Глубокое расследование случаев Rug Pull, раскрывающее беспорядки в экосистеме токенов Ethereum
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Появление этих вопросов не является случайным. В последние месяцы команда безопасности зафиксировала множество случаев мошеннических сделок (Rug Pull). Примечательно, что во всех этих случаях речь идет о новых токенах, которые только что были запущены в сеть.
Затем команда безопасности провела глубокое расследование этих случаев Rug Pull и обнаружила организованные преступные группы, а также обобщила их характерные черты мошенничества. Путем глубокого анализа методов работы этих групп, была выявлена одна из возможных схем мошеннического продвижения групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Команда безопасности подсчитала информацию о токенах, отправленных в этих группах Telegram с начала ноября 2023 года до начала августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53%. По статистике, общие инвестиционные затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, при этом они получили прибыль в 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно примерно 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, команда безопасности собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После тщательного расследования была обнаружена тревожная правда — по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, команда безопасности обнаружила больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому команда безопасности подготовила этот исследовательский отчет, надеясь помочь всем участникам Web3 повысить свою бдительность и оставаться настороже перед лицом множества мошенничеств, а также своевременно принимать необходимые профилактические меры для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала разберемся с некоторыми основными концепциями.
ERC-20 токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, которые позволяют токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, проверка баланса, авторизация третьих лиц на управление токенами и т.д. Благодаря этому стандартизированному протоколу разработчикам проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпускать свои токены на основе стандарта ERC-20 и привлекать стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению токенов ERC-20 они стали основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые относятся к токенам ERC-20. Пользователи могут приобрести эти токены через децентрализованные биржи. Однако некоторые мошеннические группы могут также выпускать злонамеренные токены ERC-20 с кодом-задней дверью, размещая их на децентрализованных биржах и затем соблазняя пользователей на покупку.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы заимствуем пример мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованных финансовых проектах внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. А токены Rug Pull — это токены, выпущенные специально для реализации такого мошенничества.
В данной статье токены Rug Pull иногда также называются "медовыми токенами" или "схемами выхода", но в дальнейшем мы будем использовать термин токен Rug Pull.
Пример
Атакующие (группа Rug Pull) используют адрес Deployer для развертывания токена TOMMI, затем создают ликвидностный пул с 1,5 ETH и 100,000,000 токенов TOMMI, активно покупая токены TOMMI с других адресов, чтобы подделать объем торгов ликвидностного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попадается на уловку, атакующие используют адрес Rug Puller для выполнения Rug Pull, Rug Puller сбрасывает 38,739,354 токенов TOMMI в ликвидностный пул, обменяв их на примерно 3,95 ETH. Токены Rug Puller получены через злонамеренное разрешение Approve токена TOMMI, контракт токена TOMMI при развертывании предоставляет Rug Puller права на одобрение ликвидностного пула, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидностного пула и затем осуществлять Rug Pull.
Процесс Rug Pull
Подготовить средства для атаки.
Злоумышленник через централизованную биржу пополнил счет Token Deployer на 2.47309009ETH в качестве стартового капитала для Rug Pull.
Развертывание токена Rug Pull с задней дверью.
Deployer создал токен TOMMI, предварительно выкопав 100,000,000 токенов и распределив их себе.
Создание первоначального пула ликвидности.
Deployer использовал 1.5 Эфира и все преддобытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
Уничтожить все запасы предварительно добытых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI отсутствует функция Mint, в этот момент Token Deployer теоретически утратил способность Rug Pull.
Поддельный объем торгов.
Атакующий активно использует несколько адресов для покупки токенов TOMMI из ликвидного пула, тем самым разгоняя объемы торгов в пуле и дополнительно привлекая роботов для участия в новых торгах.
Атакующий инициирует Rug Pull через адрес Rug Puller, напрямую выводя 38,739,354 токена из ликвидного пула через бэкдор токена, а затем использует эти токены, чтобы обвалить пул и получить около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.
Транзитный адрес отправляет средства на адрес хранения средств. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на некоторый адрес хранения средств. Адрес хранения средств является местом сбора средств из множества зафиксированных случаев Rug Pull, и адрес хранения средств будет разделять большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма средств будет выведена через централизованные биржи.
