# Rug Pull事例の詳細調査、イーサリアムトークンエコシステムの混乱を暴く## イントロダクションWeb3の世界では、新しいトークンが次々と登場しています。あなたは、毎日一体どれだけの新しいトークンが発行されているのか考えたことがありますか?これらの新しいトークンは安全なのでしょうか?これらの疑問の発生は無駄ではありません。過去数ヶ月間、あるセキュリティチームは大量のRug Pull取引ケースを捕捉しました。注目すべきは、これらのケースに関与するトークンは例外なく、最近チェーン上に登場した新しいトークンであるということです。その後、チームはこれらのRug Pullの事例を深く調査し、背後に組織化された犯罪グループが存在することを発見し、これらの詐欺のパターン化された特徴をまとめました。これらのグループの犯罪手法を深く分析することで、Rug Pullグループの一つの可能な詐欺プロモーション手段を発見しました:Telegramグループ。これらのグループは、特定のグループ内の"New Token Tracer"機能を利用してユーザーに詐欺トークンの購入を促し、最終的にRug Pullで利益を上げています。このチームは、2023年11月から2024年8月初旬の期間にこれらのTelegramグループのトークンプッシュ情報を統計し、合計93,930種類の新しいトークンがプッシュされたことを発見しました。その中でRug Pullに関与するトークンは46,526種類で、割合は49.53%に達しました。統計によると、これらのRug Pullトークンの背後にいるグループの累積投資コストは149,813.72 ETHであり、188.7%の高いリターン率で282,699.96 ETHの利益を得ており、約8億ドルに相当します。Telegramグループによって発表された新しいトークンがイーサリアムメインネットで占める割合を評価するために、チームは同じ期間内にイーサリアムメインネットで発行された新しいトークンのデータを集計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループを通じてプッシュされたトークンがメインネットの89.99%を占めています。平均して毎日約370種類の新しいトークンが誕生しており、合理的な予想を大きく上回っています。継続的な調査の結果、発見された真実は不安を呼び起こすものでした——その中で少なくとも48,265種類のトークンがRug Pull詐欺に関与しており、その割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上のほぼすべての2つの新しいトークンのうち1つが詐欺に関与しています。さらに、チームは他のブロックチェーンネットワークでも多くのRug Pull事例を発見しました。これは、イーサリアムメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味します。したがって、チームはこの調査報告書を作成し、すべてのWeb3メンバーが詐欺の多発に対して警戒心を持ち、必要な予防策を迅速に講じて自分の資産の安全を守る手助けをできることを願っています。! [Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする](https://img-cdn.gateio.im/social/moments-a0a59cfa0d101a0dfe9e28654eca11c4)## ERC-20 トークン正式にこの報告を始める前に、いくつかの基本概念を理解しておきましょう。ERC-20トークンは現在ブロックチェーン上で最も一般的なトークン標準の一つであり、一連の規範を定義しています。これにより、トークンは異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用可能となります。ERC-20標準は、トークンの基本機能、例えば送金、残高の照会、第三者によるトークン管理の承認などを規定しています。この標準化されたプロトコルのおかげで、開発者はトークンをより簡単に発行・管理できるようになり、トークンの作成と使用が簡素化されました。実際、個人や組織はERC-20標準に基づいて自分のトークンを発行し、トークンのプレセールを通じてさまざまな金融プロジェクトのために資金を調達することができます。ERC-20トークンの広範な応用により、それは多くのICOや分散型金融プロジェクトの基盤となりました。私たちがよく知っているUSDT、PEPE、DOGEはすべてERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺グループがコードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させ、ユーザーを誘導して購入させる可能性もあります。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-28cc464cbdea7aa32a0d954c27b1f894)## ラグプルトークンの典型的な詐欺ケースここでは、Rug Pullトークンの詐欺事例を借りて、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullが、プロジェクトチームが分散型金融プロジェクトにおいて、突然資金を引き抜いたりプロジェクトを放棄したりすることで、投資家に巨大な損失をもたらす詐欺行為を指すことです。そしてRug Pullトークンは、このような詐欺行為を実施するために発行されたトークンです。**本文中提到のRug Pullトークンは、時々「ハニーポット(Honey Pot)トークン」や「出口詐欺(Exit Scam)トークン」とも呼ばれますが、以下では統一してRug Pullトークンと呼びます。**### ケース攻撃者(Rug Pull団伙)はDeployerアドレス(0x4bAF)を使用してTOMMIトークンを展開し、1.5ETHと100,000,000のTOMMIを使用して流動性プールを作成し、他のアドレスを通じて積極的にTOMMIトークンを購入して流動性プールの取引量を偽造し、ユーザーとチェーン上の打新ロボットにTOMMIトークンを購入させる。