Ethereum Token Ekosistemindeki Kaos: Rug Pull Vakalarını Derinlemesine Araştırma

Giriş

Web3 dünyasında, yeni Token'lar sürekli ortaya çıkıyor. Her gün kaç yeni Token'ın piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni Token'lar güvenli mi?

Bu sorular boşa değil. Son birkaç ayda, güvenlik ekibi birçok Rug Pull işlem vakasını tespit etti. Dikkate değer olan, bu vakalarda yer alan token'lerin hepsinin yeni, henüz zincire eklenmiş token'ler olması.

Bu Rug Pull vakalarını derinlemesine inceledikten sonra, arkasında organize bir suç çetesi bulunduğunu ve bu dolandırıcılıkların kalıplaşmış özelliklerini özetledik. Bu çetelerin suç işleme yöntemlerini analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolu olarak Telegram gruplarını keşfettik. Bu çeteler, gruptaki "yeni token takip" işlevini kullanarak kullanıcıları dolandırıcı tokenler satın almaya teşvik ediyor ve sonunda Rug Pull ile kazanç sağlıyor.

İstatistikler, 2023 Kasım'dan 2024 Ağustos başına kadar bu Telegram gruplarının toplamda 93,930 yeni token önerdiğini, bunlar arasında Rug Pull ile ilgili token sayısının 46,526 olduğunu ve bu oranının %49.53'e ulaştığını göstermektedir. Bu Rug Pull tokenlerinin arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 ETH olup, %188.7'ye varan bir getiri oranıyla 282,699.96 ETH kazanç elde edilmiştir, bu da yaklaşık 800 milyon dolara denk gelmektedir.

Telegram gruplarının duyurduğu yeni tokenlerin Ethereum ana ağındaki oranını değerlendirmek için, aynı zaman diliminde Ethereum ana ağında çıkarılan yeni token verileri istatistiksel olarak incelendi. Veriler, bu süre zarfında toplam 100,260 yeni token çıkarıldığını ve bunların %89.99'unun ana ağa Telegram grupları aracılığıyla duyurulduğunu gösteriyor. Ortalama her gün yaklaşık 370 yeni token ortaya çıkıyor, bu da makul beklentilerin çok üzerinde. Derinlemesine bir araştırma yapıldığında, bu tokenlerin en az 48,265'inin Rug Pull dolandırıcılığı ile ilişkili olduğu ve bu oranının %48.14'e ulaştığı belirlendi. Diğer bir deyişle, Ethereum ana ağında neredeyse her iki yeni token'den biri dolandırıcılık ile ilgili.

Ayrıca, diğer blockchain ağlarında daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağının değil, tüm Web3 yeni token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğunu göstermektedir. Umarım bu rapor, tüm Web3 üyelerinin farkındalıklarını artırmalarına yardımcı olur, sürekli olarak ortaya çıkan dolandırıcılıklara karşı dikkatli olmalarını sağlar ve gerekli önleyici tedbirleri zamanında almalarını, varlık güvenliklerini korumalarını teşvik eder.

ERC-20 Token ( Token )

Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamamız gerekiyor.

ERC-20 Token, blockchain üzerindeki en yaygın Token standartlarından biridir ve farklı akıllı sözleşmeler ile merkeziyetsiz uygulamalar ( dApp ) arasında etkileşimli olmasını sağlayan bir dizi kural tanımlar. ERC-20 standardı, Token'ın temel işlevlerini, örneğin transfer, bakiye sorgulama, üçüncü taraflara Token yönetimi yetkisi verme gibi işlevleri belirler. Bu standartlaşmış protokol sayesinde, geliştiricilerin Token'ları çıkarması ve yönetmesi daha kolay hale gelir, böylece Token'ın oluşturulması ve kullanımı basitleşir. Aslında, herhangi bir birey veya organizasyon ERC-20 standardına dayanarak kendi Token'ını çıkarabilir ve çeşitli finansal projeler için başlangıç fonu toplamak amacıyla Token'ları ön satışa sunabilir. ERC-20 Token'ın geniş uygulama alanı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.

Bizim tanıdığımız USDT, PEPE, DOGE, ERC-20 Token'larına aittir. Kullanıcılar bu Token'ları merkeziyetsiz borsa üzerinden satın alabilirler. Ancak, bazı dolandırıcılık çeteleri, kod arka kapısı bulunan kötü niyetli ERC-20 Token'larını kendileri de yayımlayabilir, bunları merkeziyetsiz borsada listeleyebilir ve kullanıcıları satın almaya teşvik edebilir.

