Investigação aprofundada sobre casos de Rug Pull, desvendando as anomalias no ecossistema de tokens Ethereum
No mundo Web3, novos Tokens estão surgindo constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Essas dúvidas não surgem à toa. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe de segurança realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de um grupo organizado por trás das ações, e resumiu as características padronizadas desses golpes. Através de uma análise detalhada das táticas desse grupo, foi descoberta uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
A equipe de segurança contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024, descobrindo que foram enviados um total de 93.930 novos tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando uma proporção de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e eles lucraram 282.699,96 ETH com uma taxa de retorno de até 188,7%, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a participação dos novos Tokens promovidos em grupos do Telegram na rede principal do Ethereum, a equipe de segurança compilou dados sobre os novos Tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos Tokens foram emitidos, dos quais os Tokens promovidos por grupos do Telegram representam 89,99% da rede principal. Em média, cerca de 370 novos Tokens nascem diariamente, muito além das expectativas razoáveis. Após uma investigação aprofundada, a verdade revelada é perturbadora - pelo menos 48.265 Tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, a equipe de segurança também descobriu mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens Web3 é muito mais grave do que o esperado. Portanto, a equipe de segurança redigiu este relatório de pesquisa na esperança de ajudar todos os membros do Web3 a aumentar a conscientização sobre prevenção, a manterem-se atentos diante de fraudes que surgem continuamente e a tomarem as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gerenciar tokens, entre outras. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens de forma mais fácil, simplificando a criação e o uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para diversos projetos financeiros através da pré-venda de tokens. Graças à ampla aplicação dos Tokens ERC-20, estes se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir Tokens ERC-20 maliciosos com backdoors, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude de Token Rug Pull
Aqui, usamos um caso de fraude de um Token Rug Pull para entender melhor o modelo de operação das fraudes de Token maliciosas. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em um projeto de finanças descentralizadas, resultando em enormes perdas para os investidores. E o Token Rug Pull é um Token emitido especificamente para implementar esse tipo de fraude.
O token Rug Pull mencionado neste artigo é, por vezes, também chamado de "token armadilha" ou "token de esquema de saída", mas abaixo iremos referir-nos a ele uniformemente como token Rug Pull.
caso
Os atacantes (gangue Rug Pull) usaram o endereço Deployer para implantar o token TOMMI, depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, e compraram ativamente o token TOMMI através de outros endereços para falsificar o volume de negociação do pool de liquidez e atrair usuários e robôs de novos lançamentos na cadeia para comprar o token TOMMI. Quando um número considerável de robôs de novos lançamentos caírem na armadilha, os atacantes usarão o endereço Rug Puller para executar o Rug Pull. O Rug Puller usou 38.739.354 tokens TOMMI para colapsar o pool de liquidez, trocando-os por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI, onde, ao implantar o contrato do token TOMMI, a autorização de pool de liquidez é concedida ao Rug Puller, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e execute o Rug Pull.
Processo de Rug Pull
Preparar fundos para o ataque.
O atacante recarregou 2.47309009 ETH para o Token Deployer através de uma exchange centralizada como capital inicial para o Rug Pull.
Implantar Tokens Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 tokens e alocando para si mesmo.
Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os Tokens pré-minerados, obtendo cerca de 0,387 Tokens LP.
Destruir todo o fornecimento de Tokens pré-minerados.
O Token Deployer envia todos os tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não tem a funcionalidade de Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull.
Volume de transações falso.
O atacante usa vários endereços para comprar ativamente Token TOMMI do pool de liquidez, aumentando o volume de transações do pool e atraindo ainda mais robôs de lançamento para o mercado.
O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para esmagar o pool, retirando cerca de 3.95 de Éter.
O atacante envia os fundos obtidos com o Rug Pull para o endereço de transferência.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se concentra uma grande quantidade de casos de Rug Pull monitorados; este endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma quantidade menor de fundos será retirada através de uma bolsa centralizada.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo externo que não conseguem realizar um Rug Pull destruindo os LP Tokens, na verdade, os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI. Esta porta dos fundos permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire Tokens diretamente do pool de liquidez.
padrão de crime
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém financiamento através de uma exchange centralizada: o atacante primeiro fornece uma fonte de financiamento para o endereço do deployer (Deployer) através de uma exchange centralizada.
O Deployer cria o pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca uma grande quantidade de Token por ETH no pool de liquidez: O endereço Rug Pull (Rug Puller) usa uma grande quantidade de Token (geralmente um número muito superior ao fornecimento total de Token) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller transferirá o ETH obtido para o endereço de retenção de fundos, às vezes através de um endereço intermediário como transição.
As características mencionadas são comuns nos casos capturados, indicando que o comportamento de Rug Pull possui características de padronização evidentes. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de armazenamento de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de golpistas ou até mesmo ao mesmo esquema.
Com base nessas características, a equipe de segurança extraiu um padrão de comportamento de Rug Pull e utilizou esse padrão para escanear os casos monitorados, com o objetivo de construir um perfil possível de grupos de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente reúnem fundos em um endereço de retenção de fundos no final. Com base nesse padrão, a equipe de segurança selecionou alguns endereços de retenção de fundos altamente ativos e cujas características dos métodos de crime associados são claramente evidentes para uma análise mais aprofundada.
