Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви коли-небудь, скільки нових токенів видається щодня? Чи безпечні ці нові токени?
Ці запитання не є безпідставними. Нещодавно команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що в усіх цих випадках йдеться про нові токени, які тільки-но з’явилися в мережі.
Потім було проведено глибоке розслідування цих випадків Rug Pull, виявлено, що за цим стоять організовані злочинні угруповання, і підсумовано їхні схемні характеристики. Через детальний аналіз методів роботи цих угруповань було виявлено один можливий шлях шахрайства Rug Pull: групи в Telegram. Ці угруповання використовують функцію "New Token Tracer" у групах, щоб залучити користувачів до купівлі шахрайських токенів, а зрештою отримувати прибуток через Rug Pull.
Статистика показує, що з листопада 2023 року до початку серпня 2024 року ці Telegram-групи спільно просували 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49,53%. Згідно зі статистикою, загальні витрати груп, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, і вони отримали прибуток у 282,699.96 ETH з прибутковістю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які просуваються в групах Telegram на основній мережі Ethereum, були зібрані дані про нові токени, випущені на основній мережі Ethereum за той самий період часу. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, що просуваються в групах Telegram, становлять 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після постійних глибоких розслідувань виявлена правда викликає занепокоєння — принаймні, 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен на основній мережі Ethereum пов'язаний з шахрайством.
Крім того, в інших блокчейн-мережах було виявлено більше випадків Rug Pull. Це означає, що безпека нових токенів у всьому екосистемі Web3 далеко не така, як очікувалося, не тільки в основній мережі Ethereum. Таким чином, цей звіт має на меті допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
ERC-20 Токен є одним з найпоширеніших стандартів токенів на блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 регулює основні функції токена, такі як перекази, перевірка балансу, уповноваження третіх осіб на управління токенами тощо. Завдяки цій стандартизованій угоді розробники можуть легше випускати та керувати токенами, спрощуючи процес створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів за допомогою попереднього продажу токенів. Саме завдяки широкому використанню ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські групи також можуть випускати шкідливі токени ERC-20 з кодом «задньої двері», розміщувати їх на децентралізованих біржах і підштовхувати користувачів до покупки.
Типові випадки шахрайства з Токенами Rug Pull
Тут ми використаємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти схему роботи злочинних токенних шахрайств. Спочатку потрібно зазначити, що Rug Pull - це шахрайство, коли команда проекту раптово забирає кошти або залишає проект у децентралізованих фінансових проектах, що призводить до великих втрат для інвесторів. Токен Rug Pull - це токен, який спеціально випускається для здійснення такого шахрайства.
У статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з гри", але нижче ми будемо однозначно називати їх токенами Rug Pull.
випадок
Атака (група Rug Pull) використовує адресу Deployer для розгортання токену TOMMI, а потім за допомогою 1,5 ETH і 100 000 000 токенів TOMMI створює ліквідний пул, активно купуючи токени TOMMI з інших адрес, щоб підробити обсяги торгів ліквідного пулу та залучити користувачів і нових ботів на блокчейні купувати токени TOMMI. Коли достатня кількість нових ботів попадає на гачок, зловмисник використовує адресу Rug Puller для виконання Rug Pull, Rug Puller накидає 38 739 354 токени TOMMI на ліквідний пул, обмінюючи їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з шкідливого схвалення (Approve) токену TOMMI, під час розгортання контракту токена TOMMI Rug Puller отримує права на схвалення ліквідного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу і проводити Rug Pull.
Процес Rug Pull
Підготуйте кошти для атаки.
Зловмисник через одну з бірж поповнив рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.
Розгортання токенів Rug Pull з задніми дверцятами.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх собі.
Створіть початковий ліквідний пул.
Deployer використовує 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримавши приблизно 0.387 LP токенів.
Знищити всі попередньо видобуті обсяги токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов для залучення ботів для нових закупівель, деякі боти для нових закупівель оцінюють, чи існує ризик Rug Pull у нових токенах, які надходять до пулу, Deployer також встановлює власника контракту на адресу 0, все це робиться для обману антишахрайських програм ботів для нових закупівель).
Підробка обсягу торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгівлі в пулі, що далі приваблює ботів для нових інвестицій (підстава для визначення цих адрес як маскувальних зловмисників: кошти на цих адресах походять з історичних адрес перекачування коштів групи Rug Pull).
Зловмисник запустив Rug Pull через адресу Rug Puller, безпосередньо вивівши 38,739,354 токенів з ліквіднісного пулу через бекдор токена, а потім використав ці токени для знищення пулу, отримавши приблизно 3.95 ETH.