Rug Pull Token'un Tipik Dolandırıcılık Örneği

Burada, bir Rug Pull Token dolandırıcılık örneğini kullanarak kötü niyetli token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. Öncelikle, Rug Pull'un, proje ekibinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeyi terk etmesi sonucu yatırımcıların büyük kayıplar yaşadığı bir dolandırıcılık eylemi olduğunu belirtmek gerekir. Rug Pull token ise bu tür dolandırıcılık eylemlerini gerçekleştirmek için özel olarak çıkarılan token'lardır.

Bu yazıda bahsedilen Rug Pull tokenleri, bazen "tuzağa düşüren tokenler" veya "çıkış dolandırıcılığı tokenleri" olarak da anılmaktadır, ancak aşağıda bunları Rug Pull tokenleri olarak adlandıracağız.

örnek

Saldırgan ( Rug Pull çetesi ) Deployer adresi ( ile TOMMI Token'ı dağıttı, ardından 1.5 ETH ve 100.000.000 TOMMI ile likidite havuzu oluşturarak diğer adreslerden TOMMI Token'ı aktif olarak satın alarak sahte likidite havuzu işlem hacmi oluşturdu ve kullanıcıları ve zincir üzerindeki yeni token alım robotlarını TOMMI Token'ı satın almaya çekti. Belirli sayıda yeni token alım robotu tuzağa düştüğünde, saldırgan Rug Puller adresi ) 0x43a9( ile Rug Pull gerçekleştirdi, Rug Puller 38.739.354 TOMMI Token ile likidite havuzunu çökertip yaklaşık 3.95 ETH karşılığında değiştirdi. Rug Puller'ın token kaynakları TOMMI Token sözleşmesinin kötü niyetli Onaylama yetkisi ile elde edildi, TOMMI Token sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisi verilir, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI Token çıkarıp Rug Pull yapmasına olanak tanır.

) ile ilgili adres

• Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Token:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller kılığına girmiş kullanıcı ###'den biri (:0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Rug Pull fon transfer adresi:0x1d3970677aa2324E4822b293e500220958d493d0
• Rug Pull fon saklama adresi: 0x28367D2656434b928a6799E0B091045e2ee84722

) ile ilgili işlem

• Deployer bir borsadan başlangıç sermayesini aldı: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• TOMMI Token'ı dağıt: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Likidite havuzu oluşturma:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Fon transfer adresi, ###'den biri olan sahte kullanıcıya para gönderiyor (:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Kullanıcıları maskelemek için ) token'larından birini satın al: (:0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull, elde edilen fonlar, transfer adresine gönderildi: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Ara adres, fonları saklama adresine gönderir: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

) Rug Pull süreci

1. Saldırı fonlarını hazırlayın.

Saldırgan, bir borsa aracılığıyla, Token Deployer###0x4bAF( adresine Rug Pull'un başlangıç fonu olarak 2.47309009ETH yükledi.

2. Arka kapılı Rug Pull Token'ların dağıtımı.

Deployer, TOMMI Token'ını oluşturdu, 100.000.000 Token ön madencilik yaptı ve kendisine dağıttı.

3. İlk likidite havuzunu oluşturun.

Deployer, 1.5 ETH ve önceden madencilik yapılmış tüm Token'ları kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı elde etti.

4. Tüm ön madencilik Token arzını yok et.

Token Deployer, tüm LP tokenlerini 0 adrese göndererek imha eder. TOMMI sözleşmesinde Mint işlevi bulunmadığı için, bu durumda Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. ) bu da yeni token alım robotlarının devreye girmesi için gerekli koşullardan biridir. Bazı yeni token alım robotları, havuzda yeni yer alan tokenlerin Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca sözleşmenin sahibi olarak 0 adresini ayarlamaktadır, bu da yeni token alım robotlarının dolandırıcılık önleme programlarını geçmek içindir (.

5. Sahte işlem hacmi.

Saldırganlar, birden fazla adres kullanarak likidite havuzundan TOMMI Token satın alıyor, havuzun işlem hacmini artırıyor ve daha fazla yeni yatırımcıyı çekiyor. ) Bu adreslerin saldırganların kılığına girdiği kanıtı: İlgili adreslerin fonları, Rug Pull çetelerinin geçmiş fon transfer adreslerinden geliyor. (.

