- Tema
7k Popularidade
10k Popularidade
34k Popularidade
30k Popularidade
362 Popularidade
97k Popularidade
27k Popularidade
27k Popularidade
7k Popularidade
15k Popularidade
- Marcar
7k Popularidade
10k Popularidade
34k Popularidade
30k Popularidade
362 Popularidade
97k Popularidade
27k Popularidade
27k Popularidade
7k Popularidade
15k Popularidade
Ecossistema de tokens Ethereum em turbulência: 49,53% das novas moedas suspeitas de fraude Rug Pull
Desvendando o Ecossistema Caótico de Tokens Ethereum: Investigação Aprofundada sobre Casos de Rug Pull
Introdução
No mundo Web3, novos Tokens estão surgindo constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não são infundadas. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. Vale a pena notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Após uma investigação aprofundada sobre esses casos de Rug Pull, descobriu-se a existência de grupos organizados por trás das fraudes e foram resumidas as características padrão desses esquemas. Ao analisar as táticas desses grupos, foi identificada uma possível via de promoção para a fraude dos Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade de "rastreamento de novos tokens" para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através do Rug Pull.
Estatísticas mostram que, entre novembro de 2023 e o início de agosto de 2024, esses grupos do Telegram enviaram um total de 93,930 novos tokens, dos quais 46,526 tokens estavam envolvidos em Rug Pull, representando uma taxa alta de 49,53%. O custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149,813.72 ETH, e obtiveram um lucro de 282,699.96 ETH com uma taxa de retorno de até 188.7%, equivalente a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos Tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram estatisticamente analisados os dados dos novos Tokens emitidos na mesma faixa de tempo na rede principal do Ethereum. Os dados mostram que, durante este período, um total de 100.260 novos Tokens foram emitidos, dos quais os Tokens promovidos através de grupos do Telegram representavam 89,99% da rede principal. Em média, cerca de 370 novos Tokens nascem diariamente, muito além das expectativas razoáveis. Após uma investigação aprofundada, descobriu-se que pelo menos 48.265 Tokens estavam envolvidos em fraudes de Rug Pull, o que representa uma proporção de 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, foram descobertos mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Esperamos que este relatório ajude todos os membros do Web3 a aumentar a conscientização sobre prevenção, a manterem-se vigilantes diante de fraudes cada vez mais frequentes e a tomarem as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20 ( Token )
Antes de começar oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de tokens mais comuns atualmente na blockchain, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicativos descentralizados (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferência, consulta de saldo, autorização de terceiros para gerenciar tokens, entre outros. Devido a esse protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e o uso dos mesmos. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para diversos projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão de Token ERC-20, e os usuários podem comprar esses tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com backdoors de código e listá-los em exchanges descentralizadas, induzindo os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de scam de um Token Rug Pull para entender melhor o modelo operacional das fraudes de Tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta em que a equipe do projeto retira repentinamente os fundos ou abandona o projeto em um projeto de finanças descentralizadas, resultando em enormes perdas para os investidores. Já o Token Rug Pull é um Token especificamente emitido para implementar esse tipo de ação fraudulenta.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens de armadilha" ou "tokens de esquema de saída", mas a partir de agora iremos referir-nos a eles uniformemente como tokens Rug Pull.
caso
Os atacantes ( da gangue Rug Pull ) usaram o endereço Deployer ( 0x4bAF ) para implantar o token TOMMI, e depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente o token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, a fim de atrair usuários e robôs de lançamento na blockchain para comprar o token TOMMI. Quando um certo número de robôs de lançamento é enganado, os atacantes usam o endereço Rug Puller ( 0x43a9) para executar o Rug Pull, onde o Rug Puller despeja 38.739.354 tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI, que ao ser implantado concede ao Rug Puller permissões de aprovação do pool de liquidez, permitindo que o Rug Puller retire diretamente tokens TOMMI do pool de liquidez e execute o Rug Pull.
endereço relacionado
transações relacionadas
processo de Rug Pull
O atacante recarregou 2.47309009ETH como capital inicial para o Rug Pull através de uma exchange, direcionando para o Token Deployer(0x4bAF).
Deployer cria o Token TOMMI, pré-minera 100.000.000 Tokens e os atribui a si mesmo.
O Deployer usou 1,5 ETH e todos os tokens pré-minerados para criar um pool de liquidez, obtendo cerca de 0,387 tokens LP.
O Token Deployer envia todos os LP Tokens para o endereço 0 para destruição. Como o contrato TOMMI não possui a função Mint, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. ( Este também é um dos requisitos necessários para atrair robôs de lançamento de novos tokens. Alguns robôs de lançamento de novos tokens avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo para enganar os programas antifraude dos robôs de lançamento de novos tokens ).
Os atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool, atraindo ainda mais robôs de investimento para o mercado (. A avaliação de que esses endereços são camuflados por atacantes baseia-se no fato de que os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull ).
O atacante iniciou o Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 Token do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desestabilizar o pool, conseguindo cerca de 3.95 Éter.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
O endereço intermediário 0xD921 enviará os fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade dos fundos será retirada através de alguma exchange. Identificamos vários endereços de retenção de fundos, e 0x2836 é um deles.
Código do Rug Pull backdoor
Embora os atacantes tenham tentado provar ao mundo que não conseguem realizar um Rug Pull destruindo os Tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI, que permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente tokens do pool de liquidez.
A implementação da função openTrading é a seguinte, e a sua principal funcionalidade é criar novas pools de liquidez, mas o atacante chamou a função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprova a quantidade de type(uint256) de transferência de Token para o endereço _chefAddress. Onde uniswapV2Pair é o endereço da pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado no momento da implantação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
Deployer obtém fundos através de uma exchange: o atacante primeiro fornece a fonte de fundos para o endereço do deployer (Deployer) através de uma exchange.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de Token por ETH no pool de liquidez: Endereço Rug Pull ( Rug Puller ) utiliza grandes quantidades de Token (, geralmente quantidades que superam significativamente o fornecimento total de Token ), para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também remove liquidez para obter ETH do pool.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller transferirá o ETH obtido para o endereço de retenção de fundos, às vezes passando por um endereço intermediário.
As características mencionadas estão frequentemente presentes nos casos que capturamos, o que indica que o comportamento de Rug Pull possui características claramente padronizadas. Além disso, após a realização do Rug Pull, os fundos costumam ser reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar ligados ao mesmo grupo de fraude ou até mesmo ao mesmo esquema.
Com base nessas características, extraímos um padrão de comportamento de Rug Pull e utilizamos esse padrão para escanear os casos monitorados, com o objetivo de construir um possível perfil de gangue de fraudes.
Gangue de Rug Pull
Endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente ocorrem na maioria