Investigação aprofundada dos casos de Rug Pull, desvendando o caos no ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Essas dúvidas não surgem do nada. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. Vale a pena notar que todos os tokens envolvidos nesses casos são novos tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe investigou profundamente esses casos de Rug Pull e descobriu que por trás deles havia uma organização criminosa, resumindo as características padronizadas desses golpes. Através da análise aprofundada das táticas de operação desses grupos, eles identificaram uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a função "New Token Tracer" em certos grupos para atrair usuários a comprarem tokens fraudulentos, e acabam lucrando através do Rug Pull.
A equipe contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024, descobrindo que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam envolvidos em Rug Pull, representando 49,53%. De acordo com as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos por grupos do Telegram na rede principal do Ethereum, a equipe compilou dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, durante este período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos tokens surgem por dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, a verdade que descobriram é perturbadora ------ pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma proporção alarmante de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, eles também descobriram mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais severa do que o esperado. Assim, a equipe redigiu este relatório de pesquisa, esperando poder ajudar todos os membros do Web3 a aumentar a conscientização preventiva, manter-se alerta diante de fraudes cada vez mais frequentes e tomar as medidas necessárias a tempo para proteger a segurança de seus ativos.
Token ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, definindo um conjunto de normas que permite que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicativos descentralizados (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gerenciar tokens, entre outros. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e uso dos tokens. Na prática, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e levantar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente devido à ampla aplicação dos tokens ERC-20 que eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem à categoria de tokens ERC-20, e os usuários podem comprá-los através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com backdoors no código, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude de token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta onde a equipe do projeto retira subitamente os fundos ou abandona o projeto em um projeto de finanças descentralizadas, causando enormes perdas para os investidores. O token Rug Pull é um token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo referir-nos-emos a eles de forma uniforme como tokens Rug Pull.
· Caso
Os atacantes (gangue Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o token TOMMI, e então criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e bots de novos lançamentos na cadeia para comprar tokens TOMMI. Quando um número suficiente de bots de novos lançamentos é enganado, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller derruba o pool de liquidez com 38.739.354 tokens TOMMI, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI, que ao ser implantado, concede ao Rug Puller a permissão de aprovar o pool de liquidez, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, realize o Rug Pull.
Usuário disfarçado de Rug Puller (um deles): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Endereço de transferência de fundos do Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
Endereço de retenção de fundos do Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
· Transações relacionadas
O Deployer obtém capital inicial da exchange centralizada: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Implantar o Token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Criar um pool de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Endereço de transferência de fundos envia fundos para usuário disfarçado (um deles): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Rug Pull enviou os fundos obtidos para o endereço de transição: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará os fundos para o endereço de retenção de fundos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Processo de Rug Pull
1. Preparar fundos para o ataque.
O atacante recarregou 2.47309009ETH para o Token Deployer (0x4bAF) através de uma exchange centralizada como capital inicial para o Rug Pull.
2. Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minera 100.000.000 tokens e os distribui para si mesmo.
3. Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir todo o suprimento de Token pré-minerado.
O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair bots de novos lançamentos, pois alguns bots avaliam se os tokens recém-adicionados ao pool apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo isso para enganar os programas de prevenção a fraudes dos bots de novos lançamentos.)
5. Volume de transações falsificado.
Os atacantes utilizam vários endereços para comprar ativamente Token TOMMI do pool de liquidez, aumentando o volume de negociações do pool e atraindo ainda mais robôs de lançamento para o mercado (a base para determinar que esses endereços são disfarces dos atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente do fundo de liquidez 38,739,354 tokens pela porta dos fundos do token, e depois usou esses tokens para abalar o fundo, conseguindo cerca de 3.95 ETH.
O atacante enviou os fundos obtidos do Rug Pull para o endereço de transferência 0xD921.
O endereço intermediário 0xD921 enviará os fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e esse endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de exchanges centralizadas. Encontramos vários endereços de retenção de fundos, e 0x2836 é um deles.
· Código de backdoor Rug Pull
Embora os atacantes tenham tentado provar ao público que não podem realizar um Rug Pull destruindo os Tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI, que permite que a liquidez aprova a transferência de Tokens para o endereço do Rug Puller ao criar um pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente Tokens do pool de liquidez.
A implementação da função openTrading é mostrada na Figura 9, cuja principal função é criar um novo pool de liquidez, mas o atacante chamou a função backdoor onInit dentro dessa função (como mostrado na Figura 10), permitindo que o uniswapV2Pair aprova a quantidade de tipo (uint256) para a transferência de Token para o endereço _chefAddress. Onde uniswapV2Pair é o endereço do pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado durante a implantação do contrato (como mostrado na Figura 11).
· Modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma bolsa centralizada: o atacante primeiro fornece uma fonte de financiamento para o endereço do Deployer através de uma bolsa centralizada.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar um token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller usa uma grande quantidade de Token para trocar por ETH no pool de liquidez: Rug Pull
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
6
Repostar
Compartilhar
Comentário
0/400
CrashHotline
· 4h atrás
idiotas终究是idiotas
Ver originalResponder0
CommunityWorker
· 4h atrás
idiotas nunca serão escravos gm
Ver originalResponder0
NFTDreamer
· 4h atrás
Quatro Tokens, três buracos, buracos com faca
Ver originalResponder0
AlgoAlchemist
· 4h atrás
Fazer novas ofertas não é melhor do que fazer as pessoas de parvas.
