Раскрытие хаоса экосистемы токенов Ethereum: глубокое расследование случаев Rug Pull

Введение

В мире Web3 новые токены постоянно появляются. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?

Эти вопросы не без оснований. В последние несколько месяцев команда безопасности зафиксировала большое количество случаев Rug Pull. Стоит отметить, что все токены, участвующие в этих случаях, без исключения являются новыми токенами, которые только что были добавлены в цепочку.

После глубокого расследования случаев Rug Pull было обнаружено, что за ними стоят организованные преступные группы, и были обобщены их характерные признаки мошенничества. Анализируя методы работы этих групп, была выявлена возможная схема мошеннического продвижения группами Rug Pull: группы в Telegram. Эти группы используют функцию "отслеживания новых токенов" в группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.

Статистика показывает, что с ноября 2023 года по начало августа 2024 года эти группы в Telegram推送или 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. Суммарные инвестиции групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и они получили прибыль в 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно примерно 800 миллионам долларов.

Для оценки доли новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что в этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем каждый день появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования было обнаружено, что по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет высокий уровень в 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.

Кроме того, в других блокчейн-сетях также было обнаружено больше случаев Rug Pull. Это означает, что не только в основной сети Ethereum, но и в экосистеме новых токенов Web3 безопасность значительно хуже, чем ожидалось. Надеюсь, этот отчет поможет всем членам Web3 повысить бдительность, оставаться настороже перед постоянно возникающими мошенничествами и своевременно принимать необходимые меры предосторожности для защиты своих активов.

ERC-20 Токен ( Токен )

Прежде чем официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.

ERC-20 Токен является одной из самых распространенных стандартов токенов в блокчейне на сегодняшний день, он определяет набор спецификаций, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц для управления токенами и т.д. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои собственные токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 токенов он стал основой для многих ICO и децентрализованных финансовых проектов.

Мы знакомы с USDT, PEPE и DOGE, которые являются токенами ERC-20. Пользователи могут покупать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы могут также выпускать вредоносные токены ERC-20 с кодом задней двери, размещать их на децентрализованных биржах и затем诱导 пользователей к покупке.

Типичные случаи мошенничества с токенами Rug Pull

Здесь мы заимствуем один случай мошенничества с токеном Rug Pull, чтобы глубже понять операционные модели злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull относится к мошенническому поведению, когда команда проекта в децентрализованном финансовом проекте неожиданно изымает средства или abandons проект, что приводит к огромным убыткам для инвесторов. Токены Rug Pull - это токены, специально выпущенные для осуществления такого мошенничества.

В статье упоминаются токены Rug Pull, которые иногда также называют "медовыми токенами" или "токенами выхода из схемы", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.

случай

Атакующий ( Rug Pull группа ) развернула токен TOMMI с адреса Deployer ( 0x4bAF ), затем создала ликвидный пул с 1,5 ETH и 100,000,000 TOMMI, и через другие адреса активно покупала токены TOMMI, чтобы сфальсифицировать объем торгов ликвидного пула, чтобы привлечь пользователей и ботов для новых токенов на блокчейне для покупки токенов TOMMI. Когда определенное количество ботов попалось, атакующий использовал адрес Rug Puller ( 0x43a9) для выполнения Rug Pull, Rug Puller сбросил 38,739,354 токенов TOMMI в ликвидный пул, обменяв их на примерно 3,95 ETH. Токены Rug Puller были получены через злонамеренное разрешение на одобрение токена TOMMI, когда контракт токена TOMMI развертывался, Rug Puller получал разрешение на ликвидный пул, что позволяло Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.

связанный адрес

• Развертыватель:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• Токен TOMMI: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Пуллер для ковров: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Раг Пуллер, замаскированный пользователь (, один из ): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Адрес трансфера средств Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Адрес хранения средств Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

Связанные транзакции

• Deployer получает стартовый капитал из одной биржи: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Развертывание токенов TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Создание ликвидного пула:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Адрес для перевода средств отправляет средства одному из замаскированных пользователей ( ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Замаскировать пользователя, купив токен (, один из них ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Перетягивание ковра:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull отправляет полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Транзитный адрес отправляет средства на адрес хранения средств:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

Процесс Rug Pull

1. Подготовить средства для атаки.

