Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи задумувалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання виникають не без підстав. Протягом останніх кількох місяців одна команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, що були залучені в ці випадки, без винятку є новими токенами, які лише нещодавно з'явилися в мережі.
Потім команда провела глибоке розслідування цих випадків Rug Pull і виявила, що за цим стоять організовані злочинні угруповання, підсумувавши типові риси цих шахрайств. Завдяки глибокому аналізу методів злочинної діяльності цих угруповань було виявлено один можливий шлях шахрайського просування Rug Pull: групи Telegram. Ці угруповання використовують функцію "New Token Tracer" у деяких групах, щоб залучити користувачів купувати шахрайські токени і врешті-решт отримувати прибуток через Rug Pull.
Команда підрахувала інформацію про токени, що надсилалися в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, і виявила, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. За підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток склав 282,699.96 ETH з рентабельністю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які надсилаються через групи Telegram, у мережі Ethereum, команда зібрала дані про нові токени, випущені в мережі Ethereum за той же період. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, надіслані через групи Telegram, становлять 89.99% від загальної кількості в мережі. Середньо щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після постійного поглибленого розслідування виявлена тривожна істина — щонайменше 48,265 токенів залучені до шахрайств Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, команда виявила ще більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що безпека нових токенів екосистеми Web3 є значно серйознішою, ніж очікувалося, не лише на основній мережі Ethereum. Тому команда підготувала цей звіт, сподіваючись допомогти всім учасникам Web3 підвищити обізнаність про запобігання, залишатися пильними у світлі безлічі шахрайств і вчасно вжити необхідних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як розпочати цей звіт, давайте спочатку розглянемо деякі основні поняття.
ERC-20 Токен є одним з найпоширеніших стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як переказ, перевірка балансу, надання доступу третім особам для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробникам легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа чи організація може випустити власний токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів шляхом попереднього продажу токенів. Саме завдяки широкому використанню ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є ERC-20 токенами. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати шкідливі ERC-20 токени з кодами-задніми дверима, викладати їх на децентралізовані біржі та спонукати користувачів до покупки.
Типові випадки шахрайства з Токенами Rug Pull
Тут ми запозичуємо приклад шахрайства з Токеном Rug Pull, щоб детально вивчити модель роботи злочинних Токенів. По-перше, слід зазначити, що Rug Pull - це шахрайська дія, коли команда проекту в децентралізованому фінансовому проекті раптово забирає кошти або відмовляється від проекту, що призводить до великих втрат для інвесторів. Токени Rug Pull - це Токени, які випускаються спеціально для здійснення такого шахрайства.
У цій статті згадані токени Rug Pull, які іноді також називають "медова банка (Honey Pot) токени" або "схема втечі (Exit Scam) токени", але далі ми будемо єдино називати їх токенами Rug Pull.
випадок
Атакуюча сторона (група Rug Pull) використовує адресу Deployer (0x4bAF) для розгортання токена TOMMI, після чого вкладає 1,5 ETH і 100 000 000 токенів TOMMI для створення ліквіднісного пулу, а також активно купує токени TOMMI з інших адрес, щоб сфальсифікувати обсяги торгівлі ліквіднісного пулу та залучити користувачів і боти для купівлі токенів TOMMI. Коли певна кількість ботів потрапляє в пастку, атакуюча сторона використовує адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller скидає ліквіднісний пул на 38 739 354 токени TOMMI, обмінюючи їх на приблизно 3,95 ETH. Токени Rug Puller походять з шкідливого дозволу Approve токена TOMMI, який було надано Rug Puller під час розгортання контракту токена TOMMI, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім здійснювати Rug Pull.
Rug Pull відправляє отримані кошти на адрес у проміжному рахунку: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Адреса пересилки відправляє кошти на адресу зберігання коштів: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процес Rug Pull
Підготувати фінансування для атаки.
Зловмисник через централізовану біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
Розгортання токена Rug Pull з бекдоором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх між собою.