Entram em cena 7 endereços de retenção de fundos, que estão associados a 1.124 casos de Rug Pull, capturados com sucesso pelo sistema de monitoramento de ataques em cadeia. Após a execução bem-sucedida do golpe, o grupo de Rug Pull reúne os lucros ilegais nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos Tokens em futuros golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida em dinheiro por meio de exchanges centralizadas ou plataformas de troca instantânea.
Ao estatísticas os custos e receitas de todos os esquemas de Rug Pull em cada endereço de retenção de fundos, a equipe de segurança obteve dados relevantes.
Em um esquema completo de Rug Pull, o grupo de Rug Pull geralmente usa um endereço como o implementador (Deployer) do token Rug Pull e retira fundos de uma exchange centralizada para criar o token Rug Pull e o respectivo pool de liquidez. Quando um número suficiente de usuários ou bots de pré-venda utiliza ETH para comprar o token Rug Pull, o grupo de Rug Pull usa outro endereço como o executor do Rug Pull (Rug Puller) para realizar a operação, transferindo os fundos obtidos para um endereço de retenção de fundos.
No processo acima, o ETH obtido pelo Deployer através da exchange, ou o ETH que o Deployer investiu ao criar o pool de liquidez, é considerado o custo do Rug Pull (a forma exata de cálculo depende do comportamento do Deployer). O ETH que o Rug Puller transfere para o endereço de retenção de fundos (ou outro endereço de transferência) após completar o Rug Pull é considerado a receita desse Rug Pull.
É importante notar que, durante a implementação do golpe, os grupos de Rug Pull também costumam usar ETH para comprar os próprios Tokens de Rug Pull que criaram, a fim de simular atividades normais de liquidez, atraindo assim bots de novos investimentos a comprar. No entanto, esse custo não foi incluído nos cálculos, resultando em uma superestimação dos lucros reais dos grupos de Rug Pull; os lucros reais serão relativamente mais baixos.
Na verdade, mesmo que os fundos finais sejam reunidos em diferentes locais de retenção de fundos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
3
Compartilhar
Comentário
0/400
ApeWithNoFear
· 08-02 03:22
Com essas habilidades, ainda quer roubar dinheiro no beco?
Ver originalResponder0
CryptoWageSlave
· 08-02 03:04
Para ficar rico, ainda temos que olhar para a velha moeda.
Ver originalResponder0
SellLowExpert
· 08-02 02:52
idiotas nunca vão parar de fazer as pessoas de parvas, irmãos.
Quase 50% dos novos tokens do ecossistema Ethereum estão suspeitos de fraude; esquema Rug Pull de 800 milhões de dólares exposto.
Investigação aprofundada sobre casos de Rug Pull, desvendando as anomalias no ecossistema de tokens Ethereum
No mundo Web3, novos Tokens estão surgindo constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Essas dúvidas não surgem à toa. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe de segurança realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de um grupo organizado por trás das ações, e resumiu as características padronizadas desses golpes. Através de uma análise detalhada das táticas desse grupo, foi descoberta uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
A equipe de segurança contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024, descobrindo que foram enviados um total de 93.930 novos tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando uma proporção de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e eles lucraram 282.699,96 ETH com uma taxa de retorno de até 188,7%, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a participação dos novos Tokens promovidos em grupos do Telegram na rede principal do Ethereum, a equipe de segurança compilou dados sobre os novos Tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos Tokens foram emitidos, dos quais os Tokens promovidos por grupos do Telegram representam 89,99% da rede principal. Em média, cerca de 370 novos Tokens nascem diariamente, muito além das expectativas razoáveis. Após uma investigação aprofundada, a verdade revelada é perturbadora - pelo menos 48.265 Tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, a equipe de segurança também descobriu mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens Web3 é muito mais grave do que o esperado. Portanto, a equipe de segurança redigiu este relatório de pesquisa na esperança de ajudar todos os membros do Web3 a aumentar a conscientização sobre prevenção, a manterem-se atentos diante de fraudes que surgem continuamente e a tomarem as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gerenciar tokens, entre outras. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens de forma mais fácil, simplificando a criação e o uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para diversos projetos financeiros através da pré-venda de tokens. Graças à ampla aplicação dos Tokens ERC-20, estes se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir Tokens ERC-20 maliciosos com backdoors, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude de Token Rug Pull
Aqui, usamos um caso de fraude de um Token Rug Pull para entender melhor o modelo de operação das fraudes de Token maliciosas. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em um projeto de finanças descentralizadas, resultando em enormes perdas para os investidores. E o Token Rug Pull é um Token emitido especificamente para implementar esse tipo de fraude.
