Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de Tokens Ethereum
Introdução
No mundo Web3, novos tokens estão surgindo constantemente. Você já se perguntou quantos novos tokens são emitidos todos os dias? Esses novos tokens são seguros?
Estas dúvidas não surgem do nada. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os Tokens envolvidos nesses casos são, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de uma organização criminosa por trás deles e resumindo as características padronizadas desses esquemas. Através de uma análise detalhada das táticas usadas por esses grupos, foi descoberta uma possível via de promoção de fraudes pelos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a função "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, eventualmente, lucrar através do Rug Pull.
A equipe contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e o início de agosto de 2024, descobrindo que foram enviados 93.930 novos tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando uma proporção de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, com um retorno de até 188,7%, lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos por grupos do Telegram na mainnet do Ethereum, a equipe coletou dados sobre novos tokens emitidos na mainnet do Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da mainnet. Em média, cerca de 370 novos tokens são criados por dia, superando amplamente as expectativas razoáveis. Após uma investigação aprofundada, a verdade revelada é alarmante – pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet do Ethereum está envolvido em fraudes.
Além disso, a equipe também descobriu mais casos de Rug Pull em outras redes de blockchain. Isso significa que não é apenas a mainnet do Ethereum, a situação de segurança de todo o novo ecossistema de tokens Web3 é muito mais severa do que o esperado. Assim, a equipe redigiu este relatório de pesquisa, esperando poder ajudar todos os membros do Web3 a aumentar a conscientização sobre a prevenção, mantendo-se vigilantes diante de fraudes cada vez mais frequentes e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.
ERC-20 Token
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de tokens mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens operem de forma interoperável entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 estabelece as funções básicas dos tokens, como transferências, verificação de saldo e autorização de terceiros para gerenciar os tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com maior facilidade, simplificando a criação e o uso dos mesmos. Na prática, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base para muitos ICOs e projetos de finanças descentralizadas.
As moedas que conhecemos, como USDT, PEPE e DOGE, pertencem ao padrão ERC-20 Token, e os usuários podem comprá-las através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios Tokens ERC-20 maliciosos com backdoors, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos o caso de um Token Rug Pull como exemplo de fraude para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta em que a equipe do projeto em um projeto de finanças descentralizadas retira repentinamente os fundos ou abandona o projeto, resultando em enormes perdas para os investidores. O Token Rug Pull, por sua vez, é um token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo vamos nos referir a eles uniformemente como tokens Rug Pull.
caso
O atacante (grupo Rug Pull) usou o endereço Deployer (0x4bAF) para implantar o token TOMMI, depois criou um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, e comprou ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez para atrair usuários e robôs de nova emissão na cadeia a comprarem tokens TOMMI. Quando um número considerável de robôs de nova emissão caiu na armadilha, o atacante usou o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller despejou 38.739.354 tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vieram de uma autorização maliciosa de Aprovação do contrato do token TOMMI; quando o contrato do token TOMMI foi implantado, ele concedeu ao Rug Puller permissões de aprovação do pool de liquidez, permitindo que o Rug Puller pudesse retirar diretamente os tokens TOMMI do pool de liquidez e então realizar o Rug Pull.
Rug Puller disfarçado de usuário (um deles): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Endereço de transferência de fundos do Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
Endereço de retenção de fundos do Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
transações relacionadas
Deployer obtém capital inicial de uma exchange centralizada: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Implantar o Token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Criar pool de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Endereço de transferência de fundos envia fundos para um usuário disfarçado (um deles): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Camuflar a compra de Token pelo usuário (um deles): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envia os fundos recebidos para o endereço intermediário: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará os fundos para o endereço de retenção de fundos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
processo de Rug Pull
Preparar fundos para o ataque.
O atacante depositou 2.47309009ETH no Token Deployer (0x4bAF) através de uma exchange centralizada como capital inicial para o Rug Pull.
Implantar Token Rug Pull com backdoor.
O Deployer cria o Token TOMMI, pré-minerando 100,000,000 tokens e alocando-os para si próprio.
Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
Destruir todo o suprimento de Token pré-minerado.
O Token Deployer envia todos os tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não possui função de Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de novos lançamentos; alguns robôs de novos lançamentos avaliam se os tokens recém-adicionados à pool têm risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de novos lançamentos).
Volume de transações falso.
Os atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool, atraindo ainda mais robôs de negociação para entrar (a base para determinar que esses endereços são disfarçados de atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desestabilizar o pool, obtendo cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transição 0xD921.
O endereço de transição 0xD921 enviou fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e esse endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma quantidade menor de fundos será retirada por meio de uma exchange centralizada. Encontramos vários endereços de retenção de fundos, e 0x2836 é um deles.
Código de porta dos fundos do Rug Pull
Os atacantes, embora tenham tentado provar ao mundo exterior que não conseguem realizar um Rug Pull ao destruir os Tokens LP, na verdade deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI. Esta porta dos fundos permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os Tokens do pool de liquidez.
