Enquête approfondie sur les cas de Rug Pull, dévoilant le désordre de l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, une équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont, sans exception, de nouveaux jetons récemment mis en chaîne.
Ensuite, l'équipe a mené une enquête approfondie sur ces cas de Rug Pull, découvrant qu'il existait des groupes organisés derrière ces actes criminels, et a résumé les caractéristiques schématiques de ces escroqueries. En analysant en profondeur les méthodes de ces groupes, ils ont identifié une possible méthode de promotion des escroqueries par les gangs de Rug Pull : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des profits grâce au Rug Pull.
L'équipe a comptabilisé les informations sur les jetons diffusées dans ces groupes Telegram entre novembre 2023 et début août 2024, découvrant un total de 93 930 nouveaux jetons, dont 46 526 sont liés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût d'investissement cumulé des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, réalisant un profit de 282 699,96 ETH avec un taux de retour atteignant 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, l'équipe a compilé des données sur les nouveaux jetons émis sur le réseau principal Ethereum durant la même période. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % étaient des jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, bien au-delà des attentes raisonnables. Après une enquête approfondie, ils ont découvert une vérité troublante : au moins 48 265 jetons étaient impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
En outre, ils ont également découvert d'autres cas de Rug Pull sur d'autres réseaux blockchain. Cela signifie que non seulement la chaîne principale Ethereum, mais l'ensemble de l'écosystème des nouveaux jetons Web3 est en réalité beaucoup plus précaire que prévu. Par conséquent, l'équipe a rédigé ce rapport d'enquête dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation aux risques, à rester vigilants face aux escroqueries toujours plus nombreuses et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer ce rapport, nous allons d'abord comprendre quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de normes qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctionnalités de base des jetons, telles que les transferts, la consultation de solde et l'autorisation de tiers pour gérer les jetons. Grâce à ce protocole standardisé, les développeurs peuvent plus facilement émettre et gérer des jetons, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds de démarrage pour divers projets financiers via une prévente de jetons. C'est précisément en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraude peuvent également émettre des jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés et inciter les utilisateurs à les acheter.
Cas typiques d'escroquerie avec des jetons Rug Pull
Ici, nous empruntons un cas de fraude de jeton Rug Pull pour comprendre en profondeur le modèle opérationnel des escroqueries de jeton malveillant. Il convient d'abord de préciser que le Rug Pull fait référence à un acte de fraude dans lequel l'équipe du projet retire soudainement des fonds ou abandonne le projet dans un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull, quant à lui, est un jeton émis spécifiquement pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais nous les appellerons uniformément jetons Rug Pull dans le texte ci-dessous.
· Cas
L'attaquant (le gang Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidités avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume de transactions du pool de liquidités afin d'attirer les utilisateurs et les robots d'achat sur la chaîne à acheter des jetons TOMMI. Lorsque suffisamment de robots d'achat sont piégés, l'attaquant utilise l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour écraser le pool de liquidités, échangeant environ 3,95 ETH. La source des jetons du Rug Puller provient de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, qui accorde au Rug Puller l'autorisation d'approuver le pool de liquidités lors du déploiement du contrat du jeton TOMMI, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidités pour ensuite effectuer le Rug Pull.
Utilisateur déguisé en Rug Puller (l'un d'eux) : 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Adresse de transfert de fonds du Rug Pull : 0x1d3970677aa2324E4822b293e500220958d493d0
Adresse de conservation des fonds Rug Pull : 0x28367D2656434b928a6799E0B091045e2ee84722
· Transactions connexes
Deployer obtient des fonds de démarrage d'un échange centralisé : 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Déploiement du jeton TOMMI : 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Créer un pool de liquidité : 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
L'adresse de transfert de fonds envoie des fonds à un utilisateur déguisé (l'un d'eux) : 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Usurpation d'identité de l'utilisateur pour acheter des jetons (l'un d'eux) : 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envoie les fonds obtenus à l'adresse intermédiaire : 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
L'adresse de transit envoie des fonds à l'adresse de conservation des fonds : 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Processus de Rug Pull
1. Préparer des fonds pour l'attaque.
L'attaquant a rechargé 2,47309009 Éther au Token Deployer (0x4bAF) via une plateforme d'échange centralisée comme capital de démarrage pour le Rug Pull.
2. Déployer un jeton Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-minant 100 000 000 jetons et les attribuant à lui-même.