Зловмисник переказує кошти, отримані від Rug Pull, на проміжну адресу.
Адреса переказу відправляє кошти на адресу зберігання коштів. З цього можна зробити висновок, що після завершення Rug Pull, Rug Puller відправить кошти на якусь адресу зберігання коштів. Адреса зберігання коштів є місцем збору коштів з багатьох випадків Rug Pull, зафіксованих моніторингом. Адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решту невелику частину коштів буде виведено через якусь біржу.
Rug Pull кодова задня дверцята
Атакуючи, хоча й намагалися через знищення LP Токенів довести зовнішньому світу, що вони не можуть здійснити Rug Pull, насправді атакуючі залишили в функції openTrading контракту TOMMI зловмисний бекдор для approve, який дозволяє при створенні ліквідного пулу ліквідному пулу надавати адресу Rug Puller дозвіл на передачу Токенів, що дозволяє адресі Rug Puller безпосередньо виводити Токени з ліквідного пулу.
Моделювання злочину
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує кошти через певну біржу: Атакуючий спочатку надає джерело фінансування для адреси розробника (Deployer) через певну біржу.
Deployer створює ліквідний пул та знищує LP токени: після створення токена Rug Pull, розробник відразу ж створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (як правило, кількість значно перевищує загальний обсяг токенів) для обміну на ETH у ліквідному пулі. У інших випадках Rug Puller також має можливість отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переміщує ETH, отримані від Rug Pull, на адресу зберігання коштів: Rug Puller перемістить отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу.
Вищезазначені характеристики широко присутні в захоплених випадках, що свідчить про те, що дії Rug Pull мають помітні характерні риси. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу зберігання коштів, що натякає на те, що ці на перший погляд незалежні випадки Rug Pull можуть бути пов'язані з однією групою шахраїв або навіть з одним і тим же шахрайським угрупуванням.
На основі цих характеристик було виділено модель поведінки Rug Pull та використано цю модель для сканування виявлених випадків з метою побудови можливого портрету шахрайської групи.
Злочинна група Rug Pull
адреса зберігання видобутку фондів
Як зазначалося раніше, випадки Rug Pull зазвичай в кінці збирають кошти на адресі зберігання. На основі цієї моделі було обрано кілька дуже активних адрес зберігання коштів, у яких чітко видно ознаки методів злочинної діяльності, для проведення детального аналізу.
У полі зору є 7 адрес для збереження коштів, пов'язаних з 1,124 випадками Rug Pull, які були успішно зафіксовані системою моніторингу атак на блокчейні. Після успішного здійснення шахрайства, банда Rug Pull збирає незаконно отримані кошти на цих адресах для збереження коштів. Ці адреси для збереження коштів розділяють накопичені кошти для створення нових токенів, маніпуляцій з ліквідністю та інших активностей для майбутніх нових схем Rug Pull. Крім того, невелика частина накопичених коштів конвертується через певну біржу або платформу миттєвого обміну.
За допомогою статистики витрат і доходів від усіх схем Rug Pull на кожній адресі збереження коштів були отримані відповідні дані.
У повній схемі Rug Pull групи Rug Pull зазвичай використовують одну адресу як розробника (Deployer) токена Rug Pull і отримують стартовий капітал через зняття в певній біржі для створення токена Rug Pull та відповідного ліквіднісного пулу. Коли вони залучають достатню кількість користувачів або ботів для нових токенів, які купують токен Rug Pull за допомогою ETH, група Rug Pull використовує іншу адресу як виконавця Rug Pull (Rug Puller) для операцій, переводячи отримані кошти на адресу збереження коштів.
У зазначеному процесі ETH, отриманий Deployer через біржу, або ETH, вкладений Deployer під час створення ліквідного пулу, вважається витратами на Rug Pull (конкретний спосіб обчислення залежить від поведінки Deployer). А ETH, що переводиться Rug Puller після завершення Rug Pull на адресу збереження коштів (або іншу проміжну адресу), вважається доходом від цього Rug Pull.
Потрібно зазначити, що банда Rug Pull під час здійснення шахрайства також активно використовує ETH для покупки створених ними Rug Pull токенів, щоб імітувати нормальну діяльність ліквідності, тим самим залучаючи боти для покупки новинок. Але ця частина витрат не була врахована в розрахунках, тому дані завищують фактичний прибуток банди Rug Pull, реальний прибуток буде відносно нижчим.
Прибуток за часткою займають перші три адреси: 0x1607, 0xDF1a та 0x2836. Адреса 0x1607 отримала найбільший прибуток, приблизно 2,668.17 ETH, що становить частку прибутку всіх адрес.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
5
Поділіться
Прокоментувати
0/400
MetaReckt
· 07-29 04:36
невдахи обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
LongTermDreamer
· 07-27 17:47
Нічого страшного, Ведмежий ринок очистить деякі активи, через три роки все окупиться.
