Près de 50 % des nouveaux jetons de l'écosystème Ethereum sont soupçonnés d'être des fraudes : des opérations clandestines de 800 millions de dollars exposées par un groupe de Rug Pull.
Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en ligne.
Ensuite, l'équipe de sécurité a mené une enquête approfondie sur ces cas de Rug Pull et a découvert qu'il existait des groupes criminels organisés derrière eux, et a résumé les caractéristiques schématiques de ces escroqueries. En analysant en profondeur les méthodes d'escroquerie de ces groupes, une possible voie de promotion des escroqueries par les groupes Rug Pull a été identifiée : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finissent par réaliser des profits grâce au Rug Pull.
L'équipe de sécurité a comptabilisé les informations de push de jetons de ces groupes Telegram entre novembre 2023 et début août 2024, découvrant un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons liés à des Rug Pull, représentant 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élevait à 149 813,72 ETH, avec un taux de retour atteignant 188,7 %, réalisant un profit de 282 699,96 ETH, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, l'équipe de sécurité a compilé les données des nouveaux jetons émis sur le réseau principal Ethereum pendant la même période. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % proviennent de jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après une enquête approfondie, la vérité révélée est inquiétante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, l'équipe de sécurité a également découvert d'autres cas de Rug Pull sur d'autres réseaux de blockchain. Cela signifie que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu, et ce, non seulement sur le réseau principal Ethereum. Par conséquent, l'équipe de sécurité a rédigé ce rapport d'enquête dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation aux risques, à rester vigilants face aux escroqueries incessantes et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jetons ERC-20
Avant de commencer officiellement ce rapport, comprenons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jeton les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApps). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers à gérer les jetons, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers en pré-vendant des jetons. C'est justement en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent à la catégorie des jetons ERC-20. Les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre eux-mêmes des jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés, puis inciter les utilisateurs à les acheter.
Cas typique d'escroquerie avec des jetons Rug Pull
Ici, nous empruntons un exemple de fraude avec un jeton Rug Pull pour comprendre en profondeur le modèle opérationnel des escroqueries de jetons malveillants. Tout d'abord, il convient de préciser que le Rug Pull fait référence à une fraude où les développeurs d'un projet de finance décentralisée retirent soudainement des fonds ou abandonnent le projet, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mettre en œuvre ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons piège à miel" ou "jetons de sortie", mais dans ce qui suit, nous les appellerons uniformément jetons Rug Pull.
cas
Les attaquants (le groupe Rug Pull) ont déployé le jeton TOMMI avec l'adresse Deployer, puis ont créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et ont acheté activement des jetons TOMMI par d'autres adresses pour fausser le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de prévente sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de prévente sont piégés, les attaquants utilisent l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller écrase le pool de liquidité avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, le contrat du jeton TOMMI accorde au Rug Puller les droits d'approve du pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.
processus de Rug Pull
Préparer les fonds pour l'attaque.
L'attaquant a rechargé 2.47309009 Éther vers le Token Deployer via un échange centralisé comme capital de démarrage pour le Rug Pull.
Déployer un jeton Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.
Créer le pool de liquidités initial.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Détruire l'ensemble de l'offre de jetons pré-minés.
Le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné que le contrat TOMMI n'a pas de fonction Mint, le déployeur de jetons a théoriquement perdu sa capacité de Rug Pull.
Volume de transactions falsifié.
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool et attirant davantage les robots d'introduction en bourse.
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, transférant directement 38 739 354 jetons de la réserve de liquidités par la porte dérobée du jeton, puis a utilisé ces jetons pour faire chuter le pool, retirant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra des fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir que lorsque le Rug Pull est terminé, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu où sont regroupés les fonds de nombreux cas de Rug Pull surveillés, et cette adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer une nouvelle série de Rug Pull, tandis qu'une petite quantité des fonds sera retirée via un échange centralisé.
Code de backdoor Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des LP jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI. Cette porte dérobée permettra, lors de la création du pool de liquidités, au pool de liquidités d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidités.
Mode opératoire
À travers l'analyse du cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via une bourse centralisée : l'attaquant commence par fournir une source de financement à l'adresse du Deployer via une bourse centralisée.
Le déployeur crée un pool de liquidité et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur créera immédiatement un pool de liquidité pour celui-ci et détruira les jetons LP, afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : l'adresse du Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par le Rug Pull à l'adresse de conservation des fonds : le Rug Puller transfère l'ETH acquis à l'adresse de conservation des fonds, parfois en utilisant une adresse intermédiaire pour la transition.
Les caractéristiques mentionnées ci-dessus sont courantes dans les cas capturés, ce qui indique que le comportement de Rug Pull présente des caractéristiques de modélisation évidentes. De plus, après avoir réalisé un Rug Pull, les fonds sont généralement rassemblés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, l'équipe de sécurité a extrait un modèle de comportement de Rug Pull et a utilisé ce modèle pour scanner les cas détectés, dans l'espoir de construire un profil potentiel des groupes de fraude.
