يشتبه في أن ما يقرب من 50٪ من الرموز المميزة الجديدة في نظام Ethereum البيئي تحتل على عصابة Rug Pull بقيمة 800 مليون دولار ، وتم الكشف عن عملية الصندوق الأسود
تحقيق متعمق في حالات سحب البساط، يكشف عن فوضى بيئة عملة إثيريوم
في عالم Web3، تظهر عملات جديدة باستمرار. هل تساءلت يومًا عن عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا هدف. في الأشهر القليلة الماضية، تمكن فريق الأمان من التقاط عدد كبير من حالات عمليات السحب المفاجئ. ومن الجدير بالذكر أن جميع العملات التي تم تضمينها في هذه الحالات هي عملات جديدة تم إدراجها مؤخرًا.
بعد ذلك، قام فريق الأمان بإجراء تحقيقات عميقة في حالات السحب المفاجئ (Rug Pull) هذه، واكتشفوا وجود عصابات منظمة وراءها، وقاموا بتلخيص الميزات النمطية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات، تم اكتشاف طريق محتمل لترويج الاحتيالات من قبل عصابات السحب المفاجئ: مجموعات تلغرام. تستغل هذه العصابات ميزة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات مزيفة وتحقيق الربح في النهاية من خلال السحب المفاجئ.
قام فريق الأمان بإحصاء معلومات دفع العملات الرقمية من مجموعات Telegram خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجدوا أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من عملات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. ووفقًا للإحصاءات، فإن التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات Rug Pull بلغت 149,813.72 ETH، مع تحقيق أرباح تصل إلى 282,699.96 ETH بمعدل عائد مرتفع يصل إلى 188.7%، وهو ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة المدفوعة من مجموعات Telegram على الشبكة الرئيسية لإثيريوم، قام فريق الأمان بجمع بيانات العملات الجديدة التي تم إصدارها على الشبكة الرئيسية لإثيريوم خلال نفس الفترة الزمنية. تظهر البيانات أنه تم إصدار 100,260 عملة جديدة خلال هذه الفترة، حيث تشكل العملات المدفوعة من مجموعات Telegram 89.99% من الشبكة الرئيسية. متوسط عدد العملات الجديدة التي تظهر يومياً يبلغ حوالي 370 عملة، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيقات متعمقة، كانت الحقيقة مثيرة للقلق - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، مما يمثل 48.14% من الإجمالي. بعبارة أخرى، فإن واحداً من كل عملتين جديدتين على الشبكة الرئيسية لإثيريوم تقريباً متورط في الاحتيال.
بالإضافة إلى ذلك، اكتشف فريق الأمان المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني ليس فقط على الشبكة الرئيسية لإيثر، بل إن حالة الأمن في النظام البيئي للعملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا. لذلك، كتب فريق الأمان هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء متيقظين أمام الحيل المتكررة، واتخاذ الاحتياطات اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نتعرف على بعض المفاهيم الأساسية.
عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على blockchain حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، والتحقق من الرصيد، وتفويض الأطراف الثالثة لإدارة العملة، وما إلى ذلك. بفضل هذه البروتوكولات المعيارية، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتها الخاصة بناءً على معيار ERC-20 وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والأسواق المالية اللامركزية.
الـ USDT وPEPE وDOGE التي نعرفها جميعًا هي عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، ثم إدراجها في البورصات اللامركزية، مما يؤدي إلى تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم نمط تشغيل الاحتيالات المتعلقة بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull تشير إلى سلوك احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما تُعتبر عملة Rug Pull عملة صُممت خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات التي تم الإشارة إليها في هذه المقالة تُعرف أحيانًا باسم "عملات الفخ" أو "عملات الاحتيال"، ولكن في الجزء التالي سنطلق عليها جميعًا اسم عملات Rug Pull.
حالة
المهاجمون (عصابة سحب السجادة) يستخدمون عنوان النشر لنشر عملة TOMMI، ثم يستخدمون 1.5 ETH و 100,000,000 TOMMI لإنشاء بركة السيولة، ويقومون بشكل نشط بشراء عملة TOMMI من عناوين أخرى لتزوير حجم تداول بركة السيولة لجذب المستخدمين وروبوتات شراء العملات على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات شراء العملات في الفخ، يقوم المهاجم بتنفيذ سحب السجادة بعنوان سحب السجادة، حيث يقوم ساحب السجادة بضخ 38,739,354 من عملات TOMMI في بركة السيولة، مما يبادل حوالي 3.95 ETH. مصدر عملات ساحب السجادة يأتي من الموافقة الخبيثة على عملة TOMMI، حيث يتم منح ساحب السجادة صلاحية الموافقة على بركة السيولة عند نشر عقد عملة TOMMI، مما يجعل ساحب السجادة قادراً على سحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ سحب السجادة.