Ver originalResponder0
GateUser-00be86fc
· 4h atrás
idiotas devem acordar
Ver originalResponder0
CryptoTarotReader
· 4h atrás
Outra dia em que os idiotas são feitos de parvas...
Relatório de investigação: quase 50% do novo ecossistema de Tokens do Ethereum envolve Rug Pull, enganando 800 milhões de dólares em seis meses.
Investigação aprofundada dos casos de Rug Pull, desvendando o caos no ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Essas dúvidas não surgem do nada. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. Vale a pena notar que todos os tokens envolvidos nesses casos são novos tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe investigou profundamente esses casos de Rug Pull e descobriu que por trás deles havia uma organização criminosa, resumindo as características padronizadas desses golpes. Através da análise aprofundada das táticas de operação desses grupos, eles identificaram uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a função "New Token Tracer" em certos grupos para atrair usuários a comprarem tokens fraudulentos, e acabam lucrando através do Rug Pull.
A equipe contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024, descobrindo que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam envolvidos em Rug Pull, representando 49,53%. De acordo com as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos por grupos do Telegram na rede principal do Ethereum, a equipe compilou dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, durante este período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos tokens surgem por dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, a verdade que descobriram é perturbadora ------ pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma proporção alarmante de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, eles também descobriram mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais severa do que o esperado. Assim, a equipe redigiu este relatório de pesquisa, esperando poder ajudar todos os membros do Web3 a aumentar a conscientização preventiva, manter-se alerta diante de fraudes cada vez mais frequentes e tomar as medidas necessárias a tempo para proteger a segurança de seus ativos.
Token ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, definindo um conjunto de normas que permite que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicativos descentralizados (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gerenciar tokens, entre outros. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e uso dos tokens. Na prática, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e levantar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente devido à ampla aplicação dos tokens ERC-20 que eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem à categoria de tokens ERC-20, e os usuários podem comprá-los através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com backdoors no código, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude de token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta onde a equipe do projeto retira subitamente os fundos ou abandona o projeto em um projeto de finanças descentralizadas, causando enormes perdas para os investidores. O token Rug Pull é um token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo referir-nos-emos a eles de forma uniforme como tokens Rug Pull.
· Caso
Os atacantes (gangue Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o token TOMMI, e então criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e bots de novos lançamentos na cadeia para comprar tokens TOMMI. Quando um número suficiente de bots de novos lançamentos é enganado, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller derruba o pool de liquidez com 38.739.354 tokens TOMMI, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI, que ao ser implantado, concede ao Rug Puller a permissão de aprovar o pool de liquidez, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, realize o Rug Pull.
· Endereço relacionado
· Transações relacionadas
· Processo de Rug Pull
1. Preparar fundos para o ataque.
O atacante recarregou 2.47309009ETH para o Token Deployer (0x4bAF) através de uma exchange centralizada como capital inicial para o Rug Pull.
2. Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minera 100.000.000 tokens e os distribui para si mesmo.
3. Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir todo o suprimento de Token pré-minerado.
O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair bots de novos lançamentos, pois alguns bots avaliam se os tokens recém-adicionados ao pool apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo isso para enganar os programas de prevenção a fraudes dos bots de novos lançamentos.)
5. Volume de transações falsificado.
Os atacantes utilizam vários endereços para comprar ativamente Token TOMMI do pool de liquidez, aumentando o volume de negociações do pool e atraindo ainda mais robôs de lançamento para o mercado (a base para determinar que esses endereços são disfarces dos atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente do fundo de liquidez 38,739,354 tokens pela porta dos fundos do token, e depois usou esses tokens para abalar o fundo, conseguindo cerca de 3.95 ETH.
O atacante enviou os fundos obtidos do Rug Pull para o endereço de transferência 0xD921.
O endereço intermediário 0xD921 enviará os fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e esse endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de exchanges centralizadas. Encontramos vários endereços de retenção de fundos, e 0x2836 é um deles.
· Código de backdoor Rug Pull
Embora os atacantes tenham tentado provar ao público que não podem realizar um Rug Pull destruindo os Tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI, que permite que a liquidez aprova a transferência de Tokens para o endereço do Rug Puller ao criar um pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente Tokens do pool de liquidez.
A implementação da função openTrading é mostrada na Figura 9, cuja principal função é criar um novo pool de liquidez, mas o atacante chamou a função backdoor onInit dentro dessa função (como mostrado na Figura 10), permitindo que o uniswapV2Pair aprova a quantidade de tipo (uint256) para a transferência de Token para o endereço _chefAddress. Onde uniswapV2Pair é o endereço do pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado durante a implantação do contrato (como mostrado na Figura 11).
· Modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma bolsa centralizada: o atacante primeiro fornece uma fonte de financiamento para o endereço do Deployer através de uma bolsa centralizada.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar um token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller usa uma grande quantidade de Token para trocar por ETH no pool de liquidez: Rug Pull