Gang de Rug Pull
adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement les fonds à une adresse de conservation des fonds à la fin. Sur la base de ce modèle, l'équipe de sécurité a sélectionné plusieurs adresses de conservation des fonds hautement actives dont les caractéristiques des méthodes d'attaque sont clairement associées pour une analyse approfondie.
Il y a 7 adresses de conservation de fonds qui entrent dans le champ de vision, et ces adresses sont liées à 1 124 cas de Rug Pull qui ont été détectés avec succès par le système de surveillance des attaques on-chain. Après avoir réussi à mettre en œuvre l'escroquerie, les groupes de Rug Pull rassemblent les bénéfices illégaux sur ces adresses de conservation de fonds. Ces adresses de conservation de fonds fractionnent les fonds accumulés pour créer de nouveaux jetons dans de futures escroqueries Rug Pull, manipuler des pools de liquidité, et d'autres activités. De plus, une petite partie des fonds accumulés est liquidée par le biais d'échanges centralisés ou de plateformes d'échange instantané.
En analysant le coût et les revenus de toutes les arnaques Rug Pull dans chaque adresse de conservation des fonds, l'équipe de sécurité a obtenu des données pertinentes.
Dans une arnaque complète de Rug Pull, le groupe de Rug Pull utilise généralement une adresse comme déployeur de jeton Rug Pull (Deployer) et retire des fonds par le biais d'échanges centralisés pour créer le jeton Rug Pull et la piscine de liquidité correspondante. Une fois qu'un nombre suffisant d'utilisateurs ou de bots de nouvelles participations achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur de Rug Pull (Rug Puller) pour transférer les fonds obtenus vers une adresse de conservation des fonds.
Dans le processus décrit ci-dessus, l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidité, est considéré comme le coût du Rug Pull (la manière dont il est calculé dépend des actions du Deployer). L'ETH transféré par le Rug Puller vers l'adresse de conservation des fonds (ou d'autres adresses intermédiaires) après avoir réalisé le Rug Pull est considéré comme le revenu de ce Rug Pull.
Il convient de noter que les groupes de Rug Pull, lors de la mise en œuvre de leurs escroqueries, utilisent également activement l'ÉTH pour acheter les jetons Rug Pull qu'ils ont créés, afin de simuler des activités normales de liquidité et d'attirer les robots de pré-vente. Cependant, cette partie des coûts n'est pas prise en compte dans le calcul, ce qui conduit à une surestimation des bénéfices réels des groupes de Rug Pull, les bénéfices réels étant relativement plus bas.
En réalité, même si les fonds finaux sont regroupés dans différents lieux de conservation.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
3
Partager
Commentaire
0/400
ApeWithNoFear
· 08-02 03:22
Avec un tel talent, tu veux encore voler de l'argent dans la ruelle ?
Voir l'originalRépondre0
CryptoWageSlave
· 08-02 03:04
Pour devenir riche, il faut compter sur les vieux jetons.
Voir l'originalRépondre0
SellLowExpert
· 08-02 02:52
pigeons ne seront jamais pris pour des idiots, les frères.
Près de 50 % des nouveaux jetons de l'écosystème Ethereum sont soupçonnés d'être des fraudes : des opérations clandestines de 800 millions de dollars exposées par un groupe de Rug Pull.
Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en ligne.
Ensuite, l'équipe de sécurité a mené une enquête approfondie sur ces cas de Rug Pull et a découvert qu'il existait des groupes criminels organisés derrière eux, et a résumé les caractéristiques schématiques de ces escroqueries. En analysant en profondeur les méthodes d'escroquerie de ces groupes, une possible voie de promotion des escroqueries par les groupes Rug Pull a été identifiée : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finissent par réaliser des profits grâce au Rug Pull.
L'équipe de sécurité a comptabilisé les informations de push de jetons de ces groupes Telegram entre novembre 2023 et début août 2024, découvrant un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons liés à des Rug Pull, représentant 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élevait à 149 813,72 ETH, avec un taux de retour atteignant 188,7 %, réalisant un profit de 282 699,96 ETH, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, l'équipe de sécurité a compilé les données des nouveaux jetons émis sur le réseau principal Ethereum pendant la même période. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % proviennent de jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après une enquête approfondie, la vérité révélée est inquiétante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, l'équipe de sécurité a également découvert d'autres cas de Rug Pull sur d'autres réseaux de blockchain. Cela signifie que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu, et ce, non seulement sur le réseau principal Ethereum. Par conséquent, l'équipe de sécurité a rédigé ce rapport d'enquête dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation aux risques, à rester vigilants face aux escroqueries incessantes et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jetons ERC-20
Avant de commencer officiellement ce rapport, comprenons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jeton les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApps). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers à gérer les jetons, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers en pré-vendant des jetons. C'est justement en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent à la catégorie des jetons ERC-20. Les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre eux-mêmes des jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés, puis inciter les utilisateurs à les acheter.
