Углубленное исследование случаев Rug Pull, раскрытие хаоса в экосистеме токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти сомнения не безосновательны. В последнее время команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, участвующие в этих случаях, являются новыми токенами, только что появившимися в сети.
Затем была проведена глубокая проверка этих случаев Rug Pull, и выяснилось, что за ними стоит организованная преступная группа, а также были обобщены шаблонные характеристики этих мошенничеств. Путем глубокого анализа методов работы этих групп было выявлено возможное мошенническое продвижение со стороны групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получить прибыль через Rug Pull.
Статистика показывает, что с ноября 2023 года по начало августа 2024 года эти группы в Telegram推送или 93,930 новых токенов, из которых 46,526 токенов связаны с Rug Pull, что составляет 49.53%. По статистике, накопленные затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и с доходностью до 188.7% они заработали 282,699.96 Эфир, что составляет примерно 800 миллионов долларов.
Для оценки доли новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum в тот же период времени. Данные показывают, что в этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования была обнаружена тревожная правда — как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, в других блокчейн-сетях обнаружено больше случаев Rug Pull. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Таким образом, этот отчет предназначен для того, чтобы помочь всем участникам Web3 повысить осведомленность о рисках, оставаться бдительными в условиях постоянных мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
ERC-20 Токен является одним из самых распространенных стандартов токенов в блокчейне на сегодняшний день, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токена, такие как переводы, проверка баланса, предоставление прав третьим лицам на управление токенами и др. Благодаря этому стандартизированному протоколу разработчикам стало легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 Токен стал основой для множества ICO и проектов децентрализованных финансов.
USDT, PEPE и DOGE, которые мы знаем, являются токенами ERC-20, и пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закодированными бэкдорами, выкладывать их на децентрализованные биржи и затем вводить пользователей в заблуждение, чтобы они их покупали.
Типичный случай мошенничества с токеном Rug Pull
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы углубиться в механизмы работы злонамеренных токенов. Прежде всего, необходимо уточнить, что Rug Pull относится к мошенническому поведению, при котором команда проекта внезапно выводит средства или abandons проект в децентрализованных финансовых проектах, что приводит к огромным убыткам для инвесторов. Токены Rug Pull – это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "медовыми токенами" или "токенами выхода из схемы", но в дальнейшем мы будем называть их токенами Rug Pull.
пример
Атакующие (группа Rug Pull) развернули токен TOMMI с адреса Deployer, затем создали ликвидный пул с 1.5 ETH и 100,000,000 TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торгов ликвидного пула и привлечь пользователей и ботов для участия в первичных предложениях токенов на блокчейне. Когда определенное количество ботов попалось на уловку, атакующие использовали адрес Rug Puller для выполнения Rug Pull; Rug Puller использовал 38,739,354 токенов TOMMI, чтобы разрушить ликвидный пул, обменяв его на около 3.95 ETH. Токены Rug Puller поступили от злонамеренных разрешений Approve в контракте токена TOMMI. При развертывании контракта токена TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем осуществлять Rug Pull.
Процесс Rug Pull
Подготовить средства для атаки.
Атакующий через одну из бирж зачислил 2.47309009ETH на счет Token Deployer в качестве стартового капитала для Rug Pull.
Развертывание токена Rug Pull с задней дверью.
Deployer создает токен TOMMI, предварительно добывая 100,000,000 токенов и распределяя их себе.
Создание первоначального ликвидного пула.
Deployer использовал 1,5 Эфир и все предварительно добытые токены для создания ликвидного пула, получив около 0,387 LP токенов.
Уничтожить все запасы предмайнинговых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI отсутствует функция Mint, на данный момент Token Deployer теоретически утратил возможность Rug Pull. (Это также одно из необходимых условий для привлечения роботов по торговле новыми токенами. Некоторые роботы по торговле новыми токенами оценивают, существует ли риск Rug Pull у новых токенов, попадающих в пул. Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов по торговле новыми токенами).
Подделка объемов торговли.
Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, что увеличивает объем торгов в пуле и привлекает роботов для новых инвестиций (основание для определения этих адресов как маскирующихся атакующих: средства на связанных адресах поступают из исторических адресов перевода средств группы Rug Pull).
Атакующий инициирует Rug Pull через адрес Rug Puller, выводя 38,739,354 токенов прямо из ликвидностного пула через бэкдор токена, а затем использует эти токены, чтобы разрушить пул и получить около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.