一定数の打新ロボットが引っ掛かると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンで流動性プールを砕き、約3.95ETHを引き換えた。Rug Pullerのトークンの出所は、TOMMIトークン契約の悪意のあるApprove権限であり、TOMMIトークン契約が展開されると、Rug Pullerに流動性プールの承認権限が付与され、これによりRug Pullerは流動性プールから直接TOMMIトークンを引き出してRug Pullを実行することができる。### 関連アドレス* デプロイヤー:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7* TOMMIトークン:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F*ラグプーラー:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b*ラグプーラー変装ユーザー(そのうちの1人):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8* Rug Pullの資金振込先住所:0x1d3970677aa2324E4822b293e500220958d493d0*ラグプル保持アドレス:0x28367D2656434b928a6799E0B091045e2ee84722### に関連する取引* Deployerは、中央集権的な取引所からスタートアップ資本を取得します:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457* TOMMIトークンのデプロイ:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8*流動性プールを作成する:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c*偽装されたユーザー(そのうちの1人)に資金を送るための資金リレーアドレス:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff* ユーザーがトークンを購入しているふりをする(そのうちの1つ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231*ラグプル:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c* Rug Pullは収益をトランジットアドレスに送金します:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523*仲介アドレスは、資金保持アドレスに資金を送金します:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7### ラグプルプロセス1.資金を攻撃する準備をします。攻撃者は、Rug Pullの開始資金として、中央集権的な取引所を通じてToken Deployer(0x4bAF)に2.47309009ETHを入金しました。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-e5f43d39fa77597ff8f872a1d98cd3ac)2. バックドア付きのRug Pullトークンを展開する。DeployerがTOMMIトークンを作成し、100,000,000個のトークンを事前に掘り出し、自身に配分します。! [ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする](https://img-cdn.gateio.im/social/moments-ed67ee56316de1b6a3f2649e45ceeb82)3. 初期流動性プールを作成します。Deployerは1.5ETHとプレマイニングされたすべてのトークンを使用して流動性プールを作成し、約0.387のLPトークンを獲得しました。! [ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする](https://img-cdn.gateio.im/social/moments-21fdee332b94d46b0a63310dfa494de9)4. すべてのプレマイニングされたトークン供給量を廃棄します。Token DeployerはすべてのLPトークンを0アドレスに送信して廃棄します。TOMMIコントラクトにはMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規投資ロボットを引き付けるための必要条件の一つでもあり、一部の新規投資ロボットは新たにプールされるトークンにRug Pullリスクが存在するかどうかを評価します。DeployerはコントラクトのOwnerを0アドレスに設定し、すべては新規投資ロボットの詐欺防止プログラムを欺くためです)。! [ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする](https://img-cdn.gateio.im/social/moments-5cfa6f49972cd7f16f7a9bd50071697a)5. 取引量の改ざん。攻撃者は複数のアドレスを使って流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を引き上げ、さらに新規投資ロボットを呼び込む(これらのアドレスが攻撃者の偽装である判断基準:関連アドレスの資金はRug Pullグループの歴史的資金移転アドレスから来ている)。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-8add71fada8d78d3c47cebde3cb2e463)6. 