aquí, tomamos como ejemplo un caso de fraude con un token de Rug Pull para profundizar en el modelo operativo de las estafas de tokens maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la conducta fraudulenta en la que el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que causa enormes pérdidas a los inversores. Por otro lado, el token de Rug Pull es un token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se conocen como "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
· caso
Los atacantes (el grupo Rug Pull) utilizaron la dirección Deployer (0x4bAF) para desplegar el token TOMMI, luego crearon un fondo de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones en el fondo de liquidez con el fin de atraer a los usuarios y a los bots de lanzamiento en la cadena a comprar tokens TOMMI. Cuando un número suficiente de bots de lanzamiento cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull; el Rug Puller utiliza 38,739,354 tokens TOMMI para aplastar el fondo de liquidez, intercambiando aproximadamente 3.95 ETH. La fuente de tokens del Rug Puller proviene de la autorización maliciosa de Approval del contrato del token TOMMI; cuando se despliega el contrato del token TOMMI, se le otorgan permisos de aprobación para el fondo de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del fondo de liquidez y luego realizar el Rug Pull.
· Dirección relacionada
· transacciones relacionadas
· Proceso de Rug Pull
1. Preparar fondos para el ataque.
El atacante recargó 2.47309009ETH al Token Deployer (0x4bAF) a través de un intercambio centralizado como capital inicial para el Rug Pull.
2. Desplegar Token de Rug Pull con puerta trasera.
El Deployer crea el Token TOMMI, premina 100,000,000 Tokens y los asigna a sí mismo.
3. Crear el fondo de liquidez inicial.
El Deployer creó un fondo de liquidez con 1.5 ETH y todos los tokens preminados, obteniendo aproximadamente 0.387 tokens LP.
4. Destruir toda la oferta de Token pre-minados.
Token Deployer envía todos los LP Tokens a la dirección 0 para ser destruidos, y dado que el contrato TOMMI no tiene función de Mint, en este momento el Token Deployer ha perdido teóricamente la capacidad de Rug Pull. (Esta es también una de las condiciones necesarias para atraer a los bots de nuevas inversiones, algunos bots de nuevas inversiones evaluarán si los tokens recién añadidos a la piscina tienen riesgo de Rug Pull, el Deployer también establece el Owner del contrato en la dirección 0, todo esto es para engañar a los programas anti-fraude de los bots de nuevas inversiones).
5. Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente el Token TOMMI del fondo de liquidez, elevando el volumen de transacciones en el fondo y atrayendo más robots de nuevas inversiones (la base para determinar que estas direcciones son de atacantes disfrazados: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).
El atacante inicia un Rug Pull a través de la dirección Rug Puller (0x43A9), extrayendo directamente 38,739,354 Token del grupo de liquidez a través de una puerta trasera del token, y luego utiliza estos tokens para desestabilizar el grupo, obteniendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediación 0xD921.
La dirección de tránsito 0xD921 envió fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, cuando se completa el Rug Pull, el Rug Puller enviará fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde hemos monitoreado muchos casos de Rug Pull, y esta dirección dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que una pequeña cantidad de fondos se retirará a través de un intercambio centralizado. Hemos encontrado varias direcciones de retención de fondos, 0x2836 es una de ellas.
· puerta trasera del código Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad los atacantes han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permitirá que al crear el pool de liquidez, el pool apruebe la transferencia de tokens a la dirección del Rug Puller, permitiendo así que la dirección del Rug Puller pueda retirar directamente tokens del pool de liquidez.
La implementación de la función openTrading se muestra en la figura 9, y su función principal es crear un nuevo grupo de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esta función (como se muestra en la figura 10), permitiendo que uniswapV2Pair aprobara la dirección _chefAddress para la transferencia de un Token por un monto de type(uint256). Donde uniswapV2Pair es la dirección del grupo de liquidez, _chefAddress es la dirección del Rug Puller, y _chefAddress se especifica al implementar el contrato (como se muestra en la figura 11).
· Patrón del delito
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Desplegador obtiene fondos a través de un intercambio centralizado: el atacante primero proporciona una fuente de fondos para la dirección del Desplegador a través de un intercambio centralizado.
El creador crea el grupo de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el creador inmediatamente creará un grupo de liquidez y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller usa una gran cantidad de Token para canjear ETH en el fondo de liquidez: Rug Pull