Enquête approfondie sur les cas de Rug Pull, révélant le désordre de l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, une équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que les jetons impliqués dans ces cas sont tous des jetons nouvellement lancés sur la chaîne.
Ensuite, l'équipe a mené une enquête approfondie sur ces cas de Rug Pull, découvrant l'existence de groupes criminels organisés derrière eux, et a résumé les caractéristiques schématiques de ces arnaques. Grâce à une analyse approfondie des méthodes d'opération de ces groupes, une possible voie de promotion de la fraude a été identifiée : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" présente dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des bénéfices grâce au Rug Pull.
L'équipe a statistiqué les informations de push de jetons de ces groupes Telegram entre novembre 2023 et début août 2024, révélant qu'un total de 93 930 nouveaux jetons ont été poussés, parmi lesquels 46 526 jetons étaient associés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total investi par les groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, réalisant un profit de 282 699,96 ETH avec un taux de retour pouvant atteindre 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons promus par les groupes Telegram sur le réseau principal Ethereum, l'équipe a compilé les données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période. Les données montrent qu'au cours de cette période, 100,260 nouveaux jetons ont été émis, dont 89,99 % des jetons promus par les groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant de loin les attentes raisonnables. Après une enquête approfondie, la vérité révélée est troublante : au moins 48,265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, l'équipe a découvert davantage de cas de Rug Pull sur d'autres réseaux blockchain. Cela signifie que non seulement le réseau principal Ethereum, mais la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus préoccupante que prévu. Par conséquent, l'équipe a rédigé ce rapport d'étude dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face aux arnaques qui surgissent sans cesse et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, examinons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain. Ils définissent un ensemble de normes permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). La norme ERC-20 précise les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers pour gérer les jetons, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur la norme ERC-20 et lever des fonds pour divers projets financiers en pré-vendant des jetons. C'est précisément en raison de l'application répandue des jetons ERC-20 qu'ils sont devenus la base de nombreux projets ICO et de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons sont des jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certaines bandes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les listant sur des échanges décentralisés pour inciter les utilisateurs à les acheter.
Cas typique d'escroquerie de jeton Rug Pull
Ici, nous empruntons un exemple d'escroquerie avec un jeton Rug Pull pour mieux comprendre le modèle opérationnel des escroqueries malveillantes liées aux jetons. Il convient tout d'abord de préciser que Rug Pull fait référence à un acte frauduleux où l'équipe du projet retire soudainement des fonds ou abandonne le projet dans le cadre d'un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Les jetons Rug Pull sont des jetons spécifiquement émis pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans le texte ci-dessous, nous les appellerons uniformément des jetons Rug Pull.
cas
L'attaquant (le groupe Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidités avec 1,5 ETH et 100 000 000 de TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour fausser le volume des transactions du pool de liquidités afin d'attirer les utilisateurs et les robots d'achat sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots d'achat se font avoir, l'attaquant utilise l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour écraser le pool de liquidités, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'approbation malveillante du contrat du jeton TOMMI, le contrat du jeton TOMMI accorde des droits d'approbation au Rug Puller pour le pool de liquidités lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidités puis de procéder au Rug Pull.
Utilisateur déguisé en Rug Puller (l'un d'eux) : 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Adresse de transfert des fonds de Rug Pull : 0x1d3970677aa2324E4822b293e500220958d493d0
Adresse de conservation des fonds de Rug Pull : 0x28367D2656434b928a6799E0B091045e2ee84722
transactions connexes
Le Déployeur obtient des fonds de démarrage d'une bourse centralisée : 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Déployer le jeton TOMMI : 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Créer un pool de liquidités : 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
L'adresse de transfert de fonds envoie des fonds à un utilisateur déguisé (l'un d'eux) : 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Déguisement d'utilisateur achetant des jetons (l'un d'eux) : 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envoie les fonds obtenus à l'adresse de transit : 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
L'adresse de transfert enverra les fonds à l'adresse de conservation des fonds : 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
processus de Rug Pull
Préparer des fonds d'attaque.
L'attaquant a rechargé 2.47309009ETH vers le Token Deployer (0x4bAF) via une bourse centralisée comme capital de lancement pour le Rug Pull.
Déployer des jetons Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100,000,000 jetons et les attribue à lui-même.
Créer un pool de liquidité initial.
Le Deployer a créé un pool de liquidité avec 1,5 Éther et tous les jetons pré-minés, obtenant environ 0,387 jeton LP.
Détruire l'ensemble de l'approvisionnement des Jetons pré-minés.
Le Déployeur de Jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Déployeur de Jetons a donc théoriquement perdu sa capacité de Rug Pull. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés dans la piscine présentent un risque de Rug Pull. Le Déployeur a également défini le Propriétaire du contrat à l'adresse 0, afin de tromper les programmes de détection de fraude des robots de lancement).
Volume de transactions falsifié.
Des attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool, ce qui attire davantage les robots de lancement (la base pour juger que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), en transférant directement 38 739 354 jetons du pool de liquidité par le biais d'une porte dérobée du token, puis en utilisant ces jetons pour déstabiliser le pool et obtenir environ 3,95 Éther.
L'attaquant a envoyé les fonds obtenus par le Rug Pull à l'adresse de transit 0xD921.
L'adresse de transit 0xD921 envoie des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir qu'une fois le Rug Pull terminé, le Rug Puller enverra les fonds à une adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de regroupement des fonds pour de nombreux cas de Rug Pull que nous avons surveillés, l'adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite partie des fonds sera retirée via des échanges centralisés. Nous avons découvert plusieurs adresses de conservation des fonds, 0x2836 en est une.