攻撃者はRug Pullerアドレス(0x43A9)を通じてRug Pullを発動し、トークンのバックドアを利用して流動性プールから38,739,354個のトークンを直接転送し、その後これらのトークンを使ってプールを砕き、約3.95個のETHを引き出しました。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-90f1a92356e40f68637872bad56c2728)7. 攻撃者はRug Pullから得た資金を中継アドレス0xD921に送信します。! [Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混沌を明らかにする](https://img-cdn.gateio.im/social/moments-a9035d9c0e7c78a4ea6716b18f7f03d0)8. 中継アドレス0xD921は資金を資金留保アドレス0x2836に送信します。ここから、Rug Pullが完了すると、Rug Pullerが資金をある資金留保アドレスに送信することがわかります。資金留保アドレスは、私たちが監視している多数のRug Pullケースの資金集約場所であり、資金留保アドレスは受け取った資金の大部分を分割して新たなRug Pullを開始し、残りの少量の資金は中央集権取引所を介して引き出されます。私たちはいくつかの資金留保アドレスを発見しましたが、0x2836はそのうちの一つです。! [Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-613e9c2c161026bc3f6b1f455adf3357)### ラグプルコードバックドア攻撃者はLPトークンを破棄することで外部に対してRug Pullができないことを証明しようとしていますが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しています。このバックドアは流動性プールを作成する際に流動性プールがRug Pullerアドレスにトークンの移転権限をapproveすることを可能にし、Rug Pullerアドレスが直接流動性プールからトークンを移動できるようにします。openTrading関数の実装は図9に示されており、その主な機能は新しい流動性プールを作成することですが、攻撃者
イーサリアムの新トークンは48%がRug Pullギャングによる8億ドルの現金化に関与している
Rug Pull事例の詳細調査、イーサリアムトークンエコシステムの混乱を暴く
イントロダクション
Web3の世界では、新しいトークンが次々と登場しています。あなたは、毎日一体どれだけの新しいトークンが発行されているのか考えたことがありますか?これらの新しいトークンは安全なのでしょうか?
これらの疑問の発生は無駄ではありません。過去数ヶ月間、あるセキュリティチームは大量のRug Pull取引ケースを捕捉しました。注目すべきは、これらのケースに関与するトークンは例外なく、最近チェーン上に登場した新しいトークンであるということです。
その後、チームはこれらのRug Pullの事例を深く調査し、背後に組織化された犯罪グループが存在することを発見し、これらの詐欺のパターン化された特徴をまとめました。これらのグループの犯罪手法を深く分析することで、Rug Pullグループの一つの可能な詐欺プロモーション手段を発見しました:Telegramグループ。これらのグループは、特定のグループ内の"New Token Tracer"機能を利用してユーザーに詐欺トークンの購入を促し、最終的にRug Pullで利益を上げています。
このチームは、2023年11月から2024年8月初旬の期間にこれらのTelegramグループのトークンプッシュ情報を統計し、合計93,930種類の新しいトークンがプッシュされたことを発見しました。その中でRug Pullに関与するトークンは46,526種類で、割合は49.53%に達しました。統計によると、これらのRug Pullトークンの背後にいるグループの累積投資コストは149,813.72 ETHであり、188.7%の高いリターン率で282,699.96 ETHの利益を得ており、約8億ドルに相当します。
Telegramグループによって発表された新しいトークンがイーサリアムメインネットで占める割合を評価するために、チームは同じ期間内にイーサリアムメインネットで発行された新しいトークンのデータを集計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループを通じてプッシュされたトークンがメインネットの89.99%を占めています。平均して毎日約370種類の新しいトークンが誕生しており、合理的な予想を大きく上回っています。継続的な調査の結果、発見された真実は不安を呼び起こすものでした——その中で少なくとも48,265種類のトークンがRug Pull詐欺に関与しており、その割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上のほぼすべての2つの新しいトークンのうち1つが詐欺に関与しています。
さらに、チームは他のブロックチェーンネットワークでも多くのRug Pull事例を発見しました。これは、イーサリアムメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味します。したがって、チームはこの調査報告書を作成し、すべてのWeb3メンバーが詐欺の多発に対して警戒心を持ち、必要な予防策を迅速に講じて自分の資産の安全を守る手助けをできることを願っています。
! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする
ERC-20 トークン
正式にこの報告を始める前に、いくつかの基本概念を理解しておきましょう。