Код Раг Пулла с задней дверью
Хотя атакующий уже попытался доказать внешнему миру, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле атакующий оставил злонамеренный бэкдор в функции openTrading контракта токена TOMMI, который позволяет при создании ликвидного пула предоставить адресу Rug Puller разрешение на перевод токенов, что дает возможность адресу Rug Puller напрямую выводить токены из ликвидного пула.
Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает средства через централизованную биржу: злоумышленник сначала предоставляет источник средств для адреса развертывателя (Deployer) через централизованную биржу.
Deployer создает пул ликвидности и уничтожает LP токены: Разработчик, создав токен Rug Pull, сразу же создает пул ликвидности и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общее предложение токенов) для обмена на ETH в ликвидном пуле. В других случаях Rug Puller также может получить ETH из пула, удалив ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес для хранения средств: Rug Puller переводит полученный ETH на адрес для хранения средств, иногда через промежуточный адрес.
Указанные характеристики широко присутствуют в зафиксированных случаях, что свидетельствует о наличии очевидных паттернов поведения при Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на одном адресе хранения, что намекает на то, что эти, казалось бы, независимые случаи Rug Pull могут быть связаны с одной и той же группой мошенников или даже с одним и тем же мошенническим синдикатом.
Основываясь на этих характеристиках, команда безопасности выделила модель поведения Rug Pull и использовала эту модель для сканирования обнаруженных случаев с целью построения возможного профиля мошеннических групп.
Группа, занимающаяся Rug Pull
адрес для хранения средств майнинга
Как упоминалось ранее, случаи Rug Pull обычно в конечном итоге аккумулируют средства на адресах хранения средств. На основе этой модели команда безопасности выбрала несколько высокоактивных адресов хранения средств, связанные с явно выраженными характеристиками методов преступления.
В поле зрения находится 7 адресов хранения средств, связанные с 1,124 случаями Rug Pull, успешно зафиксированными системой мониторинга атак на блокчейне. После успешного осуществления мошенничества, группа Rug Pull собирает незаконную прибыль на этих адресах хранения средств. Эти адреса хранения средств разбивают накопленные средства для создания новых токенов в будущих схемах Rug Pull, манипуляции ликвидными пулами и других действий. Кроме того, небольшая часть накопленных средств обналичивается через централизованные биржи или платформы мгновенного обмена.
Собрав данные о стоимости и доходах всех схем Rug Pull в каждом адресе хранения средств, команда безопасности получила соответствующие данные.
В рамках полноценного мошенничества Rug Pull, группа мошенников обычно использует один адрес в качестве развертывателя (Deployer) токенов Rug Pull и получает стартовое финансирование через централизованные биржи для создания токенов Rug Pull и соответствующего ликвидного пула. Когда достаточно пользователей или ботов для участия в новых предложениях начинают покупать токены Rug Pull за Эфир, группа мошенников использует другой адрес в качестве исполнителя Rug Pull (Rug Puller) для проведения операции, переводя полученные средства на адрес хранения средств.
В указанном процессе ETH, полученный Deployer через биржу, или ETH, вложенный Deployer при создании пула ликвидности, считается стоимостью Rug Pull (конкретный расчет зависит от действий Deployer). ETH, переведенный Rug Puller после завершения Rug Pull на адрес хранения средств (или другой промежуточный адрес), рассматривается как доход от данного Rug Pull.
Необходимо отметить, что группировки Rug Pull при осуществлении мошенничества также активно используют Эфир для покупки созданных ими Токенов Rug Pull, чтобы смоделировать нормальную активность ликвидности, тем самым привлекая торговых ботов для покупки. Однако эта часть затрат не учитывается в расчетах, поэтому данные завышают фактическую прибыль группировки Rug Pull, реальная прибыль будет относительно ниже.
На самом деле, даже если финальные средства будут собраны в различных местах хранения средств.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
4
Поделиться
комментарий
0/400
ZKProofEnthusiast
· 6ч назад
Будут играть для лохов真是一个永恒的话题
Посмотреть ОригиналОтветить0
ApeWithNoFear
· 08-02 03:22
С такими способностями ты еще хочешь грабить в переулках?