Code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver à l'extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des LP jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI, cette porte dérobée permet, lors de la création du pool de liquidité, d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
L'implémentation de la fonction openTrading est illustrée à la figure 9, sa principale fonction est de créer de nouvelles pools de liquidité, mais l'attaquant
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
4
Reposter
Partager
Commentaire
0/400
WalletInspector
· 08-12 14:21
Les escrocs ont encore verrouillé le portefeuille.
Voir l'originalRépondre0
MEVictim
· 08-12 14:12
Dans ce marché pourri, ils veulent encore lancer un nouveau jeton ? Rug Pull
Voir l'originalRépondre0
MetaMaskVictim
· 08-12 14:08
Se faire prendre pour des cons, c'est quand que ça s'arrête ?
Voir l'originalRépondre0
PebbleHander
· 08-12 13:58
C'est vraiment absurde, il n'y a pas de conformité pour l'examen des fonds ?
Le nouveau jeton Ethereum implique jusqu'à 48% de l'équipe de Rug Pull ayant encaissé 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le désordre de l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, une équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que les jetons impliqués dans ces cas sont tous des jetons nouvellement lancés sur la chaîne.
Ensuite, l'équipe a mené une enquête approfondie sur ces cas de Rug Pull, découvrant l'existence de groupes criminels organisés derrière eux, et a résumé les caractéristiques schématiques de ces arnaques. Grâce à une analyse approfondie des méthodes d'opération de ces groupes, une possible voie de promotion de la fraude a été identifiée : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" présente dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des bénéfices grâce au Rug Pull.
L'équipe a statistiqué les informations de push de jetons de ces groupes Telegram entre novembre 2023 et début août 2024, révélant qu'un total de 93 930 nouveaux jetons ont été poussés, parmi lesquels 46 526 jetons étaient associés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total investi par les groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, réalisant un profit de 282 699,96 ETH avec un taux de retour pouvant atteindre 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons promus par les groupes Telegram sur le réseau principal Ethereum, l'équipe a compilé les données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période. Les données montrent qu'au cours de cette période, 100,260 nouveaux jetons ont été émis, dont 89,99 % des jetons promus par les groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant de loin les attentes raisonnables. Après une enquête approfondie, la vérité révélée est troublante : au moins 48,265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, l'équipe a découvert davantage de cas de Rug Pull sur d'autres réseaux blockchain. Cela signifie que non seulement le réseau principal Ethereum, mais la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus préoccupante que prévu. Par conséquent, l'équipe a rédigé ce rapport d'étude dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face aux arnaques qui surgissent sans cesse et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, examinons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain. Ils définissent un ensemble de normes permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). La norme ERC-20 précise les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers pour gérer les jetons, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur la norme ERC-20 et lever des fonds pour divers projets financiers en pré-vendant des jetons. C'est précisément en raison de l'application répandue des jetons ERC-20 qu'ils sont devenus la base de nombreux projets ICO et de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons sont des jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certaines bandes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les listant sur des échanges décentralisés pour inciter les utilisateurs à les acheter.
Cas typique d'escroquerie de jeton Rug Pull
Ici, nous empruntons un exemple d'escroquerie avec un jeton Rug Pull pour mieux comprendre le modèle opérationnel des escroqueries malveillantes liées aux jetons. Il convient tout d'abord de préciser que Rug Pull fait référence à un acte frauduleux où l'équipe du projet retire soudainement des fonds ou abandonne le projet dans le cadre d'un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Les jetons Rug Pull sont des jetons spécifiquement émis pour mettre en œuvre ce type d'escroquerie.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans le texte ci-dessous, nous les appellerons uniformément des jetons Rug Pull.
cas
L'attaquant (le groupe Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidités avec 1,5 ETH et 100 000 000 de TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour fausser le volume des transactions du pool de liquidités afin d'attirer les utilisateurs et les robots d'achat sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots d'achat se font avoir, l'attaquant utilise l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour écraser le pool de liquidités, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'approbation malveillante du contrat du jeton TOMMI, le contrat du jeton TOMMI accorde des droits d'approbation au Rug Puller pour le pool de liquidités lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidités puis de procéder au Rug Pull.
adresse pertinente
transactions connexes
processus de Rug Pull
L'attaquant a rechargé 2.47309009ETH vers le Token Deployer (0x4bAF) via une bourse centralisée comme capital de lancement pour le Rug Pull.
Le Deployer crée le jeton TOMMI, pré-extrait 100,000,000 jetons et les attribue à lui-même.
Le Deployer a créé un pool de liquidité avec 1,5 Éther et tous les jetons pré-minés, obtenant environ 0,387 jeton LP.
Le Déployeur de Jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Déployeur de Jetons a donc théoriquement perdu sa capacité de Rug Pull. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés dans la piscine présentent un risque de Rug Pull. Le Déployeur a également défini le Propriétaire du contrat à l'adresse 0, afin de tromper les programmes de détection de fraude des robots de lancement).
Des attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool, ce qui attire davantage les robots de lancement (la base pour juger que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
Code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver à l'extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des LP jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI, cette porte dérobée permet, lors de la création du pool de liquidité, d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
L'implémentation de la fonction openTrading est illustrée à la figure 9, sa principale fonction est de créer de nouvelles pools de liquidité, mais l'attaquant