Розкриття хаосу в екосистемі токенів Ethereum: глибоке дослідження випадків Rug Pull

Вступ

У світі Web3 постійно з'являються нові токени. Чи задумувалися ви, скільки нових токенів випускається щодня? Чи є ці нові токени безпечними?

Ці питання не є безпідставними. За останні кілька місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, які були залучені в ці випадки, без винятків є новими токенами, які щойно з'явилися в мережі.

Після детального розслідування цих випадків Rug Pull було виявлено, що за ними стоїть організована злочинна група, і були узагальнені їхні модельні характеристики шахрайств. Аналізуючи методи роботи цих груп, було виявлено один можливий шлях просування шахрайства групами Rug Pull: групи Telegram. Ці групи використовують функцію "відстеження нових токенів" у групі, щоб залучити користувачів купувати шахрайські токени і в кінцевому підсумку отримувати прибуток через Rug Pull.

Статистика показує, що з листопада 2023 року по початок серпня 2024 року ці Telegram групи загалом просували 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. Загальні витрати банд, що стояли за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток від них досягнув 282,699.96 ETH з дохідністю до 188.7%, що становить приблизно 800 мільйонів доларів.

Для оцінки частки нових токенів, які просуваються в групах Telegram, у основній мережі Ethereum, були зібрані дані про нові токени, випущені в основній мережі Ethereum за той же період часу. Дані показують, що за цей період було випущено 100 260 нових токенів, з яких токени, що просуваються через групи Telegram, складають 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує обґрунтовані очікування. Поглиблене розслідування виявило, що щонайменше 48 265 токенів пов'язані з шахрайством Rug Pull, що складає 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний з шахрайством.

Крім того, в інших блокчейн-мережах також виявлено більше випадків Rug Pull. Це означає, що безпека нових токенів у всій екосистемі Web3 набагато серйозніша, ніж очікувалося, не тільки в основній мережі Ethereum. Сподіваємося, що цей звіт допоможе всім членам Web3 підвищити обізнаність про запобігання, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.

ERC-20 Токен (Token )

Перед тим, як офіційно розпочати цей звіт, давайте спочатку ознайомимося з деякими основними концепціями.

ERC-20 Токен є одним із найбільш поширених стандартів токенів у блокчейні. Він визначає набір специфікацій, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як переказ, перевірка балансу, надання дозволу третім особам на управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 і залучити стартовий капітал для різних фінансових проектів, продаючи токени на попередньому продажу. Завдяки широкому застосуванню ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.

Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські групи також можуть випускати шкідливі токени ERC-20 з кодом-задніми дверима, виставляючи їх на децентралізовані біржі та спокушаючи користувачів на покупку.

Типові випадки шахрайства з токенами Rug Pull

Тут ми використовуємо випадок шахрайства з Токеном Rug Pull, щоб глибше зрозуміти операційні моделі злочинних токенових шахрайств. По-перше, необхідно зазначити, що Rug Pull - це шахрайська дія, коли команда проекту раптово забирає кошти або відмовляється від проекту в децентралізованих фінансових проектах, що призводить до великих втрат для інвесторів. Токени Rug Pull - це токени, які випускаються спеціально для здійснення такого шахрайства.

У цій статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з шахрайства", але в наступному тексті ми будемо єдино називати їх токенами Rug Pull.

випадок

Атакуючий ( Rug Pull банда ) використала адресу Deployer ( 0x4bAF ) для розгортання токена TOMMI, а потім використала 1,5 ETH і 100 000 000 токенів TOMMI для створення ліквіднісного пулу, а також активно купувала токени TOMMI через інші адреси, щоб сфальсифікувати обсяги торгівлі ліквіднісного пулу, щоб залучити користувачів та боти для нових токенів на ланцюгу для покупки токенів TOMMI. Коли певна кількість ботів для нових токенів попалася, атакуючий використав адресу Rug Puller ( 0x43a9) для виконання Rug Pull. Rug Puller використав 38 739 354 токенів TOMMI, щоб знищити ліквіднісний пул, обмінявши їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить з злочинного дозволу на схвалення контракту токенів TOMMI. При розгортанні контракту токенів TOMMI Rug Puller отримує дозвіл на ліквіднісний пул, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім виконувати Rug Pull.

відповідна адреса

• Розгортач:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• Токен TOMMI: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Знімач килимків:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller замаскований користувач ( один з ):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Адреса переказу коштів Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Адреса зберігання коштів Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

пов'язані交易

• Deployer отримує стартовий капітал з певної біржі:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Розгортання токенів TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Створити ліквідний пул:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Адреса для переказу коштів відправляє кошти під виглядом користувача ( одного з ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Маскування користувача для покупки токена ( з одного з них ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Перетягування килима:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull відправляє отримані кошти на проміжну адресу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Адреса пересилки надсилає кошти на адресу зберігання коштів:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

Процес Rug Pull

1. Підготуйте кошти для атаки.