Створення початкового ліквідного пулу.
Deployer використав 1.5 Етер і всі попередньо видобуті токени для створення ліквідності пулу, отримавши приблизно 0.387 LP токенів.
Знищити весь обсяг попередньо видобутих Токенів.
Token Deployer відправляє всі LP токени на адресу 0 для знищення. Оскільки в контракті TOMMI немає функції Mint, то на даний момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також одна з необхідних умов для залучення ботів для нових токенів; деякі боти оцінюють, чи є в нових токенах ризик Rug Pull. Deployer також встановлює власника контракту на адресу 0, щоб обманути програми протидії шахрайству ботів для нових токенів.)
Підробка обсягу交易.
Атакуюча сторона активно купує токени TOMMI з ліквідного пулу з кількох адрес, підвищуючи обсяги торгів у пулі, що додатково приваблює роботів для нових інвестицій (підставою для визначення, що ці адреси є маскуванням атакуючих, є те, що кошти з цих адрес походять з історичних адрес переказу коштів групи Rug Pull).
Зловмисник розпочав Rug Pull за адресою Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використавши ці токени, щоб розбити пул і отримати близько 3.95 Етер.
Зловмисник відправив кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Проміжна адреса 0xD921 відправляє кошти на адресу зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправить кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де ми спостерігаємо за великою кількістю випадків Rug Pull, адреса зберігання коштів розділить більшу частину отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невелика сума коштів буде виведена через централізовану біржу. Ми виявили кілька адрес зберігання коштів, 0x2836 є однією з них.
Код для Rug Pull з бекдором
Хоча зловмисники вже спробували довести зовнішньому світу, що не можуть здійснити Rug Pull, знищивши LP токени, насправді вони залишили зловмисний бекдор у функції openTrading контракту токена TOMMI, який під час створення ліквідності дозволяє ліквідності схвалити передачу токенів на адресу Rug Puller, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідності.
реалізація функції openTrading наведена на малюнку 9, її основна функція полягає в створенні нового пулу ліквідності, але зловмисник
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
4
Репост
Поділіться
Прокоментувати
0/400
WalletInspector
· 08-12 14:21
Шахраї знову заблокували гаманець.
Переглянути оригіналвідповісти на0
MEVictim
· 08-12 14:12
Просто цей жахливий ринок, а ще хочуть запустити нову монету? Шахрайство
Переглянути оригіналвідповісти на0
MetaMaskVictim
· 08-12 14:08
Обман для дурнів ця справа коли закінчиться?
Переглянути оригіналвідповісти на0
PebbleHander
· 08-12 13:58
Справжня безглуздість, гроші навіть не пройшли Відповідність?
Ethereum новий токен до 48% пов'язаний з пастка Rug Pull, банда зняла 800 мільйонів доларів
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи задумувалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання виникають не без підстав. Протягом останніх кількох місяців одна команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, що були залучені в ці випадки, без винятку є новими токенами, які лише нещодавно з'явилися в мережі.
Потім команда провела глибоке розслідування цих випадків Rug Pull і виявила, що за цим стоять організовані злочинні угруповання, підсумувавши типові риси цих шахрайств. Завдяки глибокому аналізу методів злочинної діяльності цих угруповань було виявлено один можливий шлях шахрайського просування Rug Pull: групи Telegram. Ці угруповання використовують функцію "New Token Tracer" у деяких групах, щоб залучити користувачів купувати шахрайські токени і врешті-решт отримувати прибуток через Rug Pull.
Команда підрахувала інформацію про токени, що надсилалися в цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, і виявила, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. За підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток склав 282,699.96 ETH з рентабельністю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які надсилаються через групи Telegram, у мережі Ethereum, команда зібрала дані про нові токени, випущені в мережі Ethereum за той же період. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, надіслані через групи Telegram, становлять 89.99% від загальної кількості в мережі. Середньо щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після постійного поглибленого розслідування виявлена тривожна істина — щонайменше 48,265 токенів залучені до шахрайств Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, команда виявила ще більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що безпека нових токенів екосистеми Web3 є значно серйознішою, ніж очікувалося, не лише на основній мережі Ethereum. Тому команда підготувала цей звіт, сподіваючись допомогти всім учасникам Web3 підвищити обізнаність про запобігання, залишатися пильними у світлі безлічі шахрайств і вчасно вжити необхідних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як розпочати цей звіт, давайте спочатку розглянемо деякі основні поняття.
