イーサリアムトークンエコシステムに暗流が渦巻く：49.53%の新通貨がRug Pull詐欺の疑い

2025-07-13 20:29:58

イーサリアムトークンエコシステムの混乱を暴く: Rug Pull事例の徹底調査

イントロダクション

Web3の世界では、新しいトークンが次々と登場しています。毎日、実際にどれだけの新しいトークンが発行されているか考えたことはありますか？これらの新しいトークンは安全なのでしょうか？

これらの疑問は無根拠ではありません。最近数ヶ月間、安全チームは大量のRug Pull取引のケースを捕捉しました。注目すべきは、これらのケースに関与するトークンは例外なくすべて新たに上場されたトークンであるということです。

これらのRug Pullのケースを深く調査したところ、背後に組織化された犯行グループが存在し、これらの詐欺のパターン的な特徴をまとめました。これらのグループの犯行手法を分析することで、Rug Pullグループの一つの可能な詐欺プロモーション経路を発見しました: Telegramグループです。これらのグループは、グループ内の「新トークン追跡」機能を利用してユーザーを引き付け、詐欺トークンの購入を促し、最終的にRug Pullで利益を得るのです。

! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする

統計によると、2023年11月から2024年8月初旬までの期間に、これらのTelegramグループは合計93,930種類の新しいトークンを推進しました。その中で、Rug Pullに関与するトークンは46,526種類で、割合は49.53%に達しています。これらのRug Pullトークンの背後にいるグループの累計投資コストは149,813.72 ETHで、188.7%の高いリターン率で282,699.96 ETHの利益を上げ、約8億ドルに相当します。

Telegramグループによってプッシュされた新しいトークンがイーサリアムメインネットで占める割合を評価するために、同じ期間にイーサリアムメインネットで発行された新しいトークンのデータを統計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループによってプッシュされたトークンはメインネットの89.99%を占めています。平均して毎日約370種類の新しいトークンが誕生しており、合理的な予想をはるかに超えています。詳細な調査の結果、少なくとも48,265種類のトークンがラグプル詐欺に関与しており、その割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上で発行される新しいトークンのほぼ2つに1つは詐欺に関与していることになります。

また、他のブロックチェーンネットワークでもさらに多くのRug Pull事例が発見されました。これは、イーサリアムメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味します。この報告書がすべてのWeb3メンバーの防止意識を高め、次々と現れる詐欺に対して警戒を怠らず、適時に必要な予防措置を講じて、自分の資産の安全を守る手助けとなることを願っています。

ERC-20トークン(Token)

正式にこの報告を始める前に、いくつかの基本概念を理解しましょう。

ERC-20トークンは現在のブロックチェーン上で最も一般的なトークン規格の一つであり、トークンが異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用できるように一連の規範を定義しています。ERC-20規格は、トークンの基本機能、例えば転送、残高照会、第三者によるトークン管理の権限付与などを規定しています。この標準化されたプロトコルのおかげで、開発者はトークンの発行と管理をより簡単に行うことができ、トークンの作成と使用が簡素化されます。実際、個人や組織はERC-20標準に基づいて独自のトークンを発行でき、トークンのプレセールを通じてさまざまな金融プロジェクトの資金を調達することができます。ERC-20トークンの広範な利用のおかげで、それは多くのICOや分散型金融プロジェクトの基盤となっています。

私たちがよく知っているUSDT、PEPE、DOGEはすべてERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺団体はコードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させ、ユーザーを購入に誘導する可能性があります。

! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

ラグプルトークンの典型的な詐欺事例

ここでは、Rug Pullトークンの詐欺事例を借りて、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullとは、プロジェクトチームが分散型金融プロジェクトにおいて、突然資金を引き抜いたり、プロジェクトを放棄したりすることで、投資家に巨大な損失をもたらす詐欺行為を指します。そして、Rug Pullトークンは、このような詐欺行為を実施するために発行されたトークンです。

本文中提到のRug Pullトークンは、時々「ハニーポットトークン」や「出口詐欺トークン」とも呼ばれますが、以下では統一してRug Pullトークンと呼ぶことにします。

ケース

攻撃者(Rug Pullグループ)はDeployerアドレス(0x4bAF)を使用してTOMMIトークンを展開し、その後1.5ETHと100,000,000TOMMIを使用して流動性プールを作成し、他のアドレスを通じてTOMMIトークンを積極的に購入して流動性プールの取引量を偽装し、ユーザーやチェーン上の打新ロボットにTOMMIトークンの購入を促しました。一定数の打新ロボットが騙された後、攻撃者はRug Pullerアドレス(0x43a9)を使ってRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンを流動性プールに投入し、約3.95ETHを交換しました。Rug PullerのトークンはTOMMIトークン契約の悪意のあるApprove権限から来ており、TOMMIトークン契約が展開される際、Rug Pullerに流動性プールの承認権限が付与されます。これにより、Rug Pullerは流動性プールから直接TOMMIトークンを引き出し、Rug Pullを行うことができます。

