- الموضوع
7k درجة الشعبية
10k درجة الشعبية
34k درجة الشعبية
30k درجة الشعبية
362 درجة الشعبية
97k درجة الشعبية
27k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
15k درجة الشعبية
- تثبيت
7k درجة الشعبية
10k درجة الشعبية
34k درجة الشعبية
30k درجة الشعبية
362 درجة الشعبية
97k درجة الشعبية
27k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
15k درجة الشعبية
إثيريوم عملة生态暗流涌动:49.53%新币涉嫌Rug Pull诈骗
كشف أسرار فوضى إثيريوم عملة البيئة: تحقيق متعمق في حالات سحب البساط
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا أساس. في الأشهر القليلة الماضية، قامت فرق الأمان بالتقاط عدد كبير من حالات عمليات السحب rug pull. ومن الجدير بالذكر أن جميع العملات التي تم تضمينها في هذه الحالات هي عملات جديدة تم إدراجها للتو على السلسلة.
بعد إجراء تحقيقات متعمقة في هذه الحالات من سحب السجادة، تم اكتشاف وجود عصابات منظمة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل أساليب عمل هذه العصابات، تم اكتشاف وسيلة محتملة للترويج للاحتيال من قبل عصابات سحب السجادة: مجموعات Telegram. تستخدم هذه العصابات ميزة "تتبع العملة الجديدة" في المجموعة لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الأرباح من خلال سحب السجادة.
تظهر الإحصائيات أنه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، قامت هذه المجموعات على Telegram بدفع 93,930 نوعًا جديدًا من العملات، منها 46,526 عملة تتعلق بعمليات Rug Pull، بنسبة تصل إلى 49.53%. بلغت التكلفة الإجمالية للاستثمار من قبل العصابات وراء هذه العملات التي تتعلق بعمليات Rug Pull 149,813.72 ايثر، وحققت ربحًا قدره 282,699.96 ايثر بمعدل عائد بلغ 188.7%، أي ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها من خلال مجموعات تيليجرام في شبكة إثيريوم الرئيسية، تم إحصاء بيانات العملات الجديدة الصادرة في نفس الفترة الزمنية على شبكة إثيريوم الرئيسية. تُظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، منها 89.99% من العملات التي تم دفعها من خلال مجموعات تيليجرام. يولد في المتوسط حوالي 370 عملة جديدة يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيق متعمق، وُجد أن ما لا يقل عن 48,265 عملة تتعلق بعمليات احتيال من نوع Rug Pull، مما يشكل نسبة تصل إلى 48.14%. بعبارة أخرى، تقريبًا واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية تتعلق بالاحتيال.
علاوة على ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات blockchain الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا العملات الجديدة على Web3 بأكملها أكثر خطورة مما كان متوقعًا، وليس فقط شبكة Ethereum الرئيسية. آمل أن يساعد هذا التقرير جميع أعضاء Web3 على تعزيز الوعي بالوقاية، والحفاظ على اليقظة عند مواجهة الاحتيالات المتكررة، واتخاذ التدابير الوقائية اللازمة لحماية أصولهم بشكل جيد.
رمز ERC-20 (Token)
قبل أن نبدأ في هذا التقرير رسميًا، دعونا نفهم بعض المفاهيم الأساسية.
عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على блокчейн حاليًا، حيث تحدد مجموعة من المواصفات التي تجعل العملات قابلة للتشغيل المتبادل بين العقود الذكية المختلفة وتطبيقات اللامركزية dApp(. يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، واستعلام الرصيد، وتفويض طرف ثالث لإدارة العملة، وما إلى ذلك. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتها الخاصة بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريع مالية مختلفة من خلال بيع مسبق للعملات. وبفضل استخدام عملات ERC-20 على نطاق واسع، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها جميعًا عملات من نوع ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في التعليمات البرمجية، ثم إدراجها في البورصات اللامركزية، مما يحث المستخدمين على شرائها.
![تحقيق عميق في حالات سحب البساط، كشف الفوضى في نظام عملات إثيريوم])https://img-cdn.gateio.im/webp-social/moments-28cc464cbdea7aa32a0d954c27b1f894.webp(
حالات الاحتيال النموذجية لعملة سحب البساط
هنا، نستعير مثالاً لعملة من نوع Rug Pull للاحتيال، لفهم عميق لنمط تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull يشير إلى سلوك احتيالي يقوم به فريق المشروع في مشاريع التمويل اللامركزي، حيث يسحبون الأموال فجأة أو يتخلون عن المشروع، مما يتسبب في خسائر فادحة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملة Rug Pull المذكورة في هذه المقالة أحيانًا ب"عملة المصيدة" أو "عملة احتيال الخروج"، ولكن في السطور التالية سنشير إليها بشكل موحد باسم عملة Rug Pull.
) حالة
المهاجم ### عصابة Rug Pull ( استخدم عنوان Deployer ) 0x4bAF ( لنشر عملة TOMMI، ثم استخدم 1.5 من ETH و 100,000,000 من TOMMI لإنشاء تجمع السيولة، ومن خلال عناوين أخرى قام بشراء عملة TOMMI بشكل نشط لتزوير حجم تداول تجمع السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، استخدم المهاجم عنوان Rug Puller ) 0x43a9( لتنفيذ Rug Pull، حيث قام Rug Puller بإغراق تجمع السيولة ب 38,739,354 من عملة TOMMI، واستبدلها بحوالي 3.95 من ETH. مصدر عملات Rug Puller جاء من تفويض خبيث للـ Approve من عقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحية approve لتجمع السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من تجمع السيولة ثم تنفيذ Rug Pull.
