Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи є ці нові токени безпечними?
Ці питання виникають не без причини. Протягом останніх кількох місяців певна команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто відзначити, що всі токени, які були задіяні в цих випадках, без винятку є новими токенами, які тільки-но з'явилися в ланцюгу.
Потім команда провела детальне розслідування цих випадків Rug Pull і виявила, що за цим стоять організовані злочинні групи, а також узагальнила моделі цих шахрайств. Завдяки глибокому аналізу методів роботи цих груп, вони виявили можливий шлях просування шахрайських схем Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів купувати шахрайські токени та врешті-решт отримувати прибуток через Rug Pull.
Команда статистично проаналізувала інформацію про токени, які надсилалися в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, виявивши, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що складає 49.53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, з прибутковістю до 188.7%, що приносить прибуток у 282,699.96 ETH, еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які просуваються в групах Telegram на основній мережі Ethereum, команда зібрала дані про нові токени, випущені на основній мережі Ethereum в той же період часу. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що просуваються через групи Telegram, складають 89.99% від основної мережі. В середньому щодня з'являється приблизно 370 нових токенів, що значно перевищує розумні очікування. Після постійних і глибоких розслідувань вони виявили тривожну правду------ принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що складає 48.14%. Іншими словами, майже кожен другий новий токен на основній мережі Ethereum пов'язаний з шахрайством.
Крім того, вони також виявили більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що не лише основна мережа Ethereum, але й безпека всього нового екосистеми токенів Web3 виявилася набагато серйознішою, ніж очікувалося. Тому команда написала цей дослідницький звіт, сподіваючись допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися насторожі перед численними шахрайствами та вчасно вживати необхідних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як офіційно розпочати цей звіт, давайте спочатку ознайомимось з деякими основними поняттями.
ERC-20 Токен є одним з найпоширеніших стандартів токенів на сьогоднішній день у блокчейні, він визначає набір стандартів, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як перекази, перевірка балансу, авторизація третіх сторін для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 і збирати стартовий капітал для різних фінансових проектів шляхом попереднього продажу токенів. Саме завдяки широкому використанню ERC-20 Токенів, він став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми звикли до USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські групи також можуть випускати шкідливі токени ERC-20 з кодом-задньою дверцяткою, викладати їх на децентралізовані біржі та спонукати користувачів до покупки.
Типові випадки шахрайства з Токенами Rug Pull
Тут ми використовуємо приклад шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель роботи злочинних токенових шахрайств. По-перше, слід зазначити, що Rug Pull - це шахрайська діяльність, коли команда проекту раптово виводить кошти або покидає проект у децентралізованих фінансових проектах, що призводить до великих втрат для інвесторів. Токени Rug Pull - це токени, які випускаються спеціально для здійснення такого шахрайства.
У цьому тексті згадуються Rug Pull токени, які іноді також називають "медовими банками (Honey Pot) токенами" або "схемами виходу (Exit Scam) токенами", але в подальшому ми будемо однаково називати їх Rug Pull токенами.
· випадок
Атакуюча сторона (група Rug Pull) використовує адресу Deployer (0x4bAF) для розгортання токена TOMMI, а потім використовує 1,5 ETH та 100,000,000 токенів TOMMI для створення ліквіднісного пулу, і через інші адреси активно купує токени TOMMI для фальсифікації обсягу торгів ліквіднісного пулу, щоб залучити користувачів і ботів для нових токенів на ланцюгу до покупки токенів TOMMI. Коли певна кількість ботів для нових токенів попадається, атакуюча сторона використовує адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller використовує 38,739,354 токени TOMMI для атаки на ліквіднісний пул, обмінюючи їх на приблизно 3,95 ETH. Токени Rug Puller походять з недобросовісного дозволу на Approve токена TOMMI, контракт токена TOMMI під час розгортання надає Rug Puller права на approve ліквіднісного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім проводити Rug Pull.
Rug Pull відправляє отримані кошти на проміжну адресу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Проміжна адреса надсилає кошти на адресу зберігання коштів: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Процес Rug Pull
1. Підготуйте кошти для атаки.
Зловмисник через централізовану біржу поповнив Token Deployer (0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.
2. Розгортання токена Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
3. Створення початкового ліквідного пулу.
Deployer використав 1.5 ETH та всі заздалегідь видобуті токени для створення ліквідності пулу, отримавши близько 0.387 LP токенів.
4. Знищити всі попередньо видобуті обсяги токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов для залучення ботів для нових токенів, деякі боти оцінюють, чи існує ризик Rug Pull для нових токенів, що потрапляють у пул, Deployer також встановлює власника контракту на адресу 0, щоб обдурити програми протидії шахрайству ботів для нових токенів).
5. Фальшивий обсяг торгів.
