Глубокое расследование случаев Rug Pull, раскрывающее хаос в экосистеме токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не возникли на пустом месте. За последние несколько месяцев одна команда безопасности зафиксировала большое количество случаев Rug Pull. Стоит отметить, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, только что вышедшими на блокчейн.
Затем команда провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоит организованная преступная группа, а также обобщила модельные характеристики этих мошенничеств. Путем глубокого анализа методов работы этих групп было выявлено одно возможное направление мошеннического продвижения группами Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Команда проанализировала информацию о токенах, отправленных в этих группах Telegram, с ноября 2023 года по начало августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53%. По данным статистики, общие инвестиции групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и с доходностью до 188.7% они заработали 282,699.96 Эфир, что составляет примерно 800 миллионов долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, команда собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100 260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89,99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После тщательного расследования была обнаружена тревожная правда — как минимум 48 265 токенов вовлечены в мошенничество Rug Pull, что составляет 48,14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, команда также обнаружила больше случаев Rug Pull в других блокчейн-сетях. Это означает, что безопасность новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому команда подготовила этот исследовательский отчет, надеясь помочь всем членам Web3 повысить уровень осведомленности о предотвращении мошенничества, оставаться бдительными перед лицом постоянно возникающих схем и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.
ERC-20 токен является одним из самых распространенных стандартов токенов в блокчейне, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, запрос баланса, разрешение третьим лицам управлять токенами и т.д. Благодаря этой стандартизированной протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 токенов они стали основой для множества ICO и децентрализованных финансовых проектов.
USDT, PEPE и DOGE, которые мы знаем, являются токенами ERC-20. Пользователи могут приобрести эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками в коде, размещать их на децентрализованных биржах и затем诱导用户进行购买.
Типичные случаи мошенничества с Rug Pull токенами
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы углубиться в операционные модели злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull - это мошенническое действие, при котором команда проекта внезапно выводит средства или abandons проект в децентрализованных финансовых проектах, что приводит к значительным потерям для инвесторов. А токены Rug Pull - это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаемые токены Rug Pull иногда также называются "медовой банкой (Honey Pot)" или "схемой выхода (Exit Scam)", но в дальнейшем мы будем единогласно называть их токенами Rug Pull.
Пример
Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали ликвидный пул с 1,5 ETH и 100 000 000 токенов TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торговли ликвидного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось на уловку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull; Rug Puller разбил ликвидный пул с 38 739 354 токенами TOMMI, обменяв их на примерно 3,95 ETH. Токены Rug Puller поступили от злонамеренного одобрения в контракте токена TOMMI; при развертывании контракта токена TOMMI Rug Puller получает права approve на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.
Создание ликвидного пула: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес для перевода средств отправляет средства замаскированному пользователю (один из них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскировка пользователя для покупки токенов (один из них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправил полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Промежуточный адрес отправляет средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процесс Rug Pull
Подготовьте средства для атаки.
Атакующий через централизованную биржу пополнил Token Deployer (0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.
Развертывание токенов Rug Pull с задней дверцей.
Deployer создает токен TOMMI, предварительно добывает 100,000,000 токенов и распределяет их себе.
Создать начальный пул ликвидности.
Деплойер использовал 1,5 Эфира и все предварительно добытые токены для создания ликвидного пула, получив примерно 0,387 LP токенов.
Уничтожить все запасы предварительно добытых токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения, так как в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже утратил возможность Rug Pull. (Это также одно из необходимых условий для привлечения ботов для участия в новых токенах, некоторые из таких ботов оценивают, существует ли риск Rug Pull у новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы ботов).
Поддельный объем торгов.
Злоумышленники активно покупают токены TOMMI из ликвидностного пула с нескольких адресов, разгоняя объемы торгов в пуле, что дополнительно привлекает роботов для участия в новых токенах (основание для определения того, что эти адреса принадлежат злоумышленникам: средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull).
Злоумышленник инициировал Rug Pull через адрес Rug Puller (0x43A9), напрямую вывел 38,739,354 Токенов из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы подорвать пул, изъяв примерно 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Адрес промежуточного хранилища 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем видеть, что после завершения Rug Pull, Rug Puller отправляет средства на определенный адрес хранения средств. Адрес хранения средств является местом сбора средств в многочисленных случаях Rug Pull, которые мы отслеживаем; адрес хранения средств будет разделять большую часть полученных средств для начала нового раунда Rug Pull, в то время как оставшаяся небольшая сумма будет выведена через централизованные биржи. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
Код задней двери Rug Pull
Несмотря на то, что злоумышленники попытались доказать внешнему миру, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле они оставили в функции openTrading контракта токена TOMMI злонамеренный бэкдор approve, который позволяет при создании ликвидностного пула предоставлять Rug Puller адресу разрешение на перевод токенов, что позволяет адресу Rug Puller напрямую выводить токены из ликвидностного пула.
