Глубокое исследование случаев Rug Pull, раскрывающих хаос экосистемы токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?
Появление этих вопросов не является безосновательным. В последние месяцы одна из команд безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, участвующие в этих случаях, без исключения являются новыми токенами, только что добавленными в блокчейн.
Затем команда провела глубокое расследование этих случаев Rug Pull и обнаружила наличие организованной преступной группировки, а также обобщила модульные характеристики этих мошенничеств. Путем тщательного анализа методов работы этих группировок они выявили один из возможных путей мошеннического продвижения группой Rug Pull: группы в Telegram. Эти группировки используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Команда статистически проанализировала информацию о токенах, отправленных в этих группах Telegram с ноября 2023 года по начало августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53% от общего числа. По статистике, общие затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, при этом они заработали 282,699.96 Эфир с доходностью до 188.7%, что составляет около 800 миллионов долларов.
Чтобы оценить долю новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, команда собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% основной сети. В среднем каждый день появляется около 370 новых токенов, что значительно превышает разумные ожидания. После постоянного углубленного расследования они обнаружили тревожную правду------по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет высокие 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, они также обнаружили больше случаев Rug Pull в других блокчейн-сетях. Это означает, что безопасность не только основной сети Ethereum, но и всей экосистемы новых токенов Web3 значительно хуже, чем ожидалось. Поэтому команда подготовила этот исследовательский отчет, надеясь помочь всем участникам Web3 повысить осведомленность о предотвращении рисков, оставаться бдительными перед лицом множества мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала разберемся с некоторыми основными концепциями.
ERC-20 токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, проверка баланса, предоставление прав третьим лицам на управление токенами и др. Благодаря этому стандартизированному протоколу разработчикам проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов за счет предварительной продажи токенов. Именно благодаря широкому применению токенов ERC-20 они стали основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками в коде, размещая их на децентрализованных биржах и затем诱导я пользователей к покупке.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы воспользуемся примером мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренного мошенничества с токенами. Прежде всего, необходимо уточнить, что Rug Pull относится к мошенническим действиям, при которых команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления таких мошеннических действий.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "медовой банкой (Honey Pot) токены" или "схемой выхода (Exit Scam) токены", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.
· случай
Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, а затем создали ликвидный пул с 1,5 Эфир и 100 000 000 токенов TOMMI, активно покупая токены TOMMI с помощью других адресов, чтобы подделать объем торгов ликвидного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось в ловушку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull; Rug Puller использовал 38 739 354 токенов TOMMI, чтобы разрушить ликвидный пул, обменяв их на примерно 3,95 Эфир. Токены Rug Puller были получены через злонамеренное разрешение на одобрение токенов TOMMI; при развертывании контракта токенов TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем осуществлять Rug Pull.
Создание ликвидного пула: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес для перевода средств отправляет средства маскированному пользователю (один из них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскировка пользователя при покупке токенов (один из них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправляет полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Промежуточный адрес отправляет средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через централизованную биржу пополнил Token Deployer (0x4bAF) на 2.47309009Эфир в качестве стартового капитала для Rug Pull.
2. Развертывание токена Rug Pull с задней дверью.
Deployer создает токен TOMMI, предварительно добыв 100,000,000 токенов и распределив их себе.
3. Создание начального пула ликвидности.
Деплойер создал ликвидный пул с 1.5 ETH и всеми предварительно добытыми токенами, получив примерно 0.387 LP токенов.
4. Уничтожить все запасы предмайнинговых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения, поскольку в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже потерял возможность Rug Pull. (Это также одно из необходимых условий для привлечения роботов для новых токенов, некоторые роботы будут оценивать, существует ли риск Rug Pull для новых токенов, поступивших в пул, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод программы роботов).
5. Поддельный объем торгов.
Атакующие активно покупают токены TOMMI из ликвидного пула с помощью нескольких адресов, увеличивая объем торгов пула и привлекая роботов для новых торгов (основание для определения, что эти адреса принадлежат атакующим: средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull).