Атакуючи активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, штучно підвищуючи обсяги торгів у пулі, що додатково приваблює роботів для участі в нових запусках (підстава для визначення, що ці адреси є маскуванням атакуючих: кошти з цих адрес походять з історичних адрес трансферу коштів групи Rug Pull).
Атакуючий здійснив Rug Pull через адресу Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використав ці токени для розгромлення пулу, витягнувши приблизно 3.95 Етер.
Зловмисник відправив кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 відправила кошти на адресу зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправить кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, куди ми зафіксували багато випадків Rug Pull для консолідації коштів; адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невеликої суми буде виведена через централізовані біржі. Ми виявили кілька адрес зберігання коштів, 0x2836 є однією з них.
· Код бекдору Rug Pull
Атакуючи, хоча вже намагалися довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили в контракті токена TOMMI зловмисний backdoor approve в функції openTrading. Цей backdoor дозволяє під час створення ліквідності пулу надавати адресу Rug Puller дозвіл на передачу токенів, що дає можливість адресі Rug Puller безпосередньо виводити токени з ліквідності пулу.
Реалізація функції openTrading показана на малюнку 9, її основна функція полягає в створенні нового пулу ліквідності, але зловмисник викликав у цій функції задню двері onInit (показано на малюнку 10), що дозволило uniswapV2Pair надати адресі _chefAddress дозвіл на переміщення монет кількістю type(uint256). При цьому uniswapV2Pair є адресою пулу ліквідності, _chefAddress - адресою Rug Puller, а _chefAddress зазначається під час розгортання контракту (показано на малюнку 11).
· Моделювання злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує фінансування через централізовану біржу: зловмисник спочатку надає джерело фінансування для адреси розробника (Deployer) через централізовану біржу.
Deployer створює ліквідний пул та знищує LP токени: деплойер після створення Rug Pull токена відразу створює ліквідний пул та знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість Токенів для обміну на ETH у ліквідному пулі: Rug Pull
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
7
Репост
Поділіться
Прокоментувати
0/400
GateUser-0717ab66
· 3год тому
Обман для дурнів ніколи не вийде з моди.
Переглянути оригіналвідповісти на0
CrashHotline
· 10год тому
невдахи врешті-решт залишаються невдахами
Переглянути оригіналвідповісти на0
CommunityWorker
· 10год тому
невдахи ніколи не будуть рабами gm
Переглянути оригіналвідповісти на0
NFTDreamer
· 10год тому
Чотири Токен три ями Ями з ножем
Переглянути оригіналвідповісти на0
AlgoAlchemist
· 10год тому
Торгівля новими токенами не така вигідна, як обман для дурнів.
Переглянути оригіналвідповісти на0
GateUser-00be86fc
· 10год тому
невдахи мають прокинутись
Переглянути оригіналвідповісти на0
CryptoTarotReader
· 10год тому
Ще один день, коли невдахи обдурюються, як лохи...
Дослідження: майже 50% нової екосистеми токенів Ethereum пов'язані з Rug Pull, за півроку вкрадено 800 мільйонів доларів.
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи є ці нові токени безпечними?
Ці питання виникають не без причини. Протягом останніх кількох місяців певна команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто відзначити, що всі токени, які були задіяні в цих випадках, без винятку є новими токенами, які тільки-но з'явилися в ланцюгу.
Потім команда провела детальне розслідування цих випадків Rug Pull і виявила, що за цим стоять організовані злочинні групи, а також узагальнила моделі цих шахрайств. Завдяки глибокому аналізу методів роботи цих груп, вони виявили можливий шлях просування шахрайських схем Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів купувати шахрайські токени та врешті-решт отримувати прибуток через Rug Pull.
Команда статистично проаналізувала інформацію про токени, які надсилалися в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, виявивши, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що складає 49.53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, з прибутковістю до 188.7%, що приносить прибуток у 282,699.96 ETH, еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які просуваються в групах Telegram на основній мережі Ethereum, команда зібрала дані про нові токени, випущені на основній мережі Ethereum в той же період часу. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що просуваються через групи Telegram, складають 89.99% від основної мережі. В середньому щодня з'являється приблизно 370 нових токенів, що значно перевищує розумні очікування. Після постійних і глибоких розслідувань вони виявили тривожну правду------ принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що складає 48.14%. Іншими словами, майже кожен другий новий токен на основній мережі Ethereum пов'язаний з шахрайством.
Крім того, вони також виявили більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що не лише основна мережа Ethereum, але й безпека всього нового екосистеми токенів Web3 виявилася набагато серйознішою, ніж очікувалося. Тому команда написала цей дослідницький звіт, сподіваючись допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися насторожі перед численними шахрайствами та вчасно вживати необхідних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як офіційно розпочати цей звіт, давайте спочатку ознайомимось з деякими основними поняттями.