O token Rug Pull mencionado neste artigo é, por vezes, também chamado de "token armadilha" ou "token de esquema de saída", mas abaixo iremos referir-nos a ele uniformemente como token Rug Pull.
caso
Os atacantes (gangue Rug Pull) usaram o endereço Deployer para implantar o token TOMMI, depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, e compraram ativamente o token TOMMI através de outros endereços para falsificar o volume de negociação do pool de liquidez e atrair usuários e robôs de novos lançamentos na cadeia para comprar o token TOMMI. Quando um número considerável de robôs de novos lançamentos caírem na armadilha, os atacantes usarão o endereço Rug Puller para executar o Rug Pull. O Rug Puller usou 38.739.354 tokens TOMMI para colapsar o pool de liquidez, trocando-os por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI, onde, ao implantar o contrato do token TOMMI, a autorização de pool de liquidez é concedida ao Rug Puller, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e execute o Rug Pull.
Processo de Rug Pull
O atacante recarregou 2.47309009 ETH para o Token Deployer através de uma exchange centralizada como capital inicial para o Rug Pull.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 tokens e alocando para si mesmo.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os Tokens pré-minerados, obtendo cerca de 0,387 Tokens LP.
O Token Deployer envia todos os tokens LP para o endereço 0 para destruí-los. Como o contrato TOMMI não tem a funcionalidade de Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull.
O atacante usa vários endereços para comprar ativamente Token TOMMI do pool de liquidez, aumentando o volume de transações do pool e atraindo ainda mais robôs de lançamento para o mercado.
O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para esmagar o pool, retirando cerca de 3.95 de Éter.
O atacante envia os fundos obtidos com o Rug Pull para o endereço de transferência.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se concentra uma grande quantidade de casos de Rug Pull monitorados; este endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma quantidade menor de fundos será retirada através de uma bolsa centralizada.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo externo que não conseguem realizar um Rug Pull destruindo os LP Tokens, na verdade, os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI. Esta porta dos fundos permite que, ao criar um pool de liquidez, o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire Tokens diretamente do pool de liquidez.
padrão de crime
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém financiamento através de uma exchange centralizada: o atacante primeiro fornece uma fonte de financiamento para o endereço do deployer (Deployer) através de uma exchange centralizada.
O Deployer cria o pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca uma grande quantidade de Token por ETH no pool de liquidez: O endereço Rug Pull (Rug Puller) usa uma grande quantidade de Token (geralmente um número muito superior ao fornecimento total de Token) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller transferirá o ETH obtido para o endereço de retenção de fundos, às vezes através de um endereço intermediário como transição.
As características mencionadas são comuns nos casos capturados, indicando que o comportamento de Rug Pull possui características de padronização evidentes. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de armazenamento de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de golpistas ou até mesmo ao mesmo esquema.
Com base nessas características, a equipe de segurança extraiu um padrão de comportamento de Rug Pull e utilizou esse padrão para escanear os casos monitorados, com o objetivo de construir um perfil possível de grupos de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente reúnem fundos em um endereço de retenção de fundos no final. Com base nesse padrão, a equipe de segurança selecionou alguns endereços de retenção de fundos altamente ativos e cujas características dos métodos de crime associados são claramente evidentes para uma análise mais aprofundada.
Entram em cena 7 endereços de retenção de fundos, que estão associados a 1.124 casos de Rug Pull, capturados com sucesso pelo sistema de monitoramento de ataques em cadeia. Após a execução bem-sucedida do golpe, o grupo de Rug Pull reúne os lucros ilegais nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos Tokens em futuros golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida em dinheiro por meio de exchanges centralizadas ou plataformas de troca instantânea.
Ao estatísticas os custos e receitas de todos os esquemas de Rug Pull em cada endereço de retenção de fundos, a equipe de segurança obteve dados relevantes.
Em um esquema completo de Rug Pull, o grupo de Rug Pull geralmente usa um endereço como o implementador (Deployer) do token Rug Pull e retira fundos de uma exchange centralizada para criar o token Rug Pull e o respectivo pool de liquidez. Quando um número suficiente de usuários ou bots de pré-venda utiliza ETH para comprar o token Rug Pull, o grupo de Rug Pull usa outro endereço como o executor do Rug Pull (Rug Puller) para realizar a operação, transferindo os fundos obtidos para um endereço de retenção de fundos.
No processo acima, o ETH obtido pelo Deployer através da exchange, ou o ETH que o Deployer investiu ao criar o pool de liquidez, é considerado o custo do Rug Pull (a forma exata de cálculo depende do comportamento do Deployer). O ETH que o Rug Puller transfere para o endereço de retenção de fundos (ou outro endereço de transferência) após completar o Rug Pull é considerado a receita desse Rug Pull.
É importante notar que, durante a implementação do golpe, os grupos de Rug Pull também costumam usar ETH para comprar os próprios Tokens de Rug Pull que criaram, a fim de simular atividades normais de liquidez, atraindo assim bots de novos investimentos a comprar. No entanto, esse custo não foi incluído nos cálculos, resultando em uma superestimação dos lucros reais dos grupos de Rug Pull; os lucros reais serão relativamente mais baixos.
Na verdade, mesmo que os fundos finais sejam reunidos em diferentes locais de retenção de fundos.