3. Créer un pool de liquidité initial.
Le Deployer a créé un pool de liquidités avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
4. Détruire l'ensemble de l'approvisionnement en jetons pré-minés.
Le Déployeur de Jetons envoie tous les LP jetons à l'adresse 0 pour les détruire. Comme le contrat TOMMI n'a pas de fonction Mint, le Déployeur de Jetons a théoriquement perdu sa capacité de Rug Pull. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés présentent un risque de Rug Pull. Le Déployeur a également réglé le propriétaire du contrat sur l'adresse 0, tout cela pour tromper les programmes de prévention de fraude des robots de lancement).
5. Volume de transactions falsifié.
Les attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans la piscine de liquidité, augmentant ainsi le volume des transactions de la piscine, ce qui attire davantage les bots de lancement (la base pour juger que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent des adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), retirant directement 38,739,354 jetons du pool de liquidité par la porte dérobée du token, puis a utilisé ces jetons pour déstabiliser le pool et obtenir environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à l'adresse de transit 0xD921.
L'adresse de transit 0xD921 enverra des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir qu'une fois le Rug Pull terminé, le Rug Puller enverra les fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds pour de nombreux cas de Rug Pull que nous avons surveillés. L'adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée via des échanges centralisés. Nous avons identifié plusieurs adresses de conservation des fonds, 0x2836 en est une.
· Code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver au monde qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des LP Jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI, cette porte dérobée permet au pool de liquidité d'approuver le transfert de jetons vers l'adresse du Rug Puller lors de la création du pool de liquidité, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
L'implémentation de la fonction openTrading est illustrée à la figure 9, sa principale fonction étant de créer de nouvelles pools de liquidité, mais l'attaquant a appelé la fonction porte dérobée onInit (illustrée à la figure 10) à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver à l'adresse _chefAddress un montant de type (uint256) pour le transfert de jetons. Parmi eux, uniswapV2Pair est l'adresse de la pool de liquidité, _chefAddress est l'adresse du Rug Puller, et _chefAddress est spécifiée lors du déploiement du contrat (illustrée à la figure 11).
· Mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via des échanges centralisés : l'attaquant fournit d'abord une source de financement à l'adresse du déployeur (Deployer) par le biais d'un échange centralisé.
Le déployeur crée une piscine de liquidité et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement une piscine de liquidité pour celui-ci et détruit les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : Rug Pull
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
7
Reposter
Partager
Commentaire
0/400
GateUser-0717ab66
· Il y a 3h
Se faire prendre pour des cons n'est jamais démodé.
Voir l'originalRépondre0
CrashHotline
· Il y a 10h
pigeons终究是pigeons
Voir l'originalRépondre0
CommunityWorker
· Il y a 10h
pigeons ne seront jamais des esclaves gm
Voir l'originalRépondre0
NFTDreamer
· Il y a 10h
Quatre jetons trois pièges, piège avec un couteau.
Voir l'originalRépondre0
AlgoAlchemist
· Il y a 10h
Faire des affaires sur de nouveaux projets ne vaut pas se faire prendre pour des cons.
Voir l'originalRépondre0
GateUser-00be86fc
· Il y a 10h
pigeons devraient se réveiller.
Voir l'originalRépondre0
CryptoTarotReader
· Il y a 10h
Encore une journée où les pigeons sont pris pour des idiots...
Rapport d'enquête : près de 50 % des nouveaux jetons Ethereum impliquent des Rug Pull, escroquant 800 millions de dollars en six mois.
Enquête approfondie sur les cas de Rug Pull, dévoilant le désordre de l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, une équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont, sans exception, de nouveaux jetons récemment mis en chaîne.
Ensuite, l'équipe a mené une enquête approfondie sur ces cas de Rug Pull, découvrant qu'il existait des groupes organisés derrière ces actes criminels, et a résumé les caractéristiques schématiques de ces escroqueries. En analysant en profondeur les méthodes de ces groupes, ils ont identifié une possible méthode de promotion des escroqueries par les gangs de Rug Pull : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des profits grâce au Rug Pull.
L'équipe a comptabilisé les informations sur les jetons diffusées dans ces groupes Telegram entre novembre 2023 et début août 2024, découvrant un total de 93 930 nouveaux jetons, dont 46 526 sont liés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût d'investissement cumulé des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, réalisant un profit de 282 699,96 ETH avec un taux de retour atteignant 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, l'équipe a compilé des données sur les nouveaux jetons émis sur le réseau principal Ethereum durant la même période. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % étaient des jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, bien au-delà des attentes raisonnables. Après une enquête approfondie, ils ont découvert une vérité troublante : au moins 48 265 jetons étaient impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
En outre, ils ont également découvert d'autres cas de Rug Pull sur d'autres réseaux blockchain. Cela signifie que non seulement la chaîne principale Ethereum, mais l'ensemble de l'écosystème des nouveaux jetons Web3 est en réalité beaucoup plus précaire que prévu. Par conséquent, l'équipe a rédigé ce rapport d'enquête dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation aux risques, à rester vigilants face aux escroqueries toujours plus nombreuses et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer ce rapport, nous allons d'abord comprendre quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de normes qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctionnalités de base des jetons, telles que les transferts, la consultation de solde et l'autorisation de tiers pour gérer les jetons. Grâce à ce protocole standardisé, les développeurs peuvent plus facilement émettre et gérer des jetons, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds de démarrage pour divers projets financiers via une prévente de jetons. C'est précisément en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraude peuvent également émettre des jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés et inciter les utilisateurs à les acheter.