Атакующий инициирует Rug Pull через адрес Rug Puller (0x43A9), напрямую выводя 38,739,354 токена из ликвидного пула через бэкдор токена, а затем использует эти токены, чтобы разорвать пул и вывести около 3.95 Эфир.
Нападающий отправил средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Адрес-посредник 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом концентрации средств в многочисленных случаях Rug Pull, которые мы отслеживаем, и он будет разбивать большую часть полученных средств, чтобы начать новый раунд Rug Pull, а остаток средств будет выведен через централизованные биржи. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
· Код бэкдора Rug Pull
Хотя злоумышленники уже пытались доказать внешнему миру, что они не могут провести Rug Pull, уничтожив токены LP, на самом деле злоумышленники оставили в функции openTrading контракта токена TOMMI злонамеренную лазейку approve, которая позволит при создании ликвидного пула предоставить адресату Rug Puller право на перевод токенов, что позволит адресату Rug Puller напрямую выводить токены из ликвидного пула.
Реализация функции openTrading показана на рисунке 9, ее основная функция заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции заднюю дверь onInit (показано на рисунке 10), что позволило uniswapV2Pair одобрить количество токенов, равное type(uint256), для перевода на адрес _chefAddress. При этом uniswapV2Pair - это адрес пула ликвидности, _chefAddress - это адрес Rug Puller, который указывается при развертывании контракта (показано на рисунке 11).
· Моделирование преступлений
Анализируя случай TOMMI, мы можем подвести следующие 4 характеристики:
Деплойер получает средства через централизованную биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через централизованную биржу.
Deployer создает пул ликвидности и уничтожает LP токены: после создания токена Rug Pull, деплойер сразу же создает для него пул ликвидности и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: Rug Pull
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
7
Репост
Поделиться
комментарий
0/400
GateUser-0717ab66
· 3ч назад
Будут играть для лохов永不过时啊
Посмотреть ОригиналОтветить0
CrashHotline
· 10ч назад
неудачники в конечном итоге остаются неудачниками
Посмотреть ОригиналОтветить0
CommunityWorker
· 10ч назад
неудачники永不为奴 gm
Посмотреть ОригиналОтветить0
NFTDreamer
· 10ч назад
Четыре токена, три ямы, ямы с ножом
Посмотреть ОригиналОтветить0
AlgoAlchemist
· 10ч назад
Играть на новом рынке не так выгодно, как разыгрывать людей как лохов.
Исследовательский отчет: почти половина новой экосистемы токенов Ethereum связана с Rug Pull, за полгода было украдено 800 миллионов долларов.
Глубокое исследование случаев Rug Pull, раскрывающих хаос экосистемы токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?
Появление этих вопросов не является безосновательным. В последние месяцы одна из команд безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, участвующие в этих случаях, без исключения являются новыми токенами, только что добавленными в блокчейн.
Затем команда провела глубокое расследование этих случаев Rug Pull и обнаружила наличие организованной преступной группировки, а также обобщила модульные характеристики этих мошенничеств. Путем тщательного анализа методов работы этих группировок они выявили один из возможных путей мошеннического продвижения группой Rug Pull: группы в Telegram. Эти группировки используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Команда статистически проанализировала информацию о токенах, отправленных в этих группах Telegram с ноября 2023 года по начало августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53% от общего числа. По статистике, общие затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, при этом они заработали 282,699.96 Эфир с доходностью до 188.7%, что составляет около 800 миллионов долларов.
Чтобы оценить долю новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, команда собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% основной сети. В среднем каждый день появляется около 370 новых токенов, что значительно превышает разумные ожидания. После постоянного углубленного расследования они обнаружили тревожную правду------по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет высокие 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, они также обнаружили больше случаев Rug Pull в других блокчейн-сетях. Это означает, что безопасность не только основной сети Ethereum, но и всей экосистемы новых токенов Web3 значительно хуже, чем ожидалось. Поэтому команда подготовила этот исследовательский отчет, надеясь помочь всем участникам Web3 повысить осведомленность о предотвращении рисков, оставаться бдительными перед лицом множества мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала разберемся с некоторыми основными концепциями.
