تحقيق متعمق في حالات سحب البساط، يكشف عن الفوضى في بيئة عملة إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس بلا معنى. على مدار الأشهر القليلة الماضية، قامت مجموعة أمنية بالتقاط عدد كبير من حالات معاملات السحب المفاجئ. ومن الجدير بالذكر أن العملات المعنية في هذه الحالات كانت جميعها عملات جديدة تم طرحها للتداول.
بعد ذلك، قامت الفريق بإجراء تحقيقات متعمقة في هذه الحالات من سحب البساط، واكتشفوا وجود عصابات منظمة وراءها، وقاموا بتلخيص الخصائص النمطية لهذه الاحتيالات. من خلال التحليل العميق لأساليب عمل هذه العصابات، اكتشفوا مسارًا محتملاً للترويج للاحتيال من قبل عصابات سحب البساط: مجموعات تيليجرام. تستغل هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية، وفي النهاية تحقق أرباحًا من خلال سحب البساط.
جمع الفريق معلومات عن دفع عملة هذه المجموعات على تيليجرام من نوفمبر 2023 حتى أوائل أغسطس 2024، واكتشف أن هناك 93,930 نوعًا جديدًا من العملات تم دفعها، منها 46,526 نوعًا متعلقة بعمليات Rug Pull، وهو ما يمثل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصائيات، فإن التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات التي تعرضت لعمليات Rug Pull بلغت 149,813.72 ايثر، مع تحقيق أرباح تصل إلى 282,699.96 ايثر بمعدل عائد مرتفع يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم حصة العملة الجديدة التي تم دفعها عبر مجموعات تيليجرام في شبكة إثيريوم الرئيسية، قام الفريق بجمع بيانات العملة الجديدة التي صدرت في نفس الفترة الزمنية على شبكة إثيريوم الرئيسية. تُظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 نوعًا جديدًا من العملات، منها العملات المدفوعة عبر مجموعات تيليجرام تشكل 89.99% من الشبكة الرئيسية. في المتوسط، يتم إنشاء حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد إجراء تحقيقات متعمقة، اكتشفوا أن الحقيقة مقلقة - حيث أن ما لا يقل عن 48,265 نوعًا من العملات متورطة في عمليات الاحتيال من نوع Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن كل عملتين جديدتين تقريبًا على شبكة إثيريوم الرئيسية تتعلق واحدة منهما بالاحتيال.
بالإضافة إلى ذلك، تم العثور على المزيد من حالات السحب rug pull في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني لكل من شبكة إثيريوم الرئيسية وكل نظام إصدار العملات الجديد في Web3 أسوأ بكثير مما كان متوقعًا. لذلك، كتب الفريق هذا التقرير البحثي على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي بالوقاية، والحفاظ على اليقظة في مواجهة الفخاخ المتزايدة، واتخاذ التدابير الوقائية اللازمة لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نتعرف على بعض المفاهيم الأساسية.
عملات ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين العقود الذكية المختلفة وتطبيقات اللامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والتحقق من الرصيد، وتفويض إدارة العملات لأطراف ثالثة. بفضل هذه البروتوكولات القياسية، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملاتهم الخاصة بناءً على معيار ERC-20، وجمع الأموال لتمويل مشاريعهم المالية من خلال بيع العملات مسبقًا. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساس العديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض العصابات الاحتيالية بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية برمجية، ثم إدراجها في البورصات اللامركزية، مما يؤدي إلى خداع المستخدمين للشراء.
حالات الاحتيال النموذجية لعملة سحب البساط
هنا، نستعير حالة احتيال لعملة Rug Pull لفهم أعمق لنمط تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب أن نوضح أن Rug Pull تشير إلى فعل احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة صممت خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات المذكورة في هذه المقالة، تُعرف أحيانًا باسم "عملة فخ العسل (Honey Pot)" أو "عملة الاحتيال (Exit Scam)"، ولكن في النص أدناه سنشير إليها بشكل موحد باسم عملة فخ العشب.
· حالة
المهاجمون (عصابة سحب البساط) قاموا بنشر عملة TOMMI باستخدام عنوان Deployer (0x4bAF)، ثم قاموا بإنشاء بركة سيولة باستخدام 1.5 من ايثر و100,000,000 من TOMMI، وشروا بنشاط عملة TOMMI من عناوين أخرى لتزوير حجم تداول بركة السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على الشبكة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يقوم المهاجمون باستخدام عنوان Rug Puller (0x43a9) لتنفيذ سحب البساط، حيث يقوم Rug Puller بسحب 38,739,354 من عملة TOMMI من بركة السيولة، مما يحقق حوالي 3.95 من ايثر. مصدر عملة Rug Puller يأتي من تفويض الموافقة الخبيثة لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI في وقت النشر إذن الموافقة لرجل سحب البساط، مما يسمح لرجل سحب البساط بسحب عملة TOMMI مباشرة من بركة السيولة ثم تنفيذ سحب البساط.
سحب السجادة أرسل الأموال المستلمة إلى عنوان الوسيط: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
سيتم إرسال الأموال من عنوان الترحيل إلى عنوان الاحتفاظ بالأموال: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· عملية سحب البساط
1. إعداد أموال الهجوم.
المهاجم قام بشحن 2.47309009ETH إلى Token Deployer (0x4bAF) من خلال بورصة مركزية كتمويل لبدء عملية Rug Pull.
2. نشر عملة Rug Pull تحتوي على ثغرة.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
3. إنشاء مجموعة السيولة الأولية.
قام المُنشئ باستخدام 1.5 ايثر وجميع العملات المُستخرجة مسبقًا لإنشاء حوض السيولة، وحصل على حوالي 0.387 عملة LP.
4. تدمير جميع كمية العملات المسبقة التعدين.
يتم إرسال جميع عملات LP بواسطة Token Deployer إلى عنوان 0 للتدمير، نظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (هذه أيضًا واحدة من الشروط اللازمة لجذب روبوتات الشراء الجديدة، حيث ستقوم بعض روبوتات الشراء الجديدة بتقييم ما إذا كانت العملات الجديدة في المسبح تحتوي على مخاطر Rug Pull، كما أن Deployer قد قام بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الشراء الجديدة).
5. حجم المعاملات المزيف.
المهاجمون يقومون بنشاط شراء عملة TOMMI من حوض السيولة عبر عناوين متعددة، مما يرفع حجم التداول في الحوض، ويجذب مزيدًا من الروبوتات للمشاركة في عمليات الطرح الأولي (الأساس في اعتبار هذه العناوين كمهاجمين هو أن الأموال المتعلقة بها تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بإطلاق Rug Pull من خلال عنوان Rug Puller (0x43A9)، وسحب مباشرة 38,739,354 عملة من حوض السيولة عبر ثغرة في العملة، ثم استخدم هذه العملات لتفريغ الحوض، مما أدى إلى سحب حوالي 3.95 ايثر.
قام المهاجم بإرسال الأموال التي تم الحصول عليها من عملية Rug Pull إلى عنوان الترانزيت 0xD921.
عنوان التحويل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى، عندما يكتمل سحب السجادة، سيقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو المكان الذي تمكنا من مراقبة تجميع الأموال للعديد من حالات سحب السجادة، حيث يقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال التي يتلقاها لبدء جولة جديدة من سحب السجادة، بينما يتم سحب كمية صغيرة من الأموال عبر تبادل مركزي. لقد اكتشفنا عدة عناوين احتفاظ بالأموال، 0x2836 هو واحد منها.
· كود ثغرة سحب السجادة
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم لا يستطيعون القيام بعملية سحب البساط من خلال تدمير رموز LP، إلا أن المهاجمين في الواقع تركوا ثغرة خبيثة في دالة openTrading لعقد عملة TOMMI، حيث ستسمح هذه الثغرة عند إنشاء بركة السيولة بتمكين عنوان ساحب البساط من الحصول على إذن لنقل الرموز، مما يتيح لعنوان ساحب البساط نقل الرموز مباشرة من بركة السيولة.
تتمثل تنفيذ دالة openTrading في الشكل 9، وتتمثل وظيفتها الرئيسية في إنشاء بركة سيولة جديدة، ولكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة (كما هو موضح في الشكل 10)، مما سمح لـ uniswapV2Pair بمنح الإذن لعنوان _chefAddress لتحويل كمية قدرها type(uint256) من العملة. حيث أن uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، ويتم تحديد _chefAddress عند نشر العقد (كما هو موضح في الشكل 11).
· نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم الموزع بالحصول على الأموال من خلال البورصات المركزية: يبدأ المهاجمون بتوفير مصدر تمويل لعنوان الموزع (Deployer) من خلال بورصات مركزية.
يقوم المطور بإنشاء حوض السيولة وإتلاف رموز LP: بعد إنشاء رموز Rug Pull، يقوم المطور على الفور بإنشاء حوض السيولة لها وإتلاف رموز LP لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من العملة لتبادلها في بركة السيولة للحصول على ETH: Rug Pull
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تقرير التحقيق: يقارب نصف نظام عملات إثيريوم الجديد المتعلق بالعملات عمليات سحب بساط، تم احتيال بمبلغ 800 مليون دولار خلال ستة أشهر.
تحقيق متعمق في حالات سحب البساط، يكشف عن الفوضى في بيئة عملة إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس بلا معنى. على مدار الأشهر القليلة الماضية، قامت مجموعة أمنية بالتقاط عدد كبير من حالات معاملات السحب المفاجئ. ومن الجدير بالذكر أن العملات المعنية في هذه الحالات كانت جميعها عملات جديدة تم طرحها للتداول.
بعد ذلك، قامت الفريق بإجراء تحقيقات متعمقة في هذه الحالات من سحب البساط، واكتشفوا وجود عصابات منظمة وراءها، وقاموا بتلخيص الخصائص النمطية لهذه الاحتيالات. من خلال التحليل العميق لأساليب عمل هذه العصابات، اكتشفوا مسارًا محتملاً للترويج للاحتيال من قبل عصابات سحب البساط: مجموعات تيليجرام. تستغل هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية، وفي النهاية تحقق أرباحًا من خلال سحب البساط.
جمع الفريق معلومات عن دفع عملة هذه المجموعات على تيليجرام من نوفمبر 2023 حتى أوائل أغسطس 2024، واكتشف أن هناك 93,930 نوعًا جديدًا من العملات تم دفعها، منها 46,526 نوعًا متعلقة بعمليات Rug Pull، وهو ما يمثل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصائيات، فإن التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات التي تعرضت لعمليات Rug Pull بلغت 149,813.72 ايثر، مع تحقيق أرباح تصل إلى 282,699.96 ايثر بمعدل عائد مرتفع يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم حصة العملة الجديدة التي تم دفعها عبر مجموعات تيليجرام في شبكة إثيريوم الرئيسية، قام الفريق بجمع بيانات العملة الجديدة التي صدرت في نفس الفترة الزمنية على شبكة إثيريوم الرئيسية. تُظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 نوعًا جديدًا من العملات، منها العملات المدفوعة عبر مجموعات تيليجرام تشكل 89.99% من الشبكة الرئيسية. في المتوسط، يتم إنشاء حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد إجراء تحقيقات متعمقة، اكتشفوا أن الحقيقة مقلقة - حيث أن ما لا يقل عن 48,265 نوعًا من العملات متورطة في عمليات الاحتيال من نوع Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن كل عملتين جديدتين تقريبًا على شبكة إثيريوم الرئيسية تتعلق واحدة منهما بالاحتيال.
بالإضافة إلى ذلك، تم العثور على المزيد من حالات السحب rug pull في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني لكل من شبكة إثيريوم الرئيسية وكل نظام إصدار العملات الجديد في Web3 أسوأ بكثير مما كان متوقعًا. لذلك، كتب الفريق هذا التقرير البحثي على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي بالوقاية، والحفاظ على اليقظة في مواجهة الفخاخ المتزايدة، واتخاذ التدابير الوقائية اللازمة لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نتعرف على بعض المفاهيم الأساسية.
عملات ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين العقود الذكية المختلفة وتطبيقات اللامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، والتحقق من الرصيد، وتفويض إدارة العملات لأطراف ثالثة. بفضل هذه البروتوكولات القياسية، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملاتهم الخاصة بناءً على معيار ERC-20، وجمع الأموال لتمويل مشاريعهم المالية من خلال بيع العملات مسبقًا. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساس العديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض العصابات الاحتيالية بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية برمجية، ثم إدراجها في البورصات اللامركزية، مما يؤدي إلى خداع المستخدمين للشراء.
حالات الاحتيال النموذجية لعملة سحب البساط
هنا، نستعير حالة احتيال لعملة Rug Pull لفهم أعمق لنمط تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب أن نوضح أن Rug Pull تشير إلى فعل احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة صممت خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات المذكورة في هذه المقالة، تُعرف أحيانًا باسم "عملة فخ العسل (Honey Pot)" أو "عملة الاحتيال (Exit Scam)"، ولكن في النص أدناه سنشير إليها بشكل موحد باسم عملة فخ العشب.
· حالة
المهاجمون (عصابة سحب البساط) قاموا بنشر عملة TOMMI باستخدام عنوان Deployer (0x4bAF)، ثم قاموا بإنشاء بركة سيولة باستخدام 1.5 من ايثر و100,000,000 من TOMMI، وشروا بنشاط عملة TOMMI من عناوين أخرى لتزوير حجم تداول بركة السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على الشبكة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يقوم المهاجمون باستخدام عنوان Rug Puller (0x43a9) لتنفيذ سحب البساط، حيث يقوم Rug Puller بسحب 38,739,354 من عملة TOMMI من بركة السيولة، مما يحقق حوالي 3.95 من ايثر. مصدر عملة Rug Puller يأتي من تفويض الموافقة الخبيثة لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI في وقت النشر إذن الموافقة لرجل سحب البساط، مما يسمح لرجل سحب البساط بسحب عملة TOMMI مباشرة من بركة السيولة ثم تنفيذ سحب البساط.
· عنوان ذات صلة
· معاملات ذات صلة
· عملية سحب البساط
1. إعداد أموال الهجوم.
المهاجم قام بشحن 2.47309009ETH إلى Token Deployer (0x4bAF) من خلال بورصة مركزية كتمويل لبدء عملية Rug Pull.
2. نشر عملة Rug Pull تحتوي على ثغرة.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
3. إنشاء مجموعة السيولة الأولية.
قام المُنشئ باستخدام 1.5 ايثر وجميع العملات المُستخرجة مسبقًا لإنشاء حوض السيولة، وحصل على حوالي 0.387 عملة LP.
4. تدمير جميع كمية العملات المسبقة التعدين.
يتم إرسال جميع عملات LP بواسطة Token Deployer إلى عنوان 0 للتدمير، نظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (هذه أيضًا واحدة من الشروط اللازمة لجذب روبوتات الشراء الجديدة، حيث ستقوم بعض روبوتات الشراء الجديدة بتقييم ما إذا كانت العملات الجديدة في المسبح تحتوي على مخاطر Rug Pull، كما أن Deployer قد قام بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الشراء الجديدة).
5. حجم المعاملات المزيف.
المهاجمون يقومون بنشاط شراء عملة TOMMI من حوض السيولة عبر عناوين متعددة، مما يرفع حجم التداول في الحوض، ويجذب مزيدًا من الروبوتات للمشاركة في عمليات الطرح الأولي (الأساس في اعتبار هذه العناوين كمهاجمين هو أن الأموال المتعلقة بها تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بإطلاق Rug Pull من خلال عنوان Rug Puller (0x43A9)، وسحب مباشرة 38,739,354 عملة من حوض السيولة عبر ثغرة في العملة، ثم استخدم هذه العملات لتفريغ الحوض، مما أدى إلى سحب حوالي 3.95 ايثر.
قام المهاجم بإرسال الأموال التي تم الحصول عليها من عملية Rug Pull إلى عنوان الترانزيت 0xD921.
عنوان التحويل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى، عندما يكتمل سحب السجادة، سيقوم ساحب السجادة بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو المكان الذي تمكنا من مراقبة تجميع الأموال للعديد من حالات سحب السجادة، حيث يقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال التي يتلقاها لبدء جولة جديدة من سحب السجادة، بينما يتم سحب كمية صغيرة من الأموال عبر تبادل مركزي. لقد اكتشفنا عدة عناوين احتفاظ بالأموال، 0x2836 هو واحد منها.
· كود ثغرة سحب السجادة
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم لا يستطيعون القيام بعملية سحب البساط من خلال تدمير رموز LP، إلا أن المهاجمين في الواقع تركوا ثغرة خبيثة في دالة openTrading لعقد عملة TOMMI، حيث ستسمح هذه الثغرة عند إنشاء بركة السيولة بتمكين عنوان ساحب البساط من الحصول على إذن لنقل الرموز، مما يتيح لعنوان ساحب البساط نقل الرموز مباشرة من بركة السيولة.
تتمثل تنفيذ دالة openTrading في الشكل 9، وتتمثل وظيفتها الرئيسية في إنشاء بركة سيولة جديدة، ولكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة (كما هو موضح في الشكل 10)، مما سمح لـ uniswapV2Pair بمنح الإذن لعنوان _chefAddress لتحويل كمية قدرها type(uint256) من العملة. حيث أن uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، ويتم تحديد _chefAddress عند نشر العقد (كما هو موضح في الشكل 11).
· نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم الموزع بالحصول على الأموال من خلال البورصات المركزية: يبدأ المهاجمون بتوفير مصدر تمويل لعنوان الموزع (Deployer) من خلال بورصات مركزية.
يقوم المطور بإنشاء حوض السيولة وإتلاف رموز LP: بعد إنشاء رموز Rug Pull، يقوم المطور على الفور بإنشاء حوض السيولة لها وإتلاف رموز LP لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من العملة لتبادلها في بركة السيولة للحصول على ETH: Rug Pull