Web3 dünyasında yeni tokenler sürekli ortaya çıkıyor. Her gün kaç yeni tokenin yayımlandığını hiç düşündünüz mü? Bu yeni tokenler güvenli mi?
Bu soruların ortaya çıkması boşuna değil. Son birkaç ay içinde, güvenlik ekibi çok sayıda Rug