Атакующий через одну из бирж зачислил 2.47309009Эфир на Token Deployer(0x4bAF) в качестве стартового капитала для Rug Pull.

2. Развертывание токена Rug Pull с задней дверцей.

Deployer создает токен TOMMI, предварительно добывает 100,000,000 токенов и распределяет их себе.

3. Создание начального ликвидного пула.

Деплойер использовал 1.5 Эфира и все предварительно добытые токены для создания ликвидного пула, получив около 0.387 LP токенов.

4. Уничтожить все объемы предварительно добытых Токенов.

Token Deployer отправляет все LP токены на адрес 0 для уничтожения, поскольку в контракте TOMMI нет функции Mint, поэтому в данный момент Token Deployer теоретически уже лишился возможности Rug Pull. ( это также одно из необходимых условий для привлечения ботов для участия в новом пуле, некоторые боты будут оценивать, существует ли риск Rug Pull для новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть программы по борьбе с мошенничеством у ботов для участия в новом пуле ).

5. Поддельный объем торгов.

Атакующие активно покупают токены TOMMI из ликвидного пула с нескольких адресов, искусственно завышая объем торгов в пуле и привлекая новых ботов для торговли. (. Оценка того, что эти адреса являются прикрытием атакующих, основана на следующем: средства на соответствующих адресах происходят из исторических адресов перевода средств группы Rug Pull. ).

6. Злоумышленник инициировал Rug Pull через адрес Rug Puller (0x43A9), напрямую переведя 38,739,354 токенов из ликвидного пула через бэкдор токена, а затем использовал эти токены для разгона пула, извлекая около 3.95 Эфира.

7. Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.

8. Промежуточный адрес 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправит средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств в большом количестве случаев Rug Pull, адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, а оставшаяся небольшая сумма средств будет выведена через какую-то биржу. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.

Код для задней двери Rug Pull

Хотя атакующий попытался доказать внешнему миру, уничтожив LP токены, что он не может осуществить Rug Pull, на самом деле атакующий оставил в функции openTrading контракта токена TOMMI злонамеренный бэкдор approve, который при создании ликвидного пула позволяет пулу ликвидности одобрить передачу токенов на адрес Rug Puller, что позволяет адресу Rug Puller напрямую забирать токены из ликвидного пула.

Реализация функции openTrading выглядит следующим образом, её основная функция заключается в создании нового ликвидного пула, но злоумышленник вызвал в этой функции скрытую функцию onInit, что позволило uniswapV2Pair предоставить разрешение на перевод токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair является адресом ликвидного пула, а _chefAddress - адресом Rug Puller, который указывается при развертывании контракта.

Моделирование преступлений

Анализируя кейс TOMMI, мы можем выделить следующие 4 характеристики:

1. Deployer получает средства через одну из бирж: атакующий сначала предоставляет источник финансирования для адреса (Deployer) через одну из бирж.

2. Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, развертыватель немедленно создает для него ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.

3. Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно в количестве, значительно превышающем общее предложение токенов ), для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также мог получать ETH из пула, удаляя ликвидность.

4. Rug Puller переводит ETH, полученные от Rug Pull, на адрес хранения средств: Rug Puller будет переводить полученные ETH на адрес хранения средств, иногда через промежуточный адрес.

Указанные выше характеристики широко присутствуют в наших зафиксированных случаях, что указывает на очевидные паттерны поведения Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на одном адресе, что подразумевает, что эти на вид независимые случаи Rug Pull могут быть связаны с одной и той же группой мошенников или даже одним и тем же мошенническим объединением.

Основываясь на этих характеристиках, мы выделили модель поведения Rug Pull и использовали эту модель для сканирования и обнаружения зафиксированных случаев, с целью построения возможного портрета мошеннической группы.

Группа злоумышленников Rug Pull

Адрес для хранения средств для майнинга

Как упоминалось ранее, случаи Rug Pull обычно происходят в самом