عملية سحب السجادة
إعداد أموال الهجوم.
المهاجمون من خلال البورصة المركزية، قاموا بشحن 2.47309009ETH إلى مُنشئ الرمز كأموال لبدء عملية سحب السجادة.
نشر عملة Rug Pull تحتوي على باب خلفي.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين مسبقًا 100,000,000 عملة وتوزيعها على نفسه.
إنشاء حوض السيولة الأولي.
قام المطور باستخدام 1.5 ايثر و جميع العملات المسبقة التعدين لإنشاء حوض السيولة، وحصل على حوالي 0.387 من رموز LP.
تدمير جميع إمدادات العملات المسبقة.
سيقوم مُنشئ الرمز بإرسال جميع رموز السيولة إلى عنوان 0 للتدمير، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن مُنشئ الرمز قد فقد نظريًا القدرة على سحب السجادة.
حجم المعاملات المزيف.
هاجم المهاجمون عدة عناوين لشراء عملة TOMMI بنشاط من تجمع السيولة، مما أدى إلى زيادة حجم التداول في التجمع، وجذب المزيد من الروبوتات لدخول السوق.
قام المهاجم بإطلاق Rug Pull من خلال عنوان Rug Puller، حيث تم سحب 38,739,354 عملة مباشرة من حوض السيولة عبر باب خلفي للتوكن، ثم استخدم هذه العملات لتفجير الحوض وسحب حوالي 3.95 ايثر.
المهاجم يرسل الأموال الناتجة عن سحب البساط إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان التبديل إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه عندما تكتمل عملية السحب المفاجئ، سيقوم الساحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو مركز تجميع الأموال لحالات السحب المفاجئ العديدة التي تم مراقبتها، حيث سيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب كمية صغيرة متبقية من الأموال عبر بورصات مركزية.
كود ثغرة السحب المفاجئ
على الرغم من أن المهاجمين حاولوا إثبات أنهم لا يمكنهم تنفيذ سحب السجادة من خلال تدمير رموز LP، إلا أنهم تركوا في الواقع باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء بركة السيولة برمز التحويل للمهاجمين إلى عنوان سحب السجادة، مما يمكنهم من نقل الرموز مباشرة من بركة السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المهاجم بالحصول على مصدر التمويل من خلال بورصة مركزية لعناوين النشر (Deployer): أولا، يوفر المهاجم مصدر التمويل لعناوين النشر من خلال بورصة مركزية.
يقوم المطور بإنشاء مجموعة سيولة وتدمير عملات LP: بعد إنشاء عملة Rug Pull، يقوم المطور على الفور بإنشاء مجموعة سيولة لها، وتدمير عملات LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يستخدم ساحب السجادة كمية كبيرة من العملة لتبادل ETH في بركة السيولة: يستخدم عنوان ساحب السجادة (Rug Puller) كمية كبيرة من العملة (عادة ما تتجاوز الكمية الإجمالية المعروضة من العملة) لتبادل ETH في بركة السيولة. في حالات أخرى، قد يقوم ساحب السجادة أيضًا بإزالة السيولة للحصول على ETH الموجود في البركة.
سيسحب Rug Puller ETH المكتسب من Rug Pull إلى عنوان الاحتفاظ بالصناديق: سيقوم Rug Puller بنقل ETH المكتسب إلى عنوان الاحتفاظ بالصناديق، أحيانًا من خلال عنوان وسيط للانتقال.
توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يدل على أن سلوك سحب السجادة له سمات نمطية واضحة. علاوة على ذلك، بعد إتمام سحب السجادة، يتم عادة تجميع الأموال في عنوان احتياطي، مما يشير إلى أن هذه الحالات المستقلة الظاهرة قد تتضمن نفس المجموعة أو حتى نفس عصابة الاحتيال.
استنادًا إلى هذه الخصائص، قامت فرق الأمان باستخراج نمط سلوك لسحب البساط، واستخدمت هذا النمط لفحص الحالات التي تم رصدها، على أمل بناء صورة محتملة للعصابات المحتالة.
عصابة سحب السجادة
عنوان احتفاظ أموال التعدين
كما تم ذكره سابقاً، فإن حالات Rug Pull عادة ما تجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. استناداً إلى هذه النموذج، اختار فريق الأمان بعض عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بأساليب الجرائم المرتبطة بها لإجراء تحليل متعمق.