Адрес промежуточного перевода отправляет средства на адрес хранения средств. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправит средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств из множества зафиксированных случаев Rug Pull, и этот адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма средств будет выведена через какую-то биржу.
Код задней двери Rug Pull
Хотя злоумышленники попытались доказать внешнему миру, что они не могут совершить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили злонамеренную бэкдору в функции openTrading контракта токена TOMMI, которая позволяет при создании ликвидного пула разрешить перемещение токенов на адрес Rug Puller, что позволяет адресу Rug Puller непосредственно выводить токены из ликвидного пула.
Механизм совершения преступлений
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает средства через какую-то биржу: злоумышленник сначала предоставляет источник финансирования для адреса развертывателя (Deployer) через какую-то биржу.
Deployer создает ликвидный пул и уничтожает LP токены: После создания токена Rug Pull, развертыватель немедленно создает ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь更多 инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общее предложение токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получать ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученные от Rug Pull, на адрес хранения средств: Rug Puller переводит полученный ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные выше характеристики широко присутствуют в захваченных случаях, что свидетельствует о явных паттернных особенностях поведения Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на адресе сохранения средств, что подразумевает, что за этими, казалось бы, независимыми случаями Rug Pull может стоять одна и та же группа мошенников или даже одна и та же мошенническая схема.
Основываясь на этих характеристиках, была выделена модель поведения Rug Pull и использована для сканирования обнаруженных случаев с целью создания возможного портрета мошеннической группы.
Схема "Rug Pull"
адрес для хранения средств добычи
Как упоминалось ранее, случаи Rug Pull обычно в конечном итоге сводят средства к адресам хранения средств. Исходя из этой модели, было выбрано несколько высокоактивных адресов хранения средств, которые явно характеризуются методами совершения преступлений, для глубокого анализа.
В поле зрения находятся 7 адресов для хранения средств, связанных с 1,124 случаями Rug Pull, успешно зафиксированными системой мониторинга атак на блокчейне. После успешного проведения схемы, группа Rug Pull собирает незаконные доходы на этих адресах для хранения средств. Эти адреса для хранения средств разбивают накопленные средства для создания новых токенов в будущих схемах Rug Pull, манипулируя ликвидными пулами и другими действиями. Кроме того, небольшая часть накопленных средств обналичивается через одну из бирж или платформ для мгновенного обмена.
Собрав данные о затратах и доходах всех схем Rug Pull на каждом адресе хранения средств, была получена соответствующая информация.
В полном мошенничестве Rug Pull группа мошенников обычно использует один адрес в качестве создателя токена Rug Pull (Deployer) и выводит средства через одну из бирж для получения стартового капитала, чтобы создать токен Rug Pull и соответствующий пул ликвидности. Когда достаточное количество пользователей или ботов по покупке новых токенов использует ETH для покупки токена Rug Pull, группа мошенников использует другой адрес в качестве исполнителя Rug Pull (Rug Puller) для выполнения операции, переводя полученные средства на адрес хранения средств.
В процессе вышеуказанного, ETH, полученный Deployer через биржу, или ETH, вложенный Deployer при создании пула ликвидности, рассматриваются как стоимость Rug Pull (конкретный расчет зависит от действий Deployer). А ETH, переведенный Rug Puller после завершения Rug Pull на адрес удержания средств (или другой промежуточный адрес), рассматривается как доход от данного Rug Pull.
Важно отметить, что группа Rug Pull при осуществлении мошенничества также активно использует ETH для покупки созданных ими токенов Rug Pull, чтобы смоделировать нормальную активность ликвидного пула и привлечь ботов для покупки. Однако эта часть затрат не была учтена в расчетах, поэтому данные завышают фактическую прибыль группы Rug Pull, реальная прибыль будет относительно ниже.
Адреса с наибольшими долями прибыли занимают три первых места: 0x1607, 0xDF1a и 0x2836. Адрес 0x1607 получил наивысшую прибыль, около 2,668.17 Эфир, что составляет долю от общей прибыли всех адресов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
5
Репост
Поделиться
комментарий
0/400
MetaReckt
· 07-29 04:36
неудачники разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
LongTermDreamer
· 07-27 17:47
Нет проблем, медвежий рынок вымоет партию, через три года всё окупится.