Екосистема токенів Ethereum: майже половина нових токенів пов'язана з шахрайством Rug Pull, збитки досягають 800 мільйонів доларів.
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви коли-небудь, скільки нових токенів видається щодня? Чи безпечні ці нові токени?
Ці запитання не є безпідставними. Нещодавно команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що в усіх цих випадках йдеться про нові токени, які тільки-но з’явилися в мережі.
Потім було проведено глибоке розслідування цих випадків Rug Pull, виявлено, що за цим стоять організовані злочинні угруповання, і підсумовано їхні схемні характеристики. Через детальний аналіз методів роботи цих угруповань було виявлено один можливий шлях шахрайства Rug Pull: групи в Telegram. Ці угруповання використовують функцію "New Token Tracer" у групах, щоб залучити користувачів до купівлі шахрайських токенів, а зрештою отримувати прибуток через Rug Pull.
Статистика показує, що з листопада 2023 року до початку серпня 2024 року ці Telegram-групи спільно просували 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49,53%. Згідно зі статистикою, загальні витрати груп, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, і вони отримали прибуток у 282,699.96 ETH з прибутковістю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які просуваються в групах Telegram на основній мережі Ethereum, були зібрані дані про нові токени, випущені на основній мережі Ethereum за той самий період часу. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, що просуваються в групах Telegram, становлять 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після постійних глибоких розслідувань виявлена правда викликає занепокоєння — принаймні, 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен на основній мережі Ethereum пов'язаний з шахрайством.
Крім того, в інших блокчейн-мережах було виявлено більше випадків Rug Pull. Це означає, що безпека нових токенів у всьому екосистемі Web3 далеко не така, як очікувалося, не тільки в основній мережі Ethereum. Таким чином, цей звіт має на меті допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
ERC-20 Токен є одним з найпоширеніших стандартів токенів на блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 регулює основні функції токена, такі як перекази, перевірка балансу, уповноваження третіх осіб на управління токенами тощо. Завдяки цій стандартизованій угоді розробники можуть легше випускати та керувати токенами, спрощуючи процес створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів за допомогою попереднього продажу токенів. Саме завдяки широкому використанню ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські групи також можуть випускати шкідливі токени ERC-20 з кодом «задньої двері», розміщувати їх на децентралізованих біржах і підштовхувати користувачів до покупки.
Типові випадки шахрайства з Токенами Rug Pull
Тут ми використаємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти схему роботи злочинних токенних шахрайств. Спочатку потрібно зазначити, що Rug Pull - це шахрайство, коли команда проекту раптово забирає кошти або залишає проект у децентралізованих фінансових проектах, що призводить до великих втрат для інвесторів. Токен Rug Pull - це токен, який спеціально випускається для здійснення такого шахрайства.
У статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з гри", але нижче ми будемо однозначно називати їх токенами Rug Pull.
випадок
Атака (група Rug Pull) використовує адресу Deployer для розгортання токену TOMMI, а потім за допомогою 1,5 ETH і 100 000 000 токенів TOMMI створює ліквідний пул, активно купуючи токени TOMMI з інших адрес, щоб підробити обсяги торгів ліквідного пулу та залучити користувачів і нових ботів на блокчейні купувати токени TOMMI. Коли достатня кількість нових ботів попадає на гачок, зловмисник використовує адресу Rug Puller для виконання Rug Pull, Rug Puller накидає 38 739 354 токени TOMMI на ліквідний пул, обмінюючи їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з шкідливого схвалення (Approve) токену TOMMI, під час розгортання контракту токена TOMMI Rug Puller отримує права на схвалення ліквідного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу і проводити Rug Pull.
Процес Rug Pull
Зловмисник через одну з бірж поповнив рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх собі.
Deployer використовує 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримавши приблизно 0.387 LP токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов для залучення ботів для нових закупівель, деякі боти для нових закупівель оцінюють, чи існує ризик Rug Pull у нових токенах, які надходять до пулу, Deployer також встановлює власника контракту на адресу 0, все це робиться для обману антишахрайських програм ботів для нових закупівель).
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгівлі в пулі, що далі приваблює ботів для нових інвестицій (підстава для визначення цих адрес як маскувальних зловмисників: кошти на цих адресах походять з історичних адрес перекачування коштів групи Rug Pull).
Зловмисник запустив Rug Pull через адресу Rug Puller, безпосередньо вивівши 38,739,354 токенів з ліквіднісного пулу через бекдор токена, а потім використав ці токени для знищення пулу, отримавши приблизно 3.95 ETH.