هناك 7 عناوين للاحتفاظ بالأموال ظهرت على السطح، وهذه العناوين مرتبطة بـ 1,124 حالة سحب سجاد تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ الاحتيال بنجاح، تقوم عصابات سحب السجاد بتجميع الأرباح غير القانونية في هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في عمليات سحب سجاد مستقبلية، والتلاعب في أحواض السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال منصات التداول المركزية أو منصات الصرف السريع.
من خلال إحصاء تكاليف وإيرادات جميع عمليات الاحتيال Rug Pull في كل عنوان احتفاظ بالتمويل، حصل فريق الأمان على البيانات ذات الصلة.
في عملية احتيال Rug Pull كاملة، عادةً ما تستخدم عصابة Rug Pull عنوانًا واحدًا كمُنشئ لعملة Rug Pull، وتقوم بسحب الأموال من البورصات المركزية للحصول على رأس المال اللازم لإنشاء عملة Rug Pull وحوض السيولة المناسب. عندما تكتسب عددًا كافيًا من المستخدمين أو الروبوتات الجديدة التي تستخدم ETH لشراء عملة Rug Pull، ستقوم عصابة Rug Pull باستخدام عنوان آخر كمُنفذ لعملية Rug Pull لنقل الأموال المستخرجة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة، يتم اعتبار ETH الذي حصل عليه Deployer من خلال البورصة، أو ETH المودع من قبل Deployer عند إنشاء بركة السيولة، كتكلفة لجذب السحب (كيفية حساب ذلك تعتمد على سلوك Deployer). بينما يتم اعتبار ETH الذي تم نقله بعد الانتهاء من جذب السحب إلى عنوان الاحتفاظ بالأموال (أو عنوان وسيط آخر) كدخل لجذب السحب.
تجدر الإشارة إلى أن عصابة سحب السجادة عند تنفيذها لعملية احتيال، ستستخدم أيضًا بنشاط ايثر لشراء عملة سحب السجادة التي أنشأتها، لمحاكاة أنشطة تجمع السيولة الطبيعية، وبالتالي جذب روبوتات الشراء الجديدة. لكن هذه التكاليف لم تُدرج في الحساب، مما أدى إلى تقدير مبالغ فيه لأرباح عصابة سحب السجادة، وستكون الأرباح الحقيقية أقل نسبيًا.
في الواقع، حتى لو تم تجميع الأموال في أماكن احتفاظ مختلفة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
3
مشاركة
تعليق
0/400
ApeWithNoFear
· 08-02 03:22
هل تظن أنك تستطيع سرقة النقود في الزقاق بهذه المهارات فقط؟
يشتبه في أن ما يقرب من 50٪ من الرموز المميزة الجديدة في نظام Ethereum البيئي تحتل على عصابة Rug Pull بقيمة 800 مليون دولار ، وتم الكشف عن عملية الصندوق الأسود
تحقيق متعمق في حالات سحب البساط، يكشف عن فوضى بيئة عملة إثيريوم
في عالم Web3، تظهر عملات جديدة باستمرار. هل تساءلت يومًا عن عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه التساؤلات ليست بلا هدف. في الأشهر القليلة الماضية، تمكن فريق الأمان من التقاط عدد كبير من حالات عمليات السحب المفاجئ. ومن الجدير بالذكر أن جميع العملات التي تم تضمينها في هذه الحالات هي عملات جديدة تم إدراجها مؤخرًا.
بعد ذلك، قام فريق الأمان بإجراء تحقيقات عميقة في حالات السحب المفاجئ (Rug Pull) هذه، واكتشفوا وجود عصابات منظمة وراءها، وقاموا بتلخيص الميزات النمطية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات، تم اكتشاف طريق محتمل لترويج الاحتيالات من قبل عصابات السحب المفاجئ: مجموعات تلغرام. تستغل هذه العصابات ميزة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات مزيفة وتحقيق الربح في النهاية من خلال السحب المفاجئ.
قام فريق الأمان بإحصاء معلومات دفع العملات الرقمية من مجموعات Telegram خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجدوا أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من عملات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. ووفقًا للإحصاءات، فإن التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات Rug Pull بلغت 149,813.72 ETH، مع تحقيق أرباح تصل إلى 282,699.96 ETH بمعدل عائد مرتفع يصل إلى 188.7%، وهو ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة المدفوعة من مجموعات Telegram على الشبكة الرئيسية لإثيريوم، قام فريق الأمان بجمع بيانات العملات الجديدة التي تم إصدارها على الشبكة الرئيسية لإثيريوم خلال نفس الفترة الزمنية. تظهر البيانات أنه تم إصدار 100,260 عملة جديدة خلال هذه الفترة، حيث تشكل العملات المدفوعة من مجموعات Telegram 89.99% من الشبكة الرئيسية. متوسط عدد العملات الجديدة التي تظهر يومياً يبلغ حوالي 370 عملة، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيقات متعمقة، كانت الحقيقة مثيرة للقلق - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، مما يمثل 48.14% من الإجمالي. بعبارة أخرى، فإن واحداً من كل عملتين جديدتين على الشبكة الرئيسية لإثيريوم تقريباً متورط في الاحتيال.