Посмотреть ОригиналОтветить0
GasBankrupter
· 07-26 07:28
Будут играть для лохов手法是进化了啊
Посмотреть ОригиналОтветить0
OnchainUndercover
· 07-26 07:23
Опять новая волна неудачников, которых нужно разыгрывать как лохов~
Экосистема токенов Ethereum: почти половина новых токенов связана с мошенничеством Rug Pull, потери составляют до 800 миллионов долларов.
Углубленное исследование случаев Rug Pull, раскрытие хаоса в экосистеме токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти сомнения не безосновательны. В последнее время команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, участвующие в этих случаях, являются новыми токенами, только что появившимися в сети.
Затем была проведена глубокая проверка этих случаев Rug Pull, и выяснилось, что за ними стоит организованная преступная группа, а также были обобщены шаблонные характеристики этих мошенничеств. Путем глубокого анализа методов работы этих групп было выявлено возможное мошенническое продвижение со стороны групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получить прибыль через Rug Pull.
Статистика показывает, что с ноября 2023 года по начало августа 2024 года эти группы в Telegram推送или 93,930 новых токенов, из которых 46,526 токенов связаны с Rug Pull, что составляет 49.53%. По статистике, накопленные затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и с доходностью до 188.7% они заработали 282,699.96 Эфир, что составляет примерно 800 миллионов долларов.
Для оценки доли новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum в тот же период времени. Данные показывают, что в этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования была обнаружена тревожная правда — как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, в других блокчейн-сетях обнаружено больше случаев Rug Pull. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Таким образом, этот отчет предназначен для того, чтобы помочь всем участникам Web3 повысить осведомленность о рисках, оставаться бдительными в условиях постоянных мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
ERC-20 Токен является одним из самых распространенных стандартов токенов в блокчейне на сегодняшний день, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токена, такие как переводы, проверка баланса, предоставление прав третьим лицам на управление токенами и др. Благодаря этому стандартизированному протоколу разработчикам стало легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 Токен стал основой для множества ICO и проектов децентрализованных финансов.
USDT, PEPE и DOGE, которые мы знаем, являются токенами ERC-20, и пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закодированными бэкдорами, выкладывать их на децентрализованные биржи и затем вводить пользователей в заблуждение, чтобы они их покупали.
Типичный случай мошенничества с токеном Rug Pull
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы углубиться в механизмы работы злонамеренных токенов. Прежде всего, необходимо уточнить, что Rug Pull относится к мошенническому поведению, при котором команда проекта внезапно выводит средства или abandons проект в децентрализованных финансовых проектах, что приводит к огромным убыткам для инвесторов. Токены Rug Pull – это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "медовыми токенами" или "токенами выхода из схемы", но в дальнейшем мы будем называть их токенами Rug Pull.
пример
Атакующие (группа Rug Pull) развернули токен TOMMI с адреса Deployer, затем создали ликвидный пул с 1.5 ETH и 100,000,000 TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торгов ликвидного пула и привлечь пользователей и ботов для участия в первичных предложениях токенов на блокчейне. Когда определенное количество ботов попалось на уловку, атакующие использовали адрес Rug Puller для выполнения Rug Pull; Rug Puller использовал 38,739,354 токенов TOMMI, чтобы разрушить ликвидный пул, обменяв его на около 3.95 ETH. Токены Rug Puller поступили от злонамеренных разрешений Approve в контракте токена TOMMI. При развертывании контракта токена TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем осуществлять Rug Pull.
Процесс Rug Pull
Атакующий через одну из бирж зачислил 2.47309009ETH на счет Token Deployer в качестве стартового капитала для Rug Pull.
Deployer создает токен TOMMI, предварительно добывая 100,000,000 токенов и распределяя их себе.
Deployer использовал 1,5 Эфир и все предварительно добытые токены для создания ликвидного пула, получив около 0,387 LP токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI отсутствует функция Mint, на данный момент Token Deployer теоретически утратил возможность Rug Pull. (Это также одно из необходимых условий для привлечения роботов по торговле новыми токенами. Некоторые роботы по торговле новыми токенами оценивают, существует ли риск Rug Pull у новых токенов, попадающих в пул. Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов по торговле новыми токенами).
Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, что увеличивает объем торгов в пуле и привлекает роботов для новых инвестиций (основание для определения этих адресов как маскирующихся атакующих: средства на связанных адресах поступают из исторических адресов перевода средств группы Rug Pull).