6. Saldırgan, Rug Puller adresi )0x43A9( aracılığıyla Rug Pull başlattı, token'ın arka kapısından doğrudan likidite havuzundan 38.739.354 adet Token transfer etti, ardından bu token'ları havuza çarparak yaklaşık 3.95 Eter çıkardı.

7. Saldırgan, Rug Pull'dan elde edilen fonları 0xD921 ara adrese gönderdi.

8. Transfer adresi 0xD921, fonları saklama adresi 0x2836'ya gönderdi. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları belirli bir saklama adresine göndereceğini görebiliriz. Saklama adresi, izlediğimiz birçok Rug Pull vakasının fon toplama noktasıdır, saklama adresi aldığı fonların büyük bir kısmını yeni bir Rug Pull başlatmak için bölerek kullanacak, geri kalan az miktardaki fon ise bir borsa aracılığıyla çekilecektir. Birkaç saklama adresi bulduk, 0x2836 bunlardan biridir.

) Rug Pull kod arka kapısı

Saldırganlar, LP Token'ları yok ederek dışarıya Rug Pull gerçekleştiremeyeceklerini kanıtlamaya çalışsalar da, aslında TOMMI Token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir approve arka kapısı bıraktılar. Bu arka kapı, likidite havuzu oluşturulurken likidite havuzunun Rug Puller adresine token'ların transfer yetkisini onaylamasına olanak tanır. Böylece Rug Puller adresi, likidite havuzundan doğrudan token çekebilir.

openTrading fonksiyonunun implementasyonu aşağıda verilmiştir, ana işlevi yeni bir likidite havuzu oluşturmaktır, ancak saldırgan bu fonksiyon içinde onInit arka kapı fonksiyonunu çağırarak uniswapV2Pair'in _chefAddress adresine type###uint256( miktarında Token transfer yetkisi vermesini sağlamıştır. Burada uniswapV2Pair likidite havuzu adresi, _chefAddress Rug Puller adresidir ve _chefAddress sözleşme dağıtımı sırasında belirlenmiştir.

![Derinlemesine Rug Pull vakalarını araştırma, Ethereum Token ekosistemindeki karmaşayı ortaya çıkarma])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(

) suç işleme modeli

TOMMI vakasını analiz ederek, aşağıdaki 4 özelliği özetleyebiliriz:

1. Deployer, belirli bir borsa aracılığıyla fon alır: Saldırgan, öncelikle belirli bir borsa aracılığıyla Deployer adresi ### için finansman sağlar.

2. Deployer, likidite havuzu oluşturur ve LP tokenlerini yok eder: Rug Pull tokenini oluşturduktan sonra, deployer hemen bunun için bir likidite havuzu oluşturur ve LP tokenlerini yok eder, projenin güvenilirliğini artırmak ve daha fazla yatırımcı çekmek için.

3. Rug Puller, likidite havuzundaki ETH'yi büyük miktarda Token ile değiştirir: Rug Pull adresi ( Rug Puller ), genellikle Token toplam arzını ( aşan büyük miktarda Token kullanarak likidite havuzundaki ETH'yi değiştirir. Diğer durumlarda, Rug Puller, havuzdaki ETH'yi almak için likiditeyi kaldırma yoluna da gidebilir.

4. Rug Puller, Rug Pull'dan elde edilen ETH'yi fon saklama adresine aktarır: Rug Puller, elde ettiği ETH'yi fon saklama adresine aktarır, bazen geçiş için ara adresler kullanarak.

Yukarıda belirtilen bu özellikler, yakaladığımız vakalarda yaygın olarak bulunmaktadır, bu da Rug Pull davranışının belirgin bir modelleme özelliği taşıdığını göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu da bu görünüşte bağımsız Rug Pull vakalarının arkasında aynı grup veya hatta aynı dolandırıcılık çetesi ile ilişkili olabileceğini ima etmektedir.

Bu özelliklere dayanarak, bir Rug Pull davranış modeli çıkardık ve bu modeli izlenen vakaları taramak için kullandık, böylece olası dolandırıcılık çetelerinin profillerini oluşturmayı umuyoruz.

Rug Pull suç çetesi

) Madencilik fonu saklama adresi

Yukarıda bahsedildiği gibi, Rug Pull vakaları genellikle en