に関連する取引

Deployerが取引所からスタートアップ資本を得る:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
TOMMIトークンのデプロイ:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
流動性プールを作成する:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
資金リレーアドレスは、次のいずれかの( )偽装ユーザーに資金を送金します0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
ユーザーのふりをしてトークンを購入する(、)のいずれか:0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
ラグプル:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
ラグプルは収益をトランジットアドレスに送金します:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
トランジットアドレス:資金の保持アドレスに資金を送金します:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

ラグプルプロセス

1.資金を攻撃する準備をします。

攻撃者はある取引所を通じて、Token Deployer(0x4bAF)に2.47309009ETHをRug Pullのスタートアップ資金として充填しました。

バックドアを持つラグプルトークンを展開する。

DeployerがTOMMIトークンを作成し、1億個のトークンを事前に掘り出して自分に配分します。

初期流動性プールを作成します。

Deployerは1.5個のETHと事前に採掘されたすべてのトークンを使用して流動性プールを作成し、約0.387個のLPトークンを取得しました。

すべてのプレマイニングトークン供給量を焼却する。

Token DeployerはすべてのLPトークンを0アドレスに送信して廃棄します。TOMMIコントラクトにMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規参加ボットを引き寄せるための必要条件の一つでもあります。一部の新規参加ボットは、新たにプールに加わるトークンにRug Pullリスクが存在するかどうかを評価します。Deployerはコントラクトのオーナーを0アドレスに設定しており、これは新規参加ボットの詐欺防止プログラムを欺くためです)。

取引量の改ざん。

攻撃者は複数のアドレスを使用して流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を高め、新たなロボットの参入をさらに引き寄せる(これらのアドレスが攻撃者の偽装であることを判断する根拠:関連アドレスの資金はRug Pullグループの過去の資金の転送アドレスから来ている)。

攻撃者はRug Pullerアドレス(0x43A9)を通じてRug Pullを開始し、トークンのバックドアを介して流動性プールから38,739,354個のトークンを直接転出し、その後これらのトークンを使ってプールを破壊し、約3.95個のエーテルを引き出しました。
攻撃者はRug Pullで得た資金を中継アドレス0xD921に送信します。
中継アドレス0xD921は資金を資金留保アドレス0x2836に送信します。ここから、Rug Pullが完了した後、Rug Pullerが資金をどこかの資金留保アドレスに送信することがわかります。資金留保アドレスは、私たちが監視している多くのRug Pull事例の資金集約地点であり、資金留保アドレスは受け取った大部分の資金を分割して新しいRug Pullを開始し、残りの少量の資金はある取引所を介して引き出されます。私たちはいくつかの資金留保アドレスを発見しましたが、0x2836はそのうちの一つです。

ラグプルコードバックドア

攻撃者はLPトークンを破壊することで、外部に対してRug Pullを行うことができないことを証明しようとしましたが、実際には攻撃者はTOMMIトークンのコントラクトのopenTrading関数に悪意のあるapproveのバックドアを残しています。このバックドアは流動性プールを作成する際に、流動性プールがRug Pullerアドレスにトークンの転送権限をapproveすることを可能にし、Rug Pullerアドレスが流動性プールから直接トークンを引き出すことを可能にします。

openTrading関数の実装は以下の通りで、その主な機能は新しい流動性プールを作成することですが、攻撃者はその関数内でバックドア関数onInitを呼び出し、uniswapV2Pairを_chefAddressアドレスに対してtype(uint256)のトークン移転権限をapproveしました。ここで、uniswapV2Pairは流動性プールのアドレスであり、_chefAddressはRug Pullerのアドレスで、_chefAddressはコントラクト展開時に指定されます。

! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

犯罪のパターン化

TOMMIのケースを分析することで、以下の4つの特徴をまとめることができます:

Deployerはある取引所から資金を取得します: 攻撃者はまず、ある取引所を通じてデプロイヤーのアドレス(に資金源を提供します。
Deployerは流動性プールを作成し、LPトークンを廃棄します: デプロイヤーはRug Pullトークンを作成した後、すぐにそのための流動性プールを作成し、LPトークンを廃棄することでプロジェクトの信頼性を高め、より多くの投資者を惹きつけます。
ラグプラーは大量のトークンを使って流動性プールのETHを交換します: ラグプルアドレス)ラグプラー(は、大量のトークン)を使用し、通常の数量はトークンの総供給量(を大幅に超えて、流動性プールのETHと交換します。他のケースでは、ラグプラーは流動性を除去することでプール内のETHを取得することもあります。
Rug PullerはRug Pullで得たETHを資金留保アドレスに移動させます: Rug Pullerは取得したETHを資金留保アドレスに移動させ、時には中間アドレスを通じて移行します。

上記の特徴は、私たちが捕らえたケースに普遍的に存在し、Rug Pull行為には明らかなパターン化した特徴があることを示しています。さらに、Rug Pullが完了した後、資金は通常、資金留保アドレスに集められます。これは、一見独立したRug Pullケースの背後には、同じグループまたは同じ詐欺団体が関与している可能性があることを示唆しています。

これらの特徴に基づいて、私たちはRug Pullの行動パターンを抽出し、このパターンを利用して監視されたケースをスキャン検出し、可能な詐欺グループの像を構築することを目指しました。