ERC-20 Токен є одним з найпоширеніших стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як переказ, перевірка балансу, надання доступу третім особам для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробникам легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа чи організація може випустити власний токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів шляхом попереднього продажу токенів. Саме завдяки широкому використанню ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є ERC-20 токенами. Користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати шкідливі ERC-20 токени з кодами-задніми дверима, викладати їх на децентралізовані біржі та спонукати користувачів до покупки.
Типові випадки шахрайства з Токенами Rug Pull
Тут ми запозичуємо приклад шахрайства з Токеном Rug Pull, щоб детально вивчити модель роботи злочинних Токенів. По-перше, слід зазначити, що Rug Pull - це шахрайська дія, коли команда проекту в децентралізованому фінансовому проекті раптово забирає кошти або відмовляється від проекту, що призводить до великих втрат для інвесторів. Токени Rug Pull - це Токени, які випускаються спеціально для здійснення такого шахрайства.
У цій статті згадані токени Rug Pull, які іноді також називають "медова банка (Honey Pot) токени" або "схема втечі (Exit Scam) токени", але далі ми будемо єдино називати їх токенами Rug Pull.
випадок
Атакуюча сторона (група Rug Pull) використовує адресу Deployer (0x4bAF) для розгортання токена TOMMI, після чого вкладає 1,5 ETH і 100 000 000 токенів TOMMI для створення ліквіднісного пулу, а також активно купує токени TOMMI з інших адрес, щоб сфальсифікувати обсяги торгівлі ліквіднісного пулу та залучити користувачів і боти для купівлі токенів TOMMI. Коли певна кількість ботів потрапляє в пастку, атакуюча сторона використовує адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller скидає ліквіднісний пул на 38 739 354 токени TOMMI, обмінюючи їх на приблизно 3,95 ETH. Токени Rug Puller походять з шкідливого дозволу Approve токена TOMMI, який було надано Rug Puller під час розгортання контракту токена TOMMI, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу, а потім здійснювати Rug Pull.
відповідна адреса
пов'язані транзакції
Процес Rug Pull
Зловмисник через централізовану біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх між собою.
Deployer використав 1.5 Етер і всі попередньо видобуті токени для створення ліквідності пулу, отримавши приблизно 0.387 LP токенів.
Token Deployer відправляє всі LP токени на адресу 0 для знищення. Оскільки в контракті TOMMI немає функції Mint, то на даний момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також одна з необхідних умов для залучення ботів для нових токенів; деякі боти оцінюють, чи є в нових токенах ризик Rug Pull. Deployer також встановлює власника контракту на адресу 0, щоб обманути програми протидії шахрайству ботів для нових токенів.)
Атакуюча сторона активно купує токени TOMMI з ліквідного пулу з кількох адрес, підвищуючи обсяги торгів у пулі, що додатково приваблює роботів для нових інвестицій (підставою для визначення, що ці адреси є маскуванням атакуючих, є те, що кошти з цих адрес походять з історичних адрес переказу коштів групи Rug Pull).
Код для Rug Pull з бекдором
Хоча зловмисники вже спробували довести зовнішньому світу, що не можуть здійснити Rug Pull, знищивши LP токени, насправді вони залишили зловмисний бекдор у функції openTrading контракту токена TOMMI, який під час створення ліквідності дозволяє ліквідності схвалити передачу токенів на адресу Rug Puller, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідності.
реалізація функції openTrading наведена на малюнку 9, її основна функція полягає в створенні нового пулу ліквідності, але зловмисник