Cas typique d'escroquerie avec des jetons Rug Pull
Ici, nous empruntons un exemple de fraude avec un jeton Rug Pull pour comprendre en profondeur le modèle opérationnel des escroqueries de jetons malveillants. Tout d'abord, il convient de préciser que le Rug Pull fait référence à une fraude où les développeurs d'un projet de finance décentralisée retirent soudainement des fonds ou abandonnent le projet, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mettre en œuvre ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons piège à miel" ou "jetons de sortie", mais dans ce qui suit, nous les appellerons uniformément jetons Rug Pull.
cas
Les attaquants (le groupe Rug Pull) ont déployé le jeton TOMMI avec l'adresse Deployer, puis ont créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et ont acheté activement des jetons TOMMI par d'autres adresses pour fausser le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de prévente sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de prévente sont piégés, les attaquants utilisent l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller écrase le pool de liquidité avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, le contrat du jeton TOMMI accorde au Rug Puller les droits d'approve du pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.
processus de Rug Pull
L'attaquant a rechargé 2.47309009 Éther vers le Token Deployer via un échange centralisé comme capital de démarrage pour le Rug Pull.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné que le contrat TOMMI n'a pas de fonction Mint, le déployeur de jetons a théoriquement perdu sa capacité de Rug Pull.
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool et attirant davantage les robots d'introduction en bourse.
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, transférant directement 38 739 354 jetons de la réserve de liquidités par la porte dérobée du jeton, puis a utilisé ces jetons pour faire chuter le pool, retirant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra des fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir que lorsque le Rug Pull est terminé, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu où sont regroupés les fonds de nombreux cas de Rug Pull surveillés, et cette adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer une nouvelle série de Rug Pull, tandis qu'une petite quantité des fonds sera retirée via un échange centralisé.
Code de backdoor Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des LP jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI. Cette porte dérobée permettra, lors de la création du pool de liquidités, au pool de liquidités d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidités.
Mode opératoire
À travers l'analyse du cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via une bourse centralisée : l'attaquant commence par fournir une source de financement à l'adresse du Deployer via une bourse centralisée.
Le déployeur crée un pool de liquidité et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur créera immédiatement un pool de liquidité pour celui-ci et détruira les jetons LP, afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : l'adresse du Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par le Rug Pull à l'adresse de conservation des fonds : le Rug Puller transfère l'ETH acquis à l'adresse de conservation des fonds, parfois en utilisant une adresse intermédiaire pour la transition.
Les caractéristiques mentionnées ci-dessus sont courantes dans les cas capturés, ce qui indique que le comportement de Rug Pull présente des caractéristiques de modélisation évidentes. De plus, après avoir réalisé un Rug Pull, les fonds sont généralement rassemblés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, l'équipe de sécurité a extrait un modèle de comportement de Rug Pull et a utilisé ce modèle pour scanner les cas détectés, dans l'espoir de construire un profil potentiel des groupes de fraude.
Gang de Rug Pull
adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement les fonds à une adresse de conservation des fonds à la fin. Sur la base de ce modèle, l'équipe de sécurité a sélectionné plusieurs adresses de conservation des fonds hautement actives dont les caractéristiques des méthodes d'attaque sont clairement associées pour une analyse approfondie.
Il y a 7 adresses de conservation de fonds qui entrent dans le champ de vision, et ces adresses sont liées à 1 124 cas de Rug Pull qui ont été détectés avec succès par le système de surveillance des attaques on-chain. Après avoir réussi à mettre en œuvre l'escroquerie, les groupes de Rug Pull rassemblent les bénéfices illégaux sur ces adresses de conservation de fonds. Ces adresses de conservation de fonds fractionnent les fonds accumulés pour créer de nouveaux jetons dans de futures escroqueries Rug Pull, manipuler des pools de liquidité, et d'autres activités. De plus, une petite partie des fonds accumulés est liquidée par le biais d'échanges centralisés ou de plateformes d'échange instantané.
En analysant le coût et les revenus de toutes les arnaques Rug Pull dans chaque adresse de conservation des fonds, l'équipe de sécurité a obtenu des données pertinentes.
Dans une arnaque complète de Rug Pull, le groupe de Rug Pull utilise généralement une adresse comme déployeur de jeton Rug Pull (Deployer) et retire des fonds par le biais d'échanges centralisés pour créer le jeton Rug Pull et la piscine de liquidité correspondante. Une fois qu'un nombre suffisant d'utilisateurs ou de bots de nouvelles participations achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur de Rug Pull (Rug Puller) pour transférer les fonds obtenus vers une adresse de conservation des fonds.
Dans le processus décrit ci-dessus, l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidité, est considéré comme le coût du Rug Pull (la manière dont il est calculé dépend des actions du Deployer). L'ETH transféré par le Rug Puller vers l'adresse de conservation des fonds (ou d'autres adresses intermédiaires) après avoir réalisé le Rug Pull est considéré comme le revenu de ce Rug Pull.
Il convient de noter que les groupes de Rug Pull, lors de la mise en œuvre de leurs escroqueries, utilisent également activement l'ÉTH pour acheter les jetons Rug Pull qu'ils ont créés, afin de simuler des activités normales de liquidité et d'attirer les robots de pré-vente. Cependant, cette partie des coûts n'est pas prise en compte dans le calcul, ce qui conduit à une surestimation des bénéfices réels des groupes de Rug Pull, les bénéfices réels étant relativement plus bas.
En réalité, même si les fonds finaux sont regroupés dans différents lieux de conservation.