Экосистема Ethereum: почти 50% новых токенов подозреваются в мошенничестве, раскрыты схемы "Rug Pull" на 800 миллионов долларов.
Глубокое расследование случаев Rug Pull, раскрывающее беспорядки в экосистеме токенов Ethereum
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Появление этих вопросов не является случайным. В последние месяцы команда безопасности зафиксировала множество случаев мошеннических сделок (Rug Pull). Примечательно, что во всех этих случаях речь идет о новых токенах, которые только что были запущены в сеть.
Затем команда безопасности провела глубокое расследование этих случаев Rug Pull и обнаружила организованные преступные группы, а также обобщила их характерные черты мошенничества. Путем глубокого анализа методов работы этих групп, была выявлена одна из возможных схем мошеннического продвижения групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получать прибыль через Rug Pull.
Команда безопасности подсчитала информацию о токенах, отправленных в этих группах Telegram с начала ноября 2023 года до начала августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49,53%. По статистике, общие инвестиционные затраты групп, стоящих за этими токенами Rug Pull, составили 149,813.72 Эфир, при этом они получили прибыль в 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно примерно 800 миллионам долларов.
Чтобы оценить долю новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, команда безопасности собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После тщательного расследования была обнаружена тревожная правда — по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, команда безопасности обнаружила больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось, не только в основной сети Ethereum. Поэтому команда безопасности подготовила этот исследовательский отчет, надеясь помочь всем участникам Web3 повысить свою бдительность и оставаться настороже перед лицом множества мошенничеств, а также своевременно принимать необходимые профилактические меры для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать этот отчет, давайте сначала разберемся с некоторыми основными концепциями.
ERC-20 токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор норм, которые позволяют токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, проверка баланса, авторизация третьих лиц на управление токенами и т.д. Благодаря этому стандартизированному протоколу разработчикам проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпускать свои токены на основе стандарта ERC-20 и привлекать стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению токенов ERC-20 они стали основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые относятся к токенам ERC-20. Пользователи могут приобрести эти токены через децентрализованные биржи. Однако некоторые мошеннические группы могут также выпускать злонамеренные токены ERC-20 с кодом-задней дверью, размещая их на децентрализованных биржах и затем соблазняя пользователей на покупку.
Типичные случаи мошенничества с токенами Rug Pull
Здесь мы заимствуем пример мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованных финансовых проектах внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. А токены Rug Pull — это токены, выпущенные специально для реализации такого мошенничества.
В данной статье токены Rug Pull иногда также называются "медовыми токенами" или "схемами выхода", но в дальнейшем мы будем использовать термин токен Rug Pull.
Пример
Атакующие (группа Rug Pull) используют адрес Deployer для развертывания токена TOMMI, затем создают ликвидностный пул с 1,5 ETH и 100,000,000 токенов TOMMI, активно покупая токены TOMMI с других адресов, чтобы подделать объем торгов ликвидностного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попадается на уловку, атакующие используют адрес Rug Puller для выполнения Rug Pull, Rug Puller сбрасывает 38,739,354 токенов TOMMI в ликвидностный пул, обменяв их на примерно 3,95 ETH. Токены Rug Puller получены через злонамеренное разрешение Approve токена TOMMI, контракт токена TOMMI при развертывании предоставляет Rug Puller права на одобрение ликвидностного пула, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидностного пула и затем осуществлять Rug Pull.
Процесс Rug Pull
Злоумышленник через централизованную биржу пополнил счет Token Deployer на 2.47309009ETH в качестве стартового капитала для Rug Pull.
Deployer создал токен TOMMI, предварительно выкопав 100,000,000 токенов и распределив их себе.
Deployer использовал 1.5 Эфира и все преддобытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI отсутствует функция Mint, в этот момент Token Deployer теоретически утратил способность Rug Pull.
Атакующий активно использует несколько адресов для покупки токенов TOMMI из ликвидного пула, тем самым разгоняя объемы торгов в пуле и дополнительно привлекая роботов для участия в новых торгах.
Атакующий инициирует Rug Pull через адрес Rug Puller, напрямую выводя 38,739,354 токена из ликвидного пула через бэкдор токена, а затем использует эти токены, чтобы обвалить пул и получить около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.