ERC-20 токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, проверка баланса, предоставление прав третьим лицам на управление токенами и др. Благодаря этому стандартизированному протоколу разработчикам проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов за счет предварительной продажи токенов. Именно благодаря широкому применению токенов ERC-20 они стали основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками в коде, размещая их на децентрализованных биржах и затем诱导я пользователей к покупке.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы воспользуемся примером мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренного мошенничества с токенами. Прежде всего, необходимо уточнить, что Rug Pull относится к мошенническим действиям, при которых команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull — это токены, выпущенные специально для осуществления таких мошеннических действий.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "медовой банкой (Honey Pot) токены" или "схемой выхода (Exit Scam) токены", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.
· случай
Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, а затем создали ликвидный пул с 1,5 Эфир и 100 000 000 токенов TOMMI, активно покупая токены TOMMI с помощью других адресов, чтобы подделать объем торгов ликвидного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось в ловушку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull; Rug Puller использовал 38 739 354 токенов TOMMI, чтобы разрушить ликвидный пул, обменяв их на примерно 3,95 Эфир. Токены Rug Puller были получены через злонамеренное разрешение на одобрение токенов TOMMI; при развертывании контракта токенов TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем осуществлять Rug Pull.
· Связанный адрес
· связанные сделки
· Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через централизованную биржу пополнил Token Deployer (0x4bAF) на 2.47309009Эфир в качестве стартового капитала для Rug Pull.
2. Развертывание токена Rug Pull с задней дверью.
Deployer создает токен TOMMI, предварительно добыв 100,000,000 токенов и распределив их себе.
3. Создание начального пула ликвидности.
Деплойер создал ликвидный пул с 1.5 ETH и всеми предварительно добытыми токенами, получив примерно 0.387 LP токенов.
4. Уничтожить все запасы предмайнинговых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения, поскольку в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже потерял возможность Rug Pull. (Это также одно из необходимых условий для привлечения роботов для новых токенов, некоторые роботы будут оценивать, существует ли риск Rug Pull для новых токенов, поступивших в пул, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод программы роботов).
5. Поддельный объем торгов.
Атакующие активно покупают токены TOMMI из ликвидного пула с помощью нескольких адресов, увеличивая объем торгов пула и привлекая роботов для новых торгов (основание для определения, что эти адреса принадлежат атакующим: средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull).
Атакующий инициирует Rug Pull через адрес Rug Puller (0x43A9), напрямую выводя 38,739,354 токена из ликвидного пула через бэкдор токена, а затем использует эти токены, чтобы разорвать пул и вывести около 3.95 Эфир.
Нападающий отправил средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Адрес-посредник 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом концентрации средств в многочисленных случаях Rug Pull, которые мы отслеживаем, и он будет разбивать большую часть полученных средств, чтобы начать новый раунд Rug Pull, а остаток средств будет выведен через централизованные биржи. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
· Код бэкдора Rug Pull
Хотя злоумышленники уже пытались доказать внешнему миру, что они не могут провести Rug Pull, уничтожив токены LP, на самом деле злоумышленники оставили в функции openTrading контракта токена TOMMI злонамеренную лазейку approve, которая позволит при создании ликвидного пула предоставить адресату Rug Puller право на перевод токенов, что позволит адресату Rug Puller напрямую выводить токены из ликвидного пула.
Реализация функции openTrading показана на рисунке 9, ее основная функция заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции заднюю дверь onInit (показано на рисунке 10), что позволило uniswapV2Pair одобрить количество токенов, равное type(uint256), для перевода на адрес _chefAddress. При этом uniswapV2Pair - это адрес пула ликвидности, _chefAddress - это адрес Rug Puller, который указывается при развертывании контракта (показано на рисунке 11).
· Моделирование преступлений
Анализируя случай TOMMI, мы можем подвести следующие 4 характеристики:
Деплойер получает средства через централизованную биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через централизованную биржу.
Deployer создает пул ликвидности и уничтожает LP токены: после создания токена Rug Pull, деплойер сразу же создает для него пул ликвидности и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: Rug Pull