Cas typiques d'escroquerie avec des jetons Rug Pull
Ici, nous empruntons un cas de fraude de jeton Rug Pull pour comprendre en profondeur le modèle opérationnel des escroqueries de jeton malveillant. Il convient d'abord de préciser que le Rug Pull fait référence à un acte de fraude dans lequel l'équipe du projet retire soudainement des fonds ou abandonne le projet dans un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull, quant à lui, est un jeton émis spécifiquement pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais nous les appellerons uniformément jetons Rug Pull dans le texte ci-dessous.
· Cas
L'attaquant (le gang Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidités avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume de transactions du pool de liquidités afin d'attirer les utilisateurs et les robots d'achat sur la chaîne à acheter des jetons TOMMI. Lorsque suffisamment de robots d'achat sont piégés, l'attaquant utilise l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour écraser le pool de liquidités, échangeant environ 3,95 ETH. La source des jetons du Rug Puller provient de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, qui accorde au Rug Puller l'autorisation d'approuver le pool de liquidités lors du déploiement du contrat du jeton TOMMI, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidités pour ensuite effectuer le Rug Pull.
· Adresse associée
· Transactions connexes
· Processus de Rug Pull
1. Préparer des fonds pour l'attaque.
L'attaquant a rechargé 2,47309009 Éther au Token Deployer (0x4bAF) via une plateforme d'échange centralisée comme capital de démarrage pour le Rug Pull.
2. Déployer un jeton Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-minant 100 000 000 jetons et les attribuant à lui-même.
3. Créer un pool de liquidité initial.
Le Deployer a créé un pool de liquidités avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
4. Détruire l'ensemble de l'approvisionnement en jetons pré-minés.
Le Déployeur de Jetons envoie tous les LP jetons à l'adresse 0 pour les détruire. Comme le contrat TOMMI n'a pas de fonction Mint, le Déployeur de Jetons a théoriquement perdu sa capacité de Rug Pull. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés présentent un risque de Rug Pull. Le Déployeur a également réglé le propriétaire du contrat sur l'adresse 0, tout cela pour tromper les programmes de prévention de fraude des robots de lancement).
5. Volume de transactions falsifié.
Les attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans la piscine de liquidité, augmentant ainsi le volume des transactions de la piscine, ce qui attire davantage les bots de lancement (la base pour juger que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent des adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), retirant directement 38,739,354 jetons du pool de liquidité par la porte dérobée du token, puis a utilisé ces jetons pour déstabiliser le pool et obtenir environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à l'adresse de transit 0xD921.
L'adresse de transit 0xD921 enverra des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir qu'une fois le Rug Pull terminé, le Rug Puller enverra les fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds pour de nombreux cas de Rug Pull que nous avons surveillés. L'adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée via des échanges centralisés. Nous avons identifié plusieurs adresses de conservation des fonds, 0x2836 en est une.
· Code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver au monde qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des LP Jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI, cette porte dérobée permet au pool de liquidité d'approuver le transfert de jetons vers l'adresse du Rug Puller lors de la création du pool de liquidité, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
L'implémentation de la fonction openTrading est illustrée à la figure 9, sa principale fonction étant de créer de nouvelles pools de liquidité, mais l'attaquant a appelé la fonction porte dérobée onInit (illustrée à la figure 10) à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver à l'adresse _chefAddress un montant de type (uint256) pour le transfert de jetons. Parmi eux, uniswapV2Pair est l'adresse de la pool de liquidité, _chefAddress est l'adresse du Rug Puller, et _chefAddress est spécifiée lors du déploiement du contrat (illustrée à la figure 11).
· Mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via des échanges centralisés : l'attaquant fournit d'abord une source de financement à l'adresse du déployeur (Deployer) par le biais d'un échange centralisé.
Le déployeur crée une piscine de liquidité et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement une piscine de liquidité pour celui-ci et détruit les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : Rug Pull