A implementação da função openTrading é mostrada na figura 9, cuja principal funcionalidade é criar novas pools de liquidez, mas o atacante
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
4
Republicar
Partilhar
Comentar
0/400
WalletInspector
· 21h atrás
Os golpistas bloquearam a carteira novamente.
Ver originalResponder0
MEVictim
· 21h atrás
Justo este mercado quebrado e ainda quer criar novas moedas? Puxar o tapete
Ver originalResponder0
MetaMaskVictim
· 21h atrás
Ser enganado por idiotas esta coisa quando é que acaba?
Ver originalResponder0
PebbleHander
· 22h atrás
Isso é realmente absurdo, o capital não passou por uma conformidade?
Ethereum novo Token até 48% envolve gangue de Rug Pull que liquidou 800 milhões de dólares
Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de Tokens Ethereum
Introdução
No mundo Web3, novos tokens estão surgindo constantemente. Você já se perguntou quantos novos tokens são emitidos todos os dias? Esses novos tokens são seguros?
Estas dúvidas não surgem do nada. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os Tokens envolvidos nesses casos são, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de uma organização criminosa por trás deles e resumindo as características padronizadas desses esquemas. Através de uma análise detalhada das táticas usadas por esses grupos, foi descoberta uma possível via de promoção de fraudes pelos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a função "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, eventualmente, lucrar através do Rug Pull.
A equipe contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e o início de agosto de 2024, descobrindo que foram enviados 93.930 novos tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando uma proporção de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, com um retorno de até 188,7%, lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos por grupos do Telegram na mainnet do Ethereum, a equipe coletou dados sobre novos tokens emitidos na mainnet do Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da mainnet. Em média, cerca de 370 novos tokens são criados por dia, superando amplamente as expectativas razoáveis. Após uma investigação aprofundada, a verdade revelada é alarmante – pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet do Ethereum está envolvido em fraudes.
Além disso, a equipe também descobriu mais casos de Rug Pull em outras redes de blockchain. Isso significa que não é apenas a mainnet do Ethereum, a situação de segurança de todo o novo ecossistema de tokens Web3 é muito mais severa do que o esperado. Assim, a equipe redigiu este relatório de pesquisa, esperando poder ajudar todos os membros do Web3 a aumentar a conscientização sobre a prevenção, mantendo-se vigilantes diante de fraudes cada vez mais frequentes e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.
ERC-20 Token
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de tokens mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens operem de forma interoperável entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 estabelece as funções básicas dos tokens, como transferências, verificação de saldo e autorização de terceiros para gerenciar os tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com maior facilidade, simplificando a criação e o uso dos mesmos. Na prática, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base para muitos ICOs e projetos de finanças descentralizadas.
As moedas que conhecemos, como USDT, PEPE e DOGE, pertencem ao padrão ERC-20 Token, e os usuários podem comprá-las através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios Tokens ERC-20 maliciosos com backdoors, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos o caso de um Token Rug Pull como exemplo de fraude para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta em que a equipe do projeto em um projeto de finanças descentralizadas retira repentinamente os fundos ou abandona o projeto, resultando em enormes perdas para os investidores. O Token Rug Pull, por sua vez, é um token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo vamos nos referir a eles uniformemente como tokens Rug Pull.
caso
O atacante (grupo Rug Pull) usou o endereço Deployer (0x4bAF) para implantar o token TOMMI, depois criou um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, e comprou ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez para atrair usuários e robôs de nova emissão na cadeia a comprarem tokens TOMMI. Quando um número considerável de robôs de nova emissão caiu na armadilha, o atacante usou o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller despejou 38.739.354 tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vieram de uma autorização maliciosa de Aprovação do contrato do token TOMMI; quando o contrato do token TOMMI foi implantado, ele concedeu ao Rug Puller permissões de aprovação do pool de liquidez, permitindo que o Rug Puller pudesse retirar diretamente os tokens TOMMI do pool de liquidez e então realizar o Rug Pull.
endereço relacionado
transações relacionadas
processo de Rug Pull
O atacante depositou 2.47309009ETH no Token Deployer (0x4bAF) através de uma exchange centralizada como capital inicial para o Rug Pull.
O Deployer cria o Token TOMMI, pré-minerando 100,000,000 tokens e alocando-os para si próprio.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
O Token Deployer envia todos os tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não possui função de Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de novos lançamentos; alguns robôs de novos lançamentos avaliam se os tokens recém-adicionados à pool têm risco de Rug Pull. O Deployer também define o Owner do contrato como o endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de novos lançamentos).
Os atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool, atraindo ainda mais robôs de negociação para entrar (a base para determinar que esses endereços são disfarçados de atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
Código de porta dos fundos do Rug Pull
Os atacantes, embora tenham tentado provar ao mundo exterior que não conseguem realizar um Rug Pull ao destruir os Tokens LP, na verdade deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI. Esta porta dos fundos permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os Tokens do pool de liquidez.
A implementação da função openTrading é mostrada na figura 9, cuja principal funcionalidade é criar novas pools de liquidez, mas o atacante