Écosystème des jetons Ethereum : près de la moitié des nouveaux jetons impliquent des escroqueries de type Rug Pull avec des pertes atteignant 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Récemment, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il convient de noter que tous les jetons impliqués dans ces cas sont, sans exception, de nouveaux jetons récemment mis en chaîne.
Ensuite, une enquête approfondie a été menée sur ces cas de Rug Pull, révélant l'existence de gangs organisés derrière ces actes, et résumant les caractéristiques schématiques de ces escroqueries. En analysant en profondeur les méthodes opératoires de ces gangs, une voie possible de promotion de l'escroquerie par les groupes Rug Pull a été découverte : les groupes Telegram. Ces gangs utilisent la fonction "New Token Tracer" dans les groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des bénéfices grâce au Rug Pull.
Les statistiques montrent qu'entre novembre 2023 et début août 2024, ces groupes Telegram ont promu un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons impliqués dans des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût cumulé d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, générant des bénéfices de 282 699,96 ETH avec un taux de retour allant jusqu'à 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal d'Ethereum, des données sur les nouveaux jetons émis sur le réseau principal d'Ethereum pendant la même période ont été collectées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % étaient des jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après une enquête approfondie, la vérité révélée est troublante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, soit 48,14 % du total. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal d'Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux blockchain. Cela signifie que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est beaucoup plus sévère que prévu, et pas seulement sur le réseau principal Ethereum. Par conséquent, ce rapport vise à aider tous les membres de Web3 à renforcer leur sensibilisation aux risques, à rester vigilants face aux escroqueries sans fin et à prendre les mesures préventives nécessaires en temps utile pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers pour gérer les jetons, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En fait, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds de démarrage pour divers projets financiers en pré-vendant des jetons. C'est en raison de l'utilisation répandue des jetons ERC-20 qu'ils sont devenus la base de nombreux projets ICO et de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent à la catégorie des jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées, les listant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Cas typique de fraude par Rug Pull sur des jetons
Ici, nous empruntons un exemple de fraude par jeton Rug Pull pour examiner de plus près le modèle opérationnel des escroqueries de jetons malveillants. Il convient tout d'abord de préciser que le Rug Pull fait référence à un comportement frauduleux dans lequel l'équipe du projet retire soudainement des fonds ou abandonne le projet dans le cadre d'un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Les jetons Rug Pull, quant à eux, sont des jetons émis spécifiquement pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons piège à miel" ou "jetons de sortie", mais dans ce qui suit, nous les appellerons de manière uniforme jetons Rug Pull.
cas
L'attaquant (le groupe Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI avec d'autres adresses pour simuler le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les bots de prévente sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de bots de prévente sont piégés, l'attaquant utilise l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller écrase le pool de liquidité avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent d'une approbation malveillante de l'autorisation dans le contrat du jeton TOMMI, le contrat du jeton TOMMI accorde au Rug Puller le droit d'approbation du pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.
processus de Rug Pull
Préparez-vous à attaquer les fonds.
L'attaquant a rechargé 2.47309009 Éther vers le Token Deployer via une certaine bourse comme fonds de démarrage pour un Rug Pull.
Déployer des jetons Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.
Créer un pool de liquidité initial.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Détruire l'ensemble de l'approvisionnement de Jetons pré-minés.
Le Déployeur de Jetons envoie tous les LP jetons à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Déployeur de Jetons a donc théoriquement perdu la capacité de Rug Pull à ce stade. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, car certains robots de lancement évaluent si les jetons entrant dans le pool présentent un risque de Rug Pull. De plus, le Déployeur a également défini le Propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
Volume de transactions falsifié.
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool, ce qui attire davantage les robots de lancement (le critère pour déterminer que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, retirant directement 38 739 354 jetons du pool de liquidité par la porte dérobée du token, puis a utilisé ces jetons pour détruire le pool, obtenant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra les fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après la fin d'un Rug Pull, le Rug Puller enverra les fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu où sont collectés les fonds de nombreux cas de Rug Pull surveillés, cette adresse de conservation des fonds fractionnera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée par le biais d'une certaine bourse.
code de porte dérobée Rug Pull
Bien que les attaquants aient essayé de prouver au monde extérieur qu'ils ne pouvaient pas effectuer de Rug Pull en détruisant les jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI. Cette porte dérobée permet à la création de la piscine de liquidités d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons de la piscine de liquidités.
Mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le déployeur obtient des fonds via une certaine bourse : l'attaquant fournit d'abord une source de fonds pour l'adresse du déployeur (Deployer) via une certaine bourse.
Le déployeur crée un pool de liquidité et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement un pool de liquidité pour celui-ci et détruit les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Le Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : l'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (souvent bien supérieure à la quantité totale de jetons en circulation) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par Rug Pull à l'adresse de conservation des fonds : Rug Puller transférera l'ETH acquis à l'adresse de conservation des fonds, parfois par le biais d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont généralement présentes dans les cas capturés, ce qui indique que le comportement de Rug Pull présente des caractéristiques de modélisation évidentes. De plus, après la réalisation d'un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe d'escroquerie, voire le même.
Sur la base de ces caractéristiques, un modèle de comportement de Rug Pull a été extrait et ce modèle a été utilisé pour scanner les cas détectés, dans le but de construire un profil possible de gang de fraude.
Gang de Rug Pull
adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement des fonds vers une adresse de conservation des fonds à la fin. Sur la base de ce modèle, plusieurs adresses de conservation des fonds, hautement actives et présentant des caractéristiques de méthode d'infraction évidentes dans les cas associés, ont été sélectionnées pour une analyse approfondie.
Il y a 7 adresses de conservation des fonds qui entrent dans le champ de vision, ces adresses étant liées à 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques sur la chaîne. Après avoir réussi à mettre en œuvre l'escroquerie, le groupe de Rug Pull regroupe les bénéfices illégaux dans ces adresses de conservation des fonds. Ces adresses de conservation des fonds fractionnent ensuite les fonds accumulés pour créer de nouveaux jetons dans le cadre de nouvelles escroqueries de Rug Pull, manipuler des pools de liquidités, etc. De plus, une petite partie des fonds accumulés est liquidée via une certaine bourse ou une plateforme d'échange instantané.
En analysant le coût et les revenus de toutes les escroqueries Rug Pull dans chaque adresse de fonds, des données pertinentes ont été obtenues.
Dans une escroquerie complète de Rug Pull, le groupe de Rug Pull utilise généralement une adresse comme déployeur (Deployer) du jeton Rug Pull et retire des fonds via un échange pour créer le jeton Rug Pull et le pool de liquidités correspondant. Une fois qu'un nombre suffisant d'utilisateurs ou de bots de souscription achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur du Rug Pull (Rug Puller) pour transférer les fonds obtenus vers une adresse de conservation des fonds.
Dans le processus décrit ci-dessus, l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidités, est considéré comme le coût du Rug Pull (la manière dont il est calculé dépend du comportement du Deployer). L'ETH transféré par le Rug Puller vers l'adresse de conservation des fonds (ou une autre adresse intermédiaire) après la réalisation du Rug Pull est considéré comme le revenu de ce Rug Pull.
Il convient de noter que les groupes de Rug Pull, lors de la mise en œuvre de leurs arnaques, utilisent également activement l'ETH pour acheter les jetons Rug Pull qu'ils ont créés, afin de simuler des activités normales de liquidité, attirant ainsi les robots d'achat de nouveaux jetons. Cependant, ce coût n'est pas pris en compte dans le calcul, ce qui conduit à une surestimation des bénéfices réels des groupes de Rug Pull, les bénéfices réels étant relativement plus bas.
Les trois adresses ayant la part de profit la plus élevée sont respectivement 0x1607, 0xDF1a et 0x2836. L'adresse 0x1607 a réalisé le plus de profit, environ 2,668.17 Éther, représentant le profit total de toutes les adresses.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
5
Partager
Commentaire
0/400
MetaReckt
· 07-29 04:36
pigeons prendre les gens pour des idiots
Voir l'originalRépondre0
LongTermDreamer
· 07-27 17:47
Pas de souci, un Marché baissier va nettoyer un peu, dans trois ans tout sera récupéré.
