Web3代币生态乱象调查:揭秘Rug Pull诈骗团伙

简介

Web3世界中新代币层出不穷,但你是否想过每天究竟有多少新代币在发行?这些新代币都安全吗?

这些疑问并非无端而起。近几个月来,有安全团队捕获了大量涉及新上线代币的Rug Pull案例。深入调查发现,这些案例背后存在组织化的诈骗团伙,并呈现出模式化特征。

分析显示,这些团伙可能通过Telegram群组中的"新代币追踪"功能来吸引用户购买诈骗代币。统计发现,从2023年11月至2024年8月初,这些群组共推送了93,930种新代币,其中涉及Rug Pull的有46,526种,占比高达49.53%。这些Rug Pull团伙投入成本约15万ETH,以188.7%的回报率获利近28.3万ETH,折合约8亿美元。

同期以太坊主网上共发行100,260种新代币,通过Telegram群组推送的占89.99%。平均每天约有370种新代币诞生,远超预期。深入调查发现,其中至少48,265种代币涉及Rug Pull诈骗,占比高达48.14%。换言之,以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

此外,其他区块链网络中也发现了更多Rug Pull案例。这意味着整个Web3新发代币生态的安全状况比预期更加严峻。本报告旨在提升Web3用户的防范意识,呼吁各方共同维护区块链生态安全。

ERC-20 代币

ERC-20是区块链上最常见的代币标准之一,它定义了一组规范,使代币可以在不同智能合约和去中心化应用间互操作。ERC-20标准规定了代币的基本功能,如转账、查询余额、授权第三方管理等。这一标准化协议简化了代币的创建和使用。

任何个人或组织都可以基于ERC-20标准发行代币,并通过预售为项目筹集资金。USDT、PEPE、DOGE等都属于ERC-20代币,用户可以通过去中心化交易所购买。然而,某些诈骗团伙也可能发行带有后门的恶意ERC-20代币,将其上架到去中心化交易所,诱导用户购买。

Rug Pull代币的典型诈骗案例

Rug Pull是指项目方突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。Rug Pull代币专门为实施这种诈骗而发行。

案例

攻击者用Deployer地址部署TOMMI代币,然后用1.5个ETH和1亿个TOMMI创建流动性池,并通过其他地址主动购买TOMMI代币来伪造交易量以吸引用户。当有一定数量的打新机器人上当后,攻击者用Rug Puller地址执行Rug Pull,用3,873.9万TOMMI代币砸池子,兑换出约3.95个ETH。Rug Puller的代币来源于TOMMI代币合约的恶意授权,使其可以直接从流动性池转出TOMMI代币进行Rug Pull。

Rug Pull过程

1. 攻击者通过交易所向Deployer充值2.47 ETH作为启动资金。

2. Deployer创建TOMMI代币,预挖1亿代币并分配给自身。

3. Deployer用1.5个ETH和所有代币创建流动性池,获得约0.387个LP代币。

4. Deployer将LP代币销毁,失去Rug Pull能力。这是为了吸引打新机器人入场。

5. 攻击者用多个地址主动购买TOMMI代币,炒高池子交易量。

6. Rug Puller从流动性池转出3,873.9万TOMMI代币,然后用这些代币砸池子,套出约3.95个ETH。

7. 攻击者将所得资金发送至中转地址,再转至资金留存地址。

Rug Pull代码后门

TOMMI代币合约在创建流动性池时会让池子向Rug Puller地址授予代币转移权限,使Rug Puller可以直接从池子转走代币。

作案模式化

1. Deployer通过交易所获取资金。
2. Deployer创建流动性池并销毁LP代币。
3. Rug Puller用大量代币兑换池中ETH。
4. Rug Puller将获得的ETH转移至资金留存地址。

这些特点普遍存在于捕获的案例中,表明Rug Pull行为有明显的模式化特征。资金通常会汇集到一个资金留存地址,暗示这些案例背后可能涉及同一诈骗团伙。

Rug Pull作案团伙

资金留存地址

分析发现7个高度活跃的资金留存地址,关联1,124个Rug Pull案例。这些地址将沉淀资金拆分用于新的Rug Pull骗局,小部分则通过交易所套现。

统计显示,这些地址投入成本约15万ETH,以188.7%的回报率获利近28.3万ETH,折合约8亿美元。利润占比最高的三个地址分别是0x1607、0xDF1a及0x2836。

资金留存地址间关联

通过分析资金流向,可将7个资金留存地址划分为3个集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

集合内部存在直接转账关系,但集合间无直接转账。然而,这3个集合都通过同样的基础设施合约拆分ETH进行Rug Pull操作,暗示它们可能属于同一团伙。

共用基础设施

两个主要的基础设施地址:0x1d39和0x6348。0x1d39主要用于拆分转账和购买Rug Pull代币,0x6348功能类似。

统计显示,资金留存地址通过这些基础设施总计拆分3,616次资金,金额达9,369.98 ETH。大多数资金留存地址仅通过基础设施进行拆分转账,购买Rug Pull代币的操作由接收拆分资金的地址完成。

作案资金来源

分析显示,在1,124个Rug Pull案例中,95.11%的资金来源于中心化交易所热钱包。Rug Pull团伙往往同时从多个交易所获取作案资金,以增加追踪难度。

Rug Pull代币推广渠道

主要通过Twitter和Telegram群组推广。这些群组由第三方机构维护,专门面向打新者推送新上线代币。

Twitter广告

Rug Pull团伙利用第三方机构的Twitter账户推送广告,吸引受害者。

Telegram群组广告

链上狙击机器人团队维护的Telegram群组推送新代币信息,并提供便捷购买入口。人工抽检发现,大比例推送的代币为Rug Pull代币。

以太坊代币生态分析

Telegram群组推送代币分析

2023年10月至2024年8月期间,Telegram群组共推送93,930个代币。根据Rug Pull检测规则,发现46,526个Rug Pull代币,占比49.53%。

89.84%的Rug Pull代币活跃时间小于72小时,55.07%小于3小时。这表明Rug Pull团伙作案效率高,风格"短平快"。

以太坊主网代币分析

同期以太坊主网发行100,260个新代币,其中48,265个为Rug Pull代币,占比48.14%。

Telegram群组推送的代币占主网代币的89.99%,且Rug Pull检测结果高度一致。这意味着Telegram群组推送代币的分析基本反映了以太坊主网的代币生态现状。

77.82%的主网代币生命周期小于72小时,表明实际的Rug Pull代币数量可能更多,或存在其他诈骗形式。

思考

以太坊主网新发行代币中,Rug Pull代币占比高达48.14%,反映了生态的混乱。其他区块链网络的情况可能更糟。即使除去Rug Pull代币,以太坊每天仍有约140个新代币上线,远超合理范围。

关键问题包括:

1. 如何快速确定Rug Pull团伙数量及联系?
2. 如何准确区分受害人和攻击者地址?
3. 如何将Rug Pull检测前移至事中或事前?
4. Rug Pull团伙的具体获利策略是什么?
5. 除Twitter和Telegram外,还有哪些推广渠道?

建议

对想参与打新的投资者,建议:

1. 尽量通过知名中心化交易所购买新代币。
2. 通过去中心化交易所购买时,认准官网及链上地址。
3. 购买前核实项目是否有官网和活跃社区。
4. 避免购买创建时间低于3天的代币。
5. 使用第三方安全机构的代币扫描服务。

呼吁

1. 呼吁各大交易所对恶意资金流采取更严格监管。
2. 呼吁第三方服务提供商加强产品安全审查。
3. 呼吁受害者积极