) عنوان ذو صلة
) معاملات ذات صلة
) عملية سحب السجادة
المهاجمون من خلال أحد البورصات، قاموا بشحن 2.47309009ETH إلى Token Deployer###0x4bAF( كأموال بدء لعملية Rug Pull.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
قام Deployer بإنشاء حوض السيولة باستخدام 1.5 ايثر وجميع العملات المسبقة التعدين، وحصل على حوالي 0.387 من رموز LP.
يتم إرسال جميع رموز LP بواسطة Token Deployer إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. ) وهذا أيضًا أحد الشروط الضرورية لجذب روبوتات الطرح الجديدة، حيث ستقوم بعض روبوتات الطرح الجديدة بتقييم ما إذا كانت الرموز الجديدة التي تم إدخالها في المسبح تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، وذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الطرح الجديدة (.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من تجمع السيولة، مما يرفع حجم التداول في التجمع، ويجذب المزيد من روبوتات التداول للدخول. ) لتحديد هذه العناوين كعناوين مزيفة للمهاجمين: الأموال المتعلقة بهذه العناوين تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull. (.
قام المهاجم بتنفيذ عملية السحب من خلال عنوان Rug Puller )0x43A9(، وسحب مباشرة من مجمع السيولة 38,739,354 عملة عبر ثغرة في الرمز، ثم استخدم هذه العملات لتفريغ المجمّع، واستخراج حوالي 3.95 من ايثر.
المهاجم يرسل الأموال الناتجة عن سحب البساط إلى عنوان التحويل 0xD921.
عنوان التحويل 0xD921 يرسل الأموال إلى عنوان احتفاظ الأموال 0x2836. من هنا يمكننا أن نرى، عندما تكتمل عملية سحب السجادة، سيقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ الأموال معين. عنوان احتفاظ الأموال هو المكان الذي رصدناه لتجمع الأموال في العديد من حالات سحب السجادة، حيث يقوم عنوان احتفاظ الأموال بتقسيم معظم الأموال المستلمة للبدء في جولة جديدة من سحب السجادة، بينما سيتم سحب كمية صغيرة من الأموال عبر إحدى البورصات. لقد اكتشفنا عدة عناوين احتفاظ الأموال، 0x2836 هو أحدها.
) كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا عن طريق تدمير LP عملة إثبات أنهم لا يستطيعون تنفيذ Rug Pull، إلا أن المهاجمين تركوا فعليًا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء بركة السيولة بتمكين بركة السيولة من منح إذن نقل العملة إلى عنوان Rug Puller، مما يسمح لعنوان Rug Puller بسحب العملة مباشرة من بركة السيولة.
تنفيذ دالة openTrading كما يلي، حيث أن الوظيفة الرئيسية لها هي إنشاء بركة سيولة جديدة، لكن المهاجم قام باستدعاء دالة الباب الخلفي onInit داخل تلك الدالة، مما سمح لـ uniswapV2Pair بمنح الإذن بتحويل كمية من العملة إلى _chefAddress تساوي type###uint256(. حيث أن uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، و _chefAddress يتم تحديده عند نشر العقد.
![تحقيق عميق في حالات سحب البساط، كشف الفوضى في بيئة عملات إيثريوم])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(
) نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم Deployer بالحصول على الأموال من خلال إحدى البورصات: يبدأ المهاجمون بتوفير مصدر الأموال لعنوان Deployer### من خلال إحدى البورصات.
يقوم المُنشئ بإنشاء حوض السيولة وتدمير رموز LP: بعد أن ينشئ المُنشئ عملة Rug Pull، سيقوم على الفور بإنشاء حوض السيولة لها، وتدمير رموز LP، لزيادة مصداقية المشروع، وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من العملة لتبادل ETH في حوض السيولة: عنوان Rug Pull ( Rug Puller ) يستخدم كمية كبيرة من العملة ( عادة تفوق بكثير إجمالي عرض العملة ) لتبادل ETH في حوض السيولة. في حالات أخرى، يوجد أيضاً Rug Puller الذي يحصل على ETH من الحوض عن طريق إزالة السيولة.
سيتم تحويل ETH الذي حصل عليه Rug Puller إلى عنوان احتفاظ الأموال: سيقوم Rug Puller بنقل ETH الذي حصل عليه إلى عنوان احتفاظ الأموال، وأحيانًا يتم ذلك من خلال عنوان وسيط.
توجد هذه الخصائص بشكل شائع في الحالات التي قمنا بالتقاطها، مما يشير إلى أن سلوك سحب السجادة لديه ميزات نمطية واضحة. بالإضافة إلى ذلك، بعد الانتهاء من سحب السجادة، يتم عادةً تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات المستقلة الظاهرة من سحب السجادة قد تنطوي على نفس المجموعة أو حتى نفس العصابة.
استنادًا إلى هذه الميزات، قمنا باستخراج نمط سلوك لعملية سحب البساط، واستخدمنا هذا النمط لمسح الحالات التي تم رصدها، على أمل بناء صورة محتملة لعصابات الاحتيال.
عصابة سحب السجادة
( عنوان احتفاظ أموال التعدين
كما ذكر سابقًا، فإن حالات سحب السجادة عادة ما تحدث في معظم