Voir l'originalRépondre0
GasBankrupter
· 07-26 07:28
Se faire prendre pour des cons est une méthode qui a évolué.
Voir l'originalRépondre0
OnchainUndercover
· 07-26 07:23
Encore une vague de pigeons à prendre les gens pour des idiots~
Voir l'originalRépondre0
SocialAnxietyStaker
· 07-26 07:10
Encore des pigeons vont être pris pour des idiots.
Écosystème des jetons Ethereum : près de la moitié des nouveaux jetons impliquent des escroqueries de type Rug Pull avec des pertes atteignant 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Récemment, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il convient de noter que tous les jetons impliqués dans ces cas sont, sans exception, de nouveaux jetons récemment mis en chaîne.
Ensuite, une enquête approfondie a été menée sur ces cas de Rug Pull, révélant l'existence de gangs organisés derrière ces actes, et résumant les caractéristiques schématiques de ces escroqueries. En analysant en profondeur les méthodes opératoires de ces gangs, une voie possible de promotion de l'escroquerie par les groupes Rug Pull a été découverte : les groupes Telegram. Ces gangs utilisent la fonction "New Token Tracer" dans les groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des bénéfices grâce au Rug Pull.
Les statistiques montrent qu'entre novembre 2023 et début août 2024, ces groupes Telegram ont promu un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons impliqués dans des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût cumulé d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, générant des bénéfices de 282 699,96 ETH avec un taux de retour allant jusqu'à 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal d'Ethereum, des données sur les nouveaux jetons émis sur le réseau principal d'Ethereum pendant la même période ont été collectées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % étaient des jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après une enquête approfondie, la vérité révélée est troublante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, soit 48,14 % du total. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal d'Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux blockchain. Cela signifie que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est beaucoup plus sévère que prévu, et pas seulement sur le réseau principal Ethereum. Par conséquent, ce rapport vise à aider tous les membres de Web3 à renforcer leur sensibilisation aux risques, à rester vigilants face aux escroqueries sans fin et à prendre les mesures préventives nécessaires en temps utile pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers pour gérer les jetons, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En fait, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds de démarrage pour divers projets financiers en pré-vendant des jetons. C'est en raison de l'utilisation répandue des jetons ERC-20 qu'ils sont devenus la base de nombreux projets ICO et de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent à la catégorie des jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées, les listant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Cas typique de fraude par Rug Pull sur des jetons
Ici, nous empruntons un exemple de fraude par jeton Rug Pull pour examiner de plus près le modèle opérationnel des escroqueries de jetons malveillants. Il convient tout d'abord de préciser que le Rug Pull fait référence à un comportement frauduleux dans lequel l'équipe du projet retire soudainement des fonds ou abandonne le projet dans le cadre d'un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Les jetons Rug Pull, quant à eux, sont des jetons émis spécifiquement pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons piège à miel" ou "jetons de sortie", mais dans ce qui suit, nous les appellerons de manière uniforme jetons Rug Pull.
cas
L'attaquant (le groupe Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI avec d'autres adresses pour simuler le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les bots de prévente sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de bots de prévente sont piégés, l'attaquant utilise l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller écrase le pool de liquidité avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent d'une approbation malveillante de l'autorisation dans le contrat du jeton TOMMI, le contrat du jeton TOMMI accorde au Rug Puller le droit d'approbation du pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.
processus de Rug Pull
L'attaquant a rechargé 2.47309009 Éther vers le Token Deployer via une certaine bourse comme fonds de démarrage pour un Rug Pull.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Le Déployeur de Jetons envoie tous les LP jetons à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Déployeur de Jetons a donc théoriquement perdu la capacité de Rug Pull à ce stade. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, car certains robots de lancement évaluent si les jetons entrant dans le pool présentent un risque de Rug Pull. De plus, le Déployeur a également défini le Propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool, ce qui attire davantage les robots de lancement (le critère pour déterminer que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, retirant directement 38 739 354 jetons du pool de liquidité par la porte dérobée du token, puis a utilisé ces jetons pour détruire le pool, obtenant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra les fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après la fin d'un Rug Pull, le Rug Puller enverra les fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu où sont collectés les fonds de nombreux cas de Rug Pull surveillés, cette adresse de conservation des fonds fractionnera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée par le biais d'une certaine bourse.
code de porte dérobée Rug Pull
Bien que les attaquants aient essayé de prouver au monde extérieur qu'ils ne pouvaient pas effectuer de Rug Pull en détruisant les jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI. Cette porte dérobée permet à la création de la piscine de liquidités d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons de la piscine de liquidités.
Mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le déployeur obtient des fonds via une certaine bourse : l'attaquant fournit d'abord une source de fonds pour l'adresse du déployeur (Deployer) via une certaine bourse.
Le déployeur crée un pool de liquidité et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement un pool de liquidité pour celui-ci et détruit les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Le Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : l'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (souvent bien supérieure à la quantité totale de jetons en circulation) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par Rug Pull à l'adresse de conservation des fonds : Rug Puller transférera l'ETH acquis à l'adresse de conservation des fonds, parfois par le biais d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont généralement présentes dans les cas capturés, ce qui indique que le comportement de Rug Pull présente des caractéristiques de modélisation évidentes. De plus, après la réalisation d'un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe d'escroquerie, voire le même.
Sur la base de ces caractéristiques, un modèle de comportement de Rug Pull a été extrait et ce modèle a été utilisé pour scanner les cas détectés, dans le but de construire un profil possible de gang de fraude.
Gang de Rug Pull
adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement des fonds vers une adresse de conservation des fonds à la fin. Sur la base de ce modèle, plusieurs adresses de conservation des fonds, hautement actives et présentant des caractéristiques de méthode d'infraction évidentes dans les cas associés, ont été sélectionnées pour une analyse approfondie.
Il y a 7 adresses de conservation des fonds qui entrent dans le champ de vision, ces adresses étant liées à 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques sur la chaîne. Après avoir réussi à mettre en œuvre l'escroquerie, le groupe de Rug Pull regroupe les bénéfices illégaux dans ces adresses de conservation des fonds. Ces adresses de conservation des fonds fractionnent ensuite les fonds accumulés pour créer de nouveaux jetons dans le cadre de nouvelles escroqueries de Rug Pull, manipuler des pools de liquidités, etc. De plus, une petite partie des fonds accumulés est liquidée via une certaine bourse ou une plateforme d'échange instantané.
En analysant le coût et les revenus de toutes les escroqueries Rug Pull dans chaque adresse de fonds, des données pertinentes ont été obtenues.
Dans une escroquerie complète de Rug Pull, le groupe de Rug Pull utilise généralement une adresse comme déployeur (Deployer) du jeton Rug Pull et retire des fonds via un échange pour créer le jeton Rug Pull et le pool de liquidités correspondant. Une fois qu'un nombre suffisant d'utilisateurs ou de bots de souscription achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur du Rug Pull (Rug Puller) pour transférer les fonds obtenus vers une adresse de conservation des fonds.
Dans le processus décrit ci-dessus, l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidités, est considéré comme le coût du Rug Pull (la manière dont il est calculé dépend du comportement du Deployer). L'ETH transféré par le Rug Puller vers l'adresse de conservation des fonds (ou une autre adresse intermédiaire) après la réalisation du Rug Pull est considéré comme le revenu de ce Rug Pull.
Il convient de noter que les groupes de Rug Pull, lors de la mise en œuvre de leurs arnaques, utilisent également activement l'ETH pour acheter les jetons Rug Pull qu'ils ont créés, afin de simuler des activités normales de liquidité, attirant ainsi les robots d'achat de nouveaux jetons. Cependant, ce coût n'est pas pris en compte dans le calcul, ce qui conduit à une surestimation des bénéfices réels des groupes de Rug Pull, les bénéfices réels étant relativement plus bas.
Les trois adresses ayant la part de profit la plus élevée sont respectivement 0x1607, 0xDF1a et 0x2836. L'adresse 0x1607 a réalisé le plus de profit, environ 2,668.17 Éther, représentant le profit total de toutes les adresses.