Зловмисник переказує кошти, отримані від Rug Pull, на проміжну адресу.
Адреса переказу відправляє кошти на адресу зберігання коштів. З цього можна зробити висновок, що після завершення Rug Pull, Rug Puller відправить кошти на якусь адресу зберігання коштів. Адреса зберігання коштів є місцем збору коштів з багатьох випадків Rug Pull, зафіксованих моніторингом. Адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решту невелику частину коштів буде виведено через якусь біржу.
Rug Pull кодова задня дверцята
Атакуючи, хоча й намагалися через знищення LP Токенів довести зовнішньому світу, що вони не можуть здійснити Rug Pull, насправді атакуючі залишили в функції openTrading контракту TOMMI зловмисний бекдор для approve, який дозволяє при створенні ліквідного пулу ліквідному пулу надавати адресу Rug Puller дозвіл на передачу Токенів, що дозволяє адресі Rug Puller безпосередньо виводити Токени з ліквідного пулу.
Моделювання злочину
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує кошти через певну біржу: Атакуючий спочатку надає джерело фінансування для адреси розробника (Deployer) через певну біржу.
Deployer створює ліквідний пул та знищує LP токени: після створення токена Rug Pull, розробник відразу ж створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (як правило, кількість значно перевищує загальний обсяг токенів) для обміну на ETH у ліквідному пулі. У інших випадках Rug Puller також має можливість отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переміщує ETH, отримані від Rug Pull, на адресу зберігання коштів: Rug Puller перемістить отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу.
Вищезазначені характеристики широко присутні в захоплених випадках, що свідчить про те, що дії Rug Pull мають помітні характерні риси. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу зберігання коштів, що натякає на те, що ці на перший погляд незалежні випадки Rug Pull можуть бути пов'язані з однією групою шахраїв або навіть з одним і тим же шахрайським угрупуванням.
На основі цих характеристик було виділено модель поведінки Rug Pull та використано цю модель для сканування виявлених випадків з метою побудови можливого портрету шахрайської групи.
Злочинна група Rug Pull
адреса зберігання видобутку фондів
Як зазначалося раніше, випадки Rug Pull зазвичай в кінці збирають кошти на адресі зберігання. На основі цієї моделі було обрано кілька дуже активних адрес зберігання коштів, у яких чітко видно ознаки методів злочинної діяльності, для проведення детального аналізу.
У полі зору є 7 адрес для збереження коштів, пов'язаних з 1,124 випадками Rug Pull, які були успішно зафіксовані системою моніторингу атак на блокчейні. Після успішного здійснення шахрайства, банда Rug Pull збирає незаконно отримані кошти на цих адресах для збереження коштів. Ці адреси для збереження коштів розділяють накопичені кошти для створення нових токенів, маніпуляцій з ліквідністю та інших активностей для майбутніх нових схем Rug Pull. Крім того, невелика частина накопичених коштів конвертується через певну біржу або платформу миттєвого обміну.
За допомогою статистики витрат і доходів від усіх схем Rug Pull на кожній адресі збереження коштів були отримані відповідні дані.
У повній схемі Rug Pull групи Rug Pull зазвичай використовують одну адресу як розробника (Deployer) токена Rug Pull і отримують стартовий капітал через зняття в певній біржі для створення токена Rug Pull та відповідного ліквіднісного пулу. Коли вони залучають достатню кількість користувачів або ботів для нових токенів, які купують токен Rug Pull за допомогою ETH, група Rug Pull використовує іншу адресу як виконавця Rug Pull (Rug Puller) для операцій, переводячи отримані кошти на адресу збереження коштів.
У зазначеному процесі ETH, отриманий Deployer через біржу, або ETH, вкладений Deployer під час створення ліквідного пулу, вважається витратами на Rug Pull (конкретний спосіб обчислення залежить від поведінки Deployer). А ETH, що переводиться Rug Puller після завершення Rug Pull на адресу збереження коштів (або іншу проміжну адресу), вважається доходом від цього Rug Pull.
Потрібно зазначити, що банда Rug Pull під час здійснення шахрайства також активно використовує ETH для покупки створених ними Rug Pull токенів, щоб імітувати нормальну діяльність ліквідності, тим самим залучаючи боти для покупки новинок. Але ця частина витрат не була врахована в розрахунках, тому дані завищують фактичний прибуток банди Rug Pull, реальний прибуток буде відносно нижчим.
Прибуток за часткою займають перші три адреси: 0x1607, 0xDF1a та 0x2836. Адреса 0x1607 отримала найбільший прибуток, приблизно 2,668.17 ETH, що становить частку прибутку всіх адрес.