Атакующий инициирует Rug Pull через адрес Rug Puller, выводя 38,739,354 токенов прямо из ликвидностного пула через бэкдор токена, а затем использует эти токены, чтобы разрушить пул и получить около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.
Адрес промежуточного перевода отправляет средства на адрес хранения средств. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправит средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств из множества зафиксированных случаев Rug Pull, и этот адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма средств будет выведена через какую-то биржу.
Код задней двери Rug Pull
Хотя злоумышленники попытались доказать внешнему миру, что они не могут совершить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили злонамеренную бэкдору в функции openTrading контракта токена TOMMI, которая позволяет при создании ликвидного пула разрешить перемещение токенов на адрес Rug Puller, что позволяет адресу Rug Puller непосредственно выводить токены из ликвидного пула.
Механизм совершения преступлений
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает средства через какую-то биржу: злоумышленник сначала предоставляет источник финансирования для адреса развертывателя (Deployer) через какую-то биржу.
Deployer создает ликвидный пул и уничтожает LP токены: После создания токена Rug Pull, развертыватель немедленно создает ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь更多 инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общее предложение токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получать ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученные от Rug Pull, на адрес хранения средств: Rug Puller переводит полученный ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные выше характеристики широко присутствуют в захваченных случаях, что свидетельствует о явных паттернных особенностях поведения Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на адресе сохранения средств, что подразумевает, что за этими, казалось бы, независимыми случаями Rug Pull может стоять одна и та же группа мошенников или даже одна и та же мошенническая схема.
Основываясь на этих характеристиках, была выделена модель поведения Rug Pull и использована для сканирования обнаруженных случаев с целью создания возможного портрета мошеннической группы.
Схема "Rug Pull"
адрес для хранения средств добычи
Как упоминалось ранее, случаи Rug Pull обычно в конечном итоге сводят средства к адресам хранения средств. Исходя из этой модели, было выбрано несколько высокоактивных адресов хранения средств, которые явно характеризуются методами совершения преступлений, для глубокого анализа.
В поле зрения находятся 7 адресов для хранения средств, связанных с 1,124 случаями Rug Pull, успешно зафиксированными системой мониторинга атак на блокчейне. После успешного проведения схемы, группа Rug Pull собирает незаконные доходы на этих адресах для хранения средств. Эти адреса для хранения средств разбивают накопленные средства для создания новых токенов в будущих схемах Rug Pull, манипулируя ликвидными пулами и другими действиями. Кроме того, небольшая часть накопленных средств обналичивается через одну из бирж или платформ для мгновенного обмена.
Собрав данные о затратах и доходах всех схем Rug Pull на каждом адресе хранения средств, была получена соответствующая информация.
В полном мошенничестве Rug Pull группа мошенников обычно использует один адрес в качестве создателя токена Rug Pull (Deployer) и выводит средства через одну из бирж для получения стартового капитала, чтобы создать токен Rug Pull и соответствующий пул ликвидности. Когда достаточное количество пользователей или ботов по покупке новых токенов использует ETH для покупки токена Rug Pull, группа мошенников использует другой адрес в качестве исполнителя Rug Pull (Rug Puller) для выполнения операции, переводя полученные средства на адрес хранения средств.
В процессе вышеуказанного, ETH, полученный Deployer через биржу, или ETH, вложенный Deployer при создании пула ликвидности, рассматриваются как стоимость Rug Pull (конкретный расчет зависит от действий Deployer). А ETH, переведенный Rug Puller после завершения Rug Pull на адрес удержания средств (или другой промежуточный адрес), рассматривается как доход от данного Rug Pull.
Важно отметить, что группа Rug Pull при осуществлении мошенничества также активно использует ETH для покупки созданных ими токенов Rug Pull, чтобы смоделировать нормальную активность ликвидного пула и привлечь ботов для покупки. Однако эта часть затрат не была учтена в расчетах, поэтому данные завышают фактическую прибыль группы Rug Pull, реальная прибыль будет относительно ниже.
Адреса с наибольшими долями прибыли занимают три первых места: 0x1607, 0xDF1a и 0x2836. Адрес 0x1607 получил наивысшую прибыль, около 2,668.17 Эфир, что составляет долю от общей прибыли всех адресов.