ERC-20 Токен є одним з найпоширеніших стандартів токенів на сьогоднішній день у блокчейні, він визначає набір стандартів, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як перекази, перевірка балансу, авторизація третіх сторін для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 і збирати стартовий капітал для різних фінансових проектів шляхом попереднього продажу токенів. Саме завдяки широкому використанню ERC-20 Токенів, він став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми звикли до USDT, PEPE, DOGE, які є токенами ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські групи також можуть випускати шкідливі токени ERC-20 з кодом-задньою дверцяткою, викладати їх на децентралізовані біржі та спонукати користувачів до покупки.
Типові випадки шахрайства з Токенами Rug Pull
Тут ми використовуємо приклад шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель роботи злочинних токенових шахрайств. По-перше, слід зазначити, що Rug Pull - це шахрайська діяльність, коли команда проекту раптово виводить кошти або покидає проект у децентралізованих фінансових проектах, що призводить до великих втрат для інвесторів. Токени Rug Pull - це токени, які випускаються спеціально для здійснення такого шахрайства.
У цьому тексті згадуються Rug Pull токени, які іноді також називають "медовими банками (Honey Pot) токенами" або "схемами виходу (Exit Scam) токенами", але в подальшому ми будемо однаково називати їх Rug Pull токенами.
· випадок
Атакуюча сторона (група Rug Pull) використовує адресу Deployer (0x4bAF) для розгортання токена TOMMI, а потім використовує 1,5 ETH та 100,000,000 токенів TOMMI для створення ліквіднісного пулу, і через інші адреси активно купує токени TOMMI для фальсифікації обсягу торгів ліквіднісного пулу, щоб залучити користувачів і ботів для нових токенів на ланцюгу до покупки токенів TOMMI. Коли певна кількість ботів для нових токенів попадається, атакуюча сторона використовує адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller використовує 38,739,354 токени TOMMI для атаки на ліквіднісний пул, обмінюючи їх на приблизно 3,95 ETH. Токени Rug Puller походять з недобросовісного дозволу на Approve токена TOMMI, контракт токена TOMMI під час розгортання надає Rug Puller права на approve ліквіднісного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім проводити Rug Pull.
· відповідна адреса
· Пов'язані торги
· Процес Rug Pull
1. Підготуйте кошти для атаки.
Зловмисник через централізовану біржу поповнив Token Deployer (0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.
2. Розгортання токена Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
3. Створення початкового ліквідного пулу.
Deployer використав 1.5 ETH та всі заздалегідь видобуті токени для створення ліквідності пулу, отримавши близько 0.387 LP токенів.
4. Знищити всі попередньо видобуті обсяги токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов для залучення ботів для нових токенів, деякі боти оцінюють, чи існує ризик Rug Pull для нових токенів, що потрапляють у пул, Deployer також встановлює власника контракту на адресу 0, щоб обдурити програми протидії шахрайству ботів для нових токенів).
5. Фальшивий обсяг торгів.
Атакуючи активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, штучно підвищуючи обсяги торгів у пулі, що додатково приваблює роботів для участі в нових запусках (підстава для визначення, що ці адреси є маскуванням атакуючих: кошти з цих адрес походять з історичних адрес трансферу коштів групи Rug Pull).
Атакуючий здійснив Rug Pull через адресу Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використав ці токени для розгромлення пулу, витягнувши приблизно 3.95 Етер.
Зловмисник відправив кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 відправила кошти на адресу зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправить кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, куди ми зафіксували багато випадків Rug Pull для консолідації коштів; адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невеликої суми буде виведена через централізовані біржі. Ми виявили кілька адрес зберігання коштів, 0x2836 є однією з них.
· Код бекдору Rug Pull
Атакуючи, хоча вже намагалися довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили в контракті токена TOMMI зловмисний backdoor approve в функції openTrading. Цей backdoor дозволяє під час створення ліквідності пулу надавати адресу Rug Puller дозвіл на передачу токенів, що дає можливість адресі Rug Puller безпосередньо виводити токени з ліквідності пулу.
Реалізація функції openTrading показана на малюнку 9, її основна функція полягає в створенні нового пулу ліквідності, але зловмисник викликав у цій функції задню двері onInit (показано на малюнку 10), що дозволило uniswapV2Pair надати адресі _chefAddress дозвіл на переміщення монет кількістю type(uint256). При цьому uniswapV2Pair є адресою пулу ліквідності, _chefAddress - адресою Rug Puller, а _chefAddress зазначається під час розгортання контракту (показано на малюнку 11).
· Моделювання злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує фінансування через централізовану біржу: зловмисник спочатку надає джерело фінансування для адреси розробника (Deployer) через централізовану біржу.
Deployer створює ліквідний пул та знищує LP токени: деплойер після створення Rug Pull токена відразу створює ліквідний пул та знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість Токенів для обміну на ETH у ліквідному пулі: Rug Pull