ERC-20トークンは現在ブロックチェーン上で最も一般的なトークン標準の一つであり、一連の規範を定義しています。これにより、トークンは異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用可能となります。ERC-20標準は、トークンの基本機能、例えば送金、残高の照会、第三者によるトークン管理の承認などを規定しています。この標準化されたプロトコルのおかげで、開発者はトークンをより簡単に発行・管理できるようになり、トークンの作成と使用が簡素化されました。実際、個人や組織はERC-20標準に基づいて自分のトークンを発行し、トークンのプレセールを通じてさまざまな金融プロジェクトのために資金を調達することができます。ERC-20トークンの広範な応用により、それは多くのICOや分散型金融プロジェクトの基盤となりました。
私たちがよく知っているUSDT、PEPE、DOGEはすべてERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺グループがコードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させ、ユーザーを誘導して購入させる可能性もあります。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
ラグプルトークンの典型的な詐欺ケース
ここでは、Rug Pullトークンの詐欺事例を借りて、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullが、プロジェクトチームが分散型金融プロジェクトにおいて、突然資金を引き抜いたりプロジェクトを放棄したりすることで、投資家に巨大な損失をもたらす詐欺行為を指すことです。そしてRug Pullトークンは、このような詐欺行為を実施するために発行されたトークンです。
本文中提到のRug Pullトークンは、時々「ハニーポット(Honey Pot)トークン」や「出口詐欺(Exit Scam)トークン」とも呼ばれますが、以下では統一してRug Pullトークンと呼びます。
ケース
攻撃者(Rug Pull団伙)はDeployerアドレス(0x4bAF)を使用してTOMMIトークンを展開し、1.5ETHと100,000,000のTOMMIを使用して流動性プールを作成し、他のアドレスを通じて積極的にTOMMIトークンを購入して流動性プールの取引量を偽造し、ユーザーとチェーン上の打新ロボットにTOMMIトークンを購入させる。一定数の打新ロボットが引っ掛かると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンで流動性プールを砕き、約3.95ETHを引き換えた。Rug Pullerのトークンの出所は、TOMMIトークン契約の悪意のあるApprove権限であり、TOMMIトークン契約が展開されると、Rug Pullerに流動性プールの承認権限が付与され、これによりRug Pullerは流動性プールから直接TOMMIトークンを引き出してRug Pullを実行することができる。
関連アドレス
に関連する取引
ラグプルプロセス
1.資金を攻撃する準備をします。
攻撃者は、Rug Pullの開始資金として、中央集権的な取引所を通じてToken Deployer(0x4bAF)に2.47309009ETHを入金しました。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
DeployerがTOMMIトークンを作成し、100,000,000個のトークンを事前に掘り出し、自身に配分します。
! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする
Deployerは1.5ETHとプレマイニングされたすべてのトークンを使用して流動性プールを作成し、約0.387のLPトークンを獲得しました。
! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする
Token DeployerはすべてのLPトークンを0アドレスに送信して廃棄します。TOMMIコントラクトにはMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規投資ロボットを引き付けるための必要条件の一つでもあり、一部の新規投資ロボットは新たにプールされるトークンにRug Pullリスクが存在するかどうかを評価します。DeployerはコントラクトのOwnerを0アドレスに設定し、すべては新規投資ロボットの詐欺防止プログラムを欺くためです)。
! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする
攻撃者は複数のアドレスを使って流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を引き上げ、さらに新規投資ロボットを呼び込む(これらのアドレスが攻撃者の偽装である判断基準:関連アドレスの資金はRug Pullグループの歴史的資金移転アドレスから来ている)。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混沌を明らかにする
! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
ラグプルコードバックドア
攻撃者はLPトークンを破棄することで外部に対してRug Pullができないことを証明しようとしていますが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しています。このバックドアは流動性プールを作成する際に流動性プールがRug Pullerアドレスにトークンの移転権限をapproveすることを可能にし、Rug Pullerアドレスが直接流動性プールからトークンを移動できるようにします。
openTrading関数の実装は図9に示されており、その主な機能は新しい流動性プールを作成することですが、攻撃者