Атакуючи через певну біржу, вони поповнили Token Deployer(0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.

2. Розгортання токена Rug Pull з бекдором.

Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.

3. Створення початкового ліквідного пулу.

Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримавши близько 0.387 LP токенів.

4. Знищити весь обсяг попередньо видобутих Токенів.

Token Deployer відправляє всі LP токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично вже втратив здатність до Rug Pull. ( це також одна з необхідних умов для залучення ботів для первинного розміщення, деякі боти будуть оцінювати, чи існує ризик Rug Pull для нових токенів у пулі, Deployer також встановить власника контракту на адресу 0, все це зроблено, щоб обманути програми боротьби з шахрайством ботів для первинного розміщення ).

5. Підробка обсягу торгів.

Атакуючи активно купують TOMMI Токени з ліквіднісного пулу з кількох адрес, розганяючи обсяги торгівлі в пулі, щоб далі залучити боти для участі в нових запусках (. Визначення цих адрес як маскувальних атакуючих: кошти на відповідних адресах походять з історичних адрес перерахування коштів групи Rug Pull ).

6. Атакуючий ініціював Rug Pull через адресу Rug Puller (0x43A9), витягнувши 38,739,354 токенів безпосередньо з ліквіднісного пулу через бекдор токена, а потім використав ці токени, щоб знищити пул, витягнувши близько 3.95 Етер.

7. Зловмисник відправив кошти, отримані від Rug Pull, на проміжну адресу 0xD921.

8. Адреса проміжного переказу 0xD921 відправляє кошти на адресу зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, куди ми виявили велику кількість випадків Rug Pull, адреса зберігання коштів розподіляє більшу частину отриманих коштів для початку нового раунду Rug Pull, а решта невеликої кількості коштів буде виведена через певну біржу. Ми виявили кілька адрес зберігання коштів, 0x2836 є однією з них.

Код для Rug Pull з бекдором

Атакуюча сторона, хоч і намагається довести зовнішньому світу, що не може здійснити Rug Pull, знищуючи LP токени, насправді залишила шкідливу лазівку в функції openTrading контракту токена TOMMI, яка дозволяє при створенні ліквідності пулу схвалити переказ токенів на адресу Rug Puller, що дає можливість адресі Rug Puller безпосередньо виводити токени з ліквідності пулу.

Реалізація функції openTrading виглядає наступним чином, її основна функція полягає в створенні нового пулу ліквідності, але зловмисник викликав у цій функції функцію-задню двері onInit, що дозволяє uniswapV2Pair надати _chefAddress адресу дозвіл на передачу кількості токенів типу (uint256). Серед них uniswapV2Pair є адресою пулу ліквідності, _chefAddress є адресою Rug Puller, _chefAddress вказується під час розгортання контракту.

Моделізація злочинів

Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:

1. Deployer отримує фінансування через одну з бірж: атака спочатку забезпечує джерело фінансування для адреси (Deployer) через одну з бірж.

2. Deployer створює ліквідний пул та знищує LP токени: деплойер, створивши токен Rug Pull, одразу ж створює ліквідний пул для нього та знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.

3. Rug Puller обмінює велику кількість Токенів на ETH у ліквіднісному пулі: адреса Rug Pull ( Rug Puller ) використовує велику кількість Токенів (, зазвичай кількість значно перевищує загальну пропозицію Токенів ), щоб обміняти на ETH у ліквіднісному пулі. В інших випадках Rug Puller також може отримувати ETH з пулу, видаляючи ліквідність.

4. Rug Puller переносить ETH, отримані від Rug Pull, на адресу зберігання коштів: Rug Puller перенесе отримані ETH на адресу зберігання коштів, іноді через проміжну адресу.

Вищезазначені характеристики загалом присутні в наших зафіксованих випадках, що свідчить про те, що поведінка Rug Pull має очевидні паттерни. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу зберігання коштів, що натякає на те, що ці, здавалося б, незалежні випадки Rug Pull можуть бути пов'язані з однією групою шахраїв або навіть з тією ж самою групою.

На основі цих характеристик ми виділили модель поведінки Rug Pull і використали цю модель для сканування виявлених випадків, щоб спробувати створити можливий портрет шахрайських угруповань.

Злодійські групи Rug Pull

Адреса зберігання видобутої коштів

Як зазначено вище, випадки Rug Pull зазвичай трапляються в найбільш