Реализация функции openTrading показана на рисунке 9, её основная функция — создание нового пула ликвидности, но злоумышленник
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
4
Репост
Поделиться
комментарий
0/400
WalletInspector
· 21ч назад
Мошенники снова заблокировали Кошелек.
Посмотреть ОригиналОтветить0
MEVictim
· 21ч назад
В этом ужасном рынке еще хотят запустить новые токены? Мошенничество
Посмотреть ОригиналОтветить0
MetaMaskVictim
· 21ч назад
Будут играть для лохов эта история когда-нибудь закончится?
Посмотреть ОригиналОтветить0
PebbleHander
· 22ч назад
Это действительно абсурд. Финансирование не прошло соответствующий контроль?
Ethereum новый токен до 48% связан с ловушка группой, которая вывела 800 миллионов долларов.
Глубокое расследование случаев Rug Pull, раскрывающее хаос в экосистеме токенов Ethereum
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не возникли на пустом месте. За последние несколько месяцев одна команда безопасности зафиксировала большое количество случаев Rug Pull. Стоит отметить, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, только что вышедшими на блокчейн.
Затем команда провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоит организованная преступная группа, а также обобщила модельные характеристики этих мошенничеств. Путем глубокого анализа методов работы этих групп было выявлено одно возможное направление мошеннического продвижения группами Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Команда проанализировала информацию о токенах, отправленных в этих группах Telegram, с ноября 2023 года по начало августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53%. По данным статистики, общие инвестиции групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, и с доходностью до 188.7% они заработали 282,699.96 Эфир, что составляет примерно 800 миллионов долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, команда собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100 260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89,99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После тщательного расследования была обнаружена тревожная правда — как минимум 48 265 токенов вовлечены в мошенничество Rug Pull, что составляет 48,14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, команда также обнаружила больше случаев Rug Pull в других блокчейн-сетях. Это означает, что безопасность новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому команда подготовила этот исследовательский отчет, надеясь помочь всем членам Web3 повысить уровень осведомленности о предотвращении мошенничества, оставаться бдительными перед лицом постоянно возникающих схем и своевременно принимать необходимые меры предосторожности для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.
ERC-20 токен является одним из самых распространенных стандартов токенов в блокчейне, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, запрос баланса, разрешение третьим лицам управлять токенами и т.д. Благодаря этой стандартизированной протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и собрать стартовый капитал для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 токенов они стали основой для множества ICO и децентрализованных финансовых проектов.
USDT, PEPE и DOGE, которые мы знаем, являются токенами ERC-20. Пользователи могут приобрести эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками в коде, размещать их на децентрализованных биржах и затем诱导用户进行购买.
Типичные случаи мошенничества с Rug Pull токенами
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы углубиться в операционные модели злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull - это мошенническое действие, при котором команда проекта внезапно выводит средства или abandons проект в децентрализованных финансовых проектах, что приводит к значительным потерям для инвесторов. А токены Rug Pull - это токены, выпущенные специально для осуществления такого мошенничества.
В данной статье упоминаемые токены Rug Pull иногда также называются "медовой банкой (Honey Pot)" или "схемой выхода (Exit Scam)", но в дальнейшем мы будем единогласно называть их токенами Rug Pull.
Пример
Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали ликвидный пул с 1,5 ETH и 100 000 000 токенов TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торговли ликвидного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось на уловку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull; Rug Puller разбил ликвидный пул с 38 739 354 токенами TOMMI, обменяв их на примерно 3,95 ETH. Токены Rug Puller поступили от злонамеренного одобрения в контракте токена TOMMI; при развертывании контракта токена TOMMI Rug Puller получает права approve на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.
связанный адрес
связанные сделки
Процесс Rug Pull
Атакующий через централизованную биржу пополнил Token Deployer (0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.
Deployer создает токен TOMMI, предварительно добывает 100,000,000 токенов и распределяет их себе.
Деплойер использовал 1,5 Эфира и все предварительно добытые токены для создания ликвидного пула, получив примерно 0,387 LP токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения, так как в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже утратил возможность Rug Pull. (Это также одно из необходимых условий для привлечения ботов для участия в новых токенах, некоторые из таких ботов оценивают, существует ли риск Rug Pull у новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы ботов).
Злоумышленники активно покупают токены TOMMI из ликвидностного пула с нескольких адресов, разгоняя объемы торгов в пуле, что дополнительно привлекает роботов для участия в новых токенах (основание для определения того, что эти адреса принадлежат злоумышленникам: средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull).
Код задней двери Rug Pull
Несмотря на то, что злоумышленники попытались доказать внешнему миру, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле они оставили в функции openTrading контракта токена TOMMI злонамеренный бэкдор approve, который позволяет при создании ликвидностного пула предоставлять Rug Puller адресу разрешение на перевод токенов, что позволяет адресу Rug Puller напрямую выводить токены из ликвидностного пула.
Реализация функции openTrading показана на рисунке 9, её основная функция — создание нового пула ликвидности, но злоумышленник