Транзитный адрес отправляет средства на адрес хранения средств. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на некоторый адрес хранения средств. Адрес хранения средств является местом сбора средств из множества зафиксированных случаев Rug Pull, и адрес хранения средств будет разделять большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма средств будет выведена через централизованные биржи.
Код Раг Пулла с задней дверью
Хотя атакующий уже попытался доказать внешнему миру, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле атакующий оставил злонамеренный бэкдор в функции openTrading контракта токена TOMMI, который позволяет при создании ликвидного пула предоставить адресу Rug Puller разрешение на перевод токенов, что дает возможность адресу Rug Puller напрямую выводить токены из ликвидного пула.
Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает средства через централизованную биржу: злоумышленник сначала предоставляет источник средств для адреса развертывателя (Deployer) через централизованную биржу.
Deployer создает пул ликвидности и уничтожает LP токены: Разработчик, создав токен Rug Pull, сразу же создает пул ликвидности и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общее предложение токенов) для обмена на ETH в ликвидном пуле. В других случаях Rug Puller также может получить ETH из пула, удалив ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес для хранения средств: Rug Puller переводит полученный ETH на адрес для хранения средств, иногда через промежуточный адрес.
Указанные характеристики широко присутствуют в зафиксированных случаях, что свидетельствует о наличии очевидных паттернов поведения при Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на одном адресе хранения, что намекает на то, что эти, казалось бы, независимые случаи Rug Pull могут быть связаны с одной и той же группой мошенников или даже с одним и тем же мошенническим синдикатом.
Основываясь на этих характеристиках, команда безопасности выделила модель поведения Rug Pull и использовала эту модель для сканирования обнаруженных случаев с целью построения возможного профиля мошеннических групп.
Группа, занимающаяся Rug Pull
адрес для хранения средств майнинга
Как упоминалось ранее, случаи Rug Pull обычно в конечном итоге аккумулируют средства на адресах хранения средств. На основе этой модели команда безопасности выбрала несколько высокоактивных адресов хранения средств, связанные с явно выраженными характеристиками методов преступления.
В поле зрения находится 7 адресов хранения средств, связанные с 1,124 случаями Rug Pull, успешно зафиксированными системой мониторинга атак на блокчейне. После успешного осуществления мошенничества, группа Rug Pull собирает незаконную прибыль на этих адресах хранения средств. Эти адреса хранения средств разбивают накопленные средства для создания новых токенов в будущих схемах Rug Pull, манипуляции ликвидными пулами и других действий. Кроме того, небольшая часть накопленных средств обналичивается через централизованные биржи или платформы мгновенного обмена.
Собрав данные о стоимости и доходах всех схем Rug Pull в каждом адресе хранения средств, команда безопасности получила соответствующие данные.
В рамках полноценного мошенничества Rug Pull, группа мошенников обычно использует один адрес в качестве развертывателя (Deployer) токенов Rug Pull и получает стартовое финансирование через централизованные биржи для создания токенов Rug Pull и соответствующего ликвидного пула. Когда достаточно пользователей или ботов для участия в новых предложениях начинают покупать токены Rug Pull за Эфир, группа мошенников использует другой адрес в качестве исполнителя Rug Pull (Rug Puller) для проведения операции, переводя полученные средства на адрес хранения средств.
В указанном процессе ETH, полученный Deployer через биржу, или ETH, вложенный Deployer при создании пула ликвидности, считается стоимостью Rug Pull (конкретный расчет зависит от действий Deployer). ETH, переведенный Rug Puller после завершения Rug Pull на адрес хранения средств (или другой промежуточный адрес), рассматривается как доход от данного Rug Pull.
Необходимо отметить, что группировки Rug Pull при осуществлении мошенничества также активно используют Эфир для покупки созданных ими Токенов Rug Pull, чтобы смоделировать нормальную активность ликвидности, тем самым привлекая торговых ботов для покупки. Однако эта часть затрат не учитывается в расчетах, поэтому данные завышают фактическую прибыль группировки Rug Pull, реальная прибыль будет относительно ниже.
На самом деле, даже если финальные средства будут собраны в различных местах хранения средств.