بالإضافة إلى ذلك، اكتشف فريق الأمان المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني ليس فقط على الشبكة الرئيسية لإيثر، بل إن حالة الأمن في النظام البيئي للعملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا. لذلك، كتب فريق الأمان هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء متيقظين أمام الحيل المتكررة، واتخاذ الاحتياطات اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعونا نتعرف على بعض المفاهيم الأساسية.
عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على blockchain حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، والتحقق من الرصيد، وتفويض الأطراف الثالثة لإدارة العملة، وما إلى ذلك. بفضل هذه البروتوكولات المعيارية، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتها الخاصة بناءً على معيار ERC-20 وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والأسواق المالية اللامركزية.
الـ USDT وPEPE وDOGE التي نعرفها جميعًا هي عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، ثم إدراجها في البورصات اللامركزية، مما يؤدي إلى تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم نمط تشغيل الاحتيالات المتعلقة بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull تشير إلى سلوك احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما تُعتبر عملة Rug Pull عملة صُممت خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات التي تم الإشارة إليها في هذه المقالة تُعرف أحيانًا باسم "عملات الفخ" أو "عملات الاحتيال"، ولكن في الجزء التالي سنطلق عليها جميعًا اسم عملات Rug Pull.
حالة
المهاجمون (عصابة سحب السجادة) يستخدمون عنوان النشر لنشر عملة TOMMI، ثم يستخدمون 1.5 ETH و 100,000,000 TOMMI لإنشاء بركة السيولة، ويقومون بشكل نشط بشراء عملة TOMMI من عناوين أخرى لتزوير حجم تداول بركة السيولة لجذب المستخدمين وروبوتات شراء العملات على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات شراء العملات في الفخ، يقوم المهاجم بتنفيذ سحب السجادة بعنوان سحب السجادة، حيث يقوم ساحب السجادة بضخ 38,739,354 من عملات TOMMI في بركة السيولة، مما يبادل حوالي 3.95 ETH. مصدر عملات ساحب السجادة يأتي من الموافقة الخبيثة على عملة TOMMI، حيث يتم منح ساحب السجادة صلاحية الموافقة على بركة السيولة عند نشر عقد عملة TOMMI، مما يجعل ساحب السجادة قادراً على سحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ سحب السجادة.
عملية سحب السجادة
المهاجمون من خلال البورصة المركزية، قاموا بشحن 2.47309009ETH إلى مُنشئ الرمز كأموال لبدء عملية سحب السجادة.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين مسبقًا 100,000,000 عملة وتوزيعها على نفسه.
قام المطور باستخدام 1.5 ايثر و جميع العملات المسبقة التعدين لإنشاء حوض السيولة، وحصل على حوالي 0.387 من رموز LP.
سيقوم مُنشئ الرمز بإرسال جميع رموز السيولة إلى عنوان 0 للتدمير، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن مُنشئ الرمز قد فقد نظريًا القدرة على سحب السجادة.
هاجم المهاجمون عدة عناوين لشراء عملة TOMMI بنشاط من تجمع السيولة، مما أدى إلى زيادة حجم التداول في التجمع، وجذب المزيد من الروبوتات لدخول السوق.
قام المهاجم بإطلاق Rug Pull من خلال عنوان Rug Puller، حيث تم سحب 38,739,354 عملة مباشرة من حوض السيولة عبر باب خلفي للتوكن، ثم استخدم هذه العملات لتفجير الحوض وسحب حوالي 3.95 ايثر.
المهاجم يرسل الأموال الناتجة عن سحب البساط إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان التبديل إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه عندما تكتمل عملية السحب المفاجئ، سيقوم الساحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو مركز تجميع الأموال لحالات السحب المفاجئ العديدة التي تم مراقبتها، حيث سيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب كمية صغيرة متبقية من الأموال عبر بورصات مركزية.
كود ثغرة السحب المفاجئ
على الرغم من أن المهاجمين حاولوا إثبات أنهم لا يمكنهم تنفيذ سحب السجادة من خلال تدمير رموز LP، إلا أنهم تركوا في الواقع باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء بركة السيولة برمز التحويل للمهاجمين إلى عنوان سحب السجادة، مما يمكنهم من نقل الرموز مباشرة من بركة السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المهاجم بالحصول على مصدر التمويل من خلال بورصة مركزية لعناوين النشر (Deployer): أولا، يوفر المهاجم مصدر التمويل لعناوين النشر من خلال بورصة مركزية.
يقوم المطور بإنشاء مجموعة سيولة وتدمير عملات LP: بعد إنشاء عملة Rug Pull، يقوم المطور على الفور بإنشاء مجموعة سيولة لها، وتدمير عملات LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يستخدم ساحب السجادة كمية كبيرة من العملة لتبادل ETH في بركة السيولة: يستخدم عنوان ساحب السجادة (Rug Puller) كمية كبيرة من العملة (عادة ما تتجاوز الكمية الإجمالية المعروضة من العملة) لتبادل ETH في بركة السيولة. في حالات أخرى، قد يقوم ساحب السجادة أيضًا بإزالة السيولة للحصول على ETH الموجود في البركة.
سيسحب Rug Puller ETH المكتسب من Rug Pull إلى عنوان الاحتفاظ بالصناديق: سيقوم Rug Puller بنقل ETH المكتسب إلى عنوان الاحتفاظ بالصناديق، أحيانًا من خلال عنوان وسيط للانتقال.
توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يدل على أن سلوك سحب السجادة له سمات نمطية واضحة. علاوة على ذلك، بعد إتمام سحب السجادة، يتم عادة تجميع الأموال في عنوان احتياطي، مما يشير إلى أن هذه الحالات المستقلة الظاهرة قد تتضمن نفس المجموعة أو حتى نفس عصابة الاحتيال.
استنادًا إلى هذه الخصائص، قامت فرق الأمان باستخراج نمط سلوك لسحب البساط، واستخدمت هذا النمط لفحص الحالات التي تم رصدها، على أمل بناء صورة محتملة للعصابات المحتالة.
عصابة سحب السجادة
عنوان احتفاظ أموال التعدين
كما تم ذكره سابقاً، فإن حالات Rug Pull عادة ما تجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. استناداً إلى هذه النموذج، اختار فريق الأمان بعض عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بأساليب الجرائم المرتبطة بها لإجراء تحليل متعمق.
هناك 7 عناوين للاحتفاظ بالأموال ظهرت على السطح، وهذه العناوين مرتبطة بـ 1,124 حالة سحب سجاد تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ الاحتيال بنجاح، تقوم عصابات سحب السجاد بتجميع الأرباح غير القانونية في هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في عمليات سحب سجاد مستقبلية، والتلاعب في أحواض السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال منصات التداول المركزية أو منصات الصرف السريع.
من خلال إحصاء تكاليف وإيرادات جميع عمليات الاحتيال Rug Pull في كل عنوان احتفاظ بالتمويل، حصل فريق الأمان على البيانات ذات الصلة.
في عملية احتيال Rug Pull كاملة، عادةً ما تستخدم عصابة Rug Pull عنوانًا واحدًا كمُنشئ لعملة Rug Pull، وتقوم بسحب الأموال من البورصات المركزية للحصول على رأس المال اللازم لإنشاء عملة Rug Pull وحوض السيولة المناسب. عندما تكتسب عددًا كافيًا من المستخدمين أو الروبوتات الجديدة التي تستخدم ETH لشراء عملة Rug Pull، ستقوم عصابة Rug Pull باستخدام عنوان آخر كمُنفذ لعملية Rug Pull لنقل الأموال المستخرجة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة، يتم اعتبار ETH الذي حصل عليه Deployer من خلال البورصة، أو ETH المودع من قبل Deployer عند إنشاء بركة السيولة، كتكلفة لجذب السحب (كيفية حساب ذلك تعتمد على سلوك Deployer). بينما يتم اعتبار ETH الذي تم نقله بعد الانتهاء من جذب السحب إلى عنوان الاحتفاظ بالأموال (أو عنوان وسيط آخر) كدخل لجذب السحب.
تجدر الإشارة إلى أن عصابة سحب السجادة عند تنفيذها لعملية احتيال، ستستخدم أيضًا بنشاط ايثر لشراء عملة سحب السجادة التي أنشأتها، لمحاكاة أنشطة تجمع السيولة الطبيعية، وبالتالي جذب روبوتات الشراء الجديدة. لكن هذه التكاليف لم تُدرج في الحساب، مما أدى إلى تقدير مبالغ فيه لأرباح عصابة سحب السجادة، وستكون الأرباح الحقيقية أقل نسبيًا.
في الواقع، حتى لو تم تجميع الأموال في أماكن احتفاظ مختلفة.