- Rubrique
7k Popularité
10k Popularité
34k Popularité
30k Popularité
362 Popularité
97k Popularité
27k Popularité
27k Popularité
7k Popularité
15k Popularité
- Épingler
7k Popularité
10k Popularité
34k Popularité
30k Popularité
362 Popularité
97k Popularité
27k Popularité
27k Popularité
7k Popularité
15k Popularité
Écosystème des jetons Ethereum en pleine tourmente : 49,53 % des nouveaux jetons soupçonnés de fraude au Rug Pull
Dévoiler les anomalies de l'écosystème des jetons Ethereum : enquête approfondie sur les cas de Rug Pull
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces interrogations ne sont pas infondées. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en chaîne.
Après une enquête approfondie sur ces cas de Rug Pull, il a été découvert qu'il existe des gangs organisés derrière ces actes criminels, et les caractéristiques schématiques de ces escroqueries ont été résumées. En analysant les méthodes d'opération de ces gangs, une possible voie de promotion de l'escroquerie des gangs de Rug Pull a été identifiée : les groupes Telegram. Ces gangs exploitent la fonctionnalité "suivi des nouveaux jetons" dans les groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des bénéfices grâce au Rug Pull.
Les statistiques montrent qu'entre novembre 2023 et début août 2024, ces groupes Telegram ont promu un total de 93,930 nouveaux jetons, parmi lesquels 46,526 étaient des jetons impliqués dans des Rug Pull, représentant un taux élevé de 49,53 %. Le coût total investi par les gangs derrière ces jetons Rug Pull s'élève à 149,813.72 ETH, avec un taux de retour atteignant 188.7 %, générant un profit de 282,699.96 ETH, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons promus par les groupes Telegram sur le réseau principal Ethereum, des données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période ont été compilées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % proviennent de promotions par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant de loin les attentes raisonnables. Après une enquête approfondie, il a été découvert qu'au moins 48 265 jetons sont impliqués dans des arnaques de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une fraude.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux blockchain. Cela signifie que non seulement la chaîne principale d'Ethereum, mais que l'ensemble de l'écosystème des nouveaux jetons Web3 est beaucoup plus préoccupant que prévu en matière de sécurité. J'espère que ce rapport pourra aider tous les membres de Web3 à renforcer leur vigilance et à rester alertes face aux escroqueries incessantes, tout en prenant des mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20 ( Token )
Avant de commencer officiellement ce rapport, comprenons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain, définissant un ensemble de spécifications qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctionnalités de base des jetons, telles que le transfert, la vérification des soldes et l'autorisation de tiers à gérer les jetons. Grâce à ce protocole standardisé, les développeurs peuvent plus facilement émettre et gérer des jetons, simplifiant ainsi la création et l'utilisation des jetons. En pratique, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds de démarrage pour divers projets financiers en pré-vendant des jetons. C'est justement en raison de l'utilisation répandue des jetons ERC-20 qu'ils constituent la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons sont des jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes d'escrocs pourraient également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les listant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Cas typique de fraude par rug pull sur les jetons
Ici, nous empruntons un exemple de fraude avec un jeton Rug Pull pour approfondir notre compréhension du modèle opérationnel des escroqueries de jetons malveillants. Il convient tout d'abord de préciser que Rug Pull fait référence à un acte frauduleux où l'équipe de projet retire soudainement des fonds ou abandonne le projet dans le cadre de projets de finance décentralisée, entraînant des pertes énormes pour les investisseurs. Les jetons Rug Pull, quant à eux, sont des jetons émis spécifiquement pour mettre en œuvre ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons de piège à miel" ou "jetons de fraude de sortie", mais dans ce qui suit, nous les appellerons uniformément jetons Rug Pull.
cas
Les attaquants ( de la bande Rug Pull ) ont déployé le jeton TOMMI avec l'adresse Deployer ( 0x4bAF ), puis ont créé une piscine de liquidité avec 1,5 ETH et 100 000 000 jetons TOMMI, et ont acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume de transactions de la piscine de liquidité afin d'attirer les utilisateurs et les robots de lancement sur la chaîne à acheter des jetons TOMMI. Lorsqu'un certain nombre de robots de lancement se sont fait avoir, les attaquants ont exécuté le Rug Pull avec l'adresse Rug Puller ( 0x43a9), le Rug Puller a écrasé la piscine de liquidité avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. La source des jetons du Rug Puller provient de l'autorisation malveillante d'Approve du contrat de jeton TOMMI, le contrat de jeton TOMMI accorde au Rug Puller les droits d'approbation de la piscine de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI de la piscine de liquidité pour ensuite procéder au Rug Pull.
adresse associée
transactions associées
Processus de Rug Pull
Des attaquants ont rechargé 2.47309009 Éther vers Token Deployer(0x4bAF) via une certaine bourse comme fonds de démarrage pour un Rug Pull.
Le Deployer crée le jeton TOMMI, pré-mine 100,000,000 jetons et les attribue à lui-même.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Le Déployeur de Jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction de Mint dans le contrat TOMMI, le Déployeur de Jetons a théoriquement perdu la capacité de Rug Pull à ce stade. ( c'est également l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés sont susceptibles d'avoir un risque de Rug Pull. Le Déployeur a également défini le propriétaire du contrat à l'adresse 0, afin de tromper les programmes anti-fraude des robots de lancement ).
Des attaquants achètent activement des jetons TOMMI à partir de plusieurs adresses dans la piscine de liquidité, augmentant ainsi le volume des transactions de la piscine, ce qui attire davantage de bots de nouvelles entrées. ( pour déterminer que ces adresses sont des déguisements d'attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull ).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), retirant directement 38 739 354 jetons de la liquidité grâce à une porte dérobée du token, puis a utilisé ces jetons pour faire chuter la piscine, tirant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à l'adresse intermédiaire 0xD921.
L'adresse de transit 0xD921 envoie des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir qu'une fois le Rug Pull terminé, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds pour de nombreux cas de Rug Pull que nous avons surveillés, cette adresse de conservation des fonds divisera la majeure partie des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite quantité des fonds sera retirée via une certaine bourse. Nous avons découvert plusieurs adresses de conservation des fonds, 0x2836 en est une.
Code de porte dérobée de Rug Pull
Bien que l'attaquant ait essayé de prouver au monde extérieur qu'il ne pouvait pas effectuer un Rug Pull en détruisant des LP jetons, en réalité, l'attaquant a laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI. Cette porte dérobée permettra, lors de la création du pool de liquidités, d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidités.
L'implémentation de la fonction openTrading est la suivante, sa principale fonction est de créer une nouvelle piscine de liquidité, mais l'attaquant a appelé la fonction porte dérobée onInit à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver le transfert de jetons d'un montant de type (uint256) à l'adresse _chefAddress. Parmi eux, uniswapV2Pair est l'adresse de la piscine de liquidité, _chefAddress est l'adresse du Rug Puller, et _chefAddress est spécifié lors du déploiement du contrat.
Mode opératoire
En analysant le cas de TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds par le biais d'un échange : l'attaquant fournit d'abord une source de financement à l'adresse du Deployer ( via un échange.
Le Deployer crée un pool de liquidités et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur créera immédiatement un pool de liquidités pour celui-ci et détruira les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans la piscine de liquidité : adresse Rug Pull ) Rug Puller ( utilise une grande quantité de jetons ) généralement un montant bien supérieur à l'offre totale de jetons ( pour échanger contre de l'ETH dans la piscine de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH de la piscine en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par Rug Pull à l'adresse de conservation des fonds : le Rug Puller transférera l'ETH acquis à l'adresse de conservation des fonds, parfois par l'intermédiaire d'une adresse intermédiaire.
Ces caractéristiques sont généralement présentes dans les cas que nous avons capturés, ce qui indique que les comportements de Rug Pull présentent des caractéristiques de modélisation évidentes. De plus, après avoir effectué un Rug Pull, les fonds sont généralement regroupés sur une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, nous avons extrait un modèle de comportement de Rug Pull et avons utilisé ce modèle pour scanner les cas détectés, dans le but de construire un portrait possible des groupes de fraude.
Gang de Rug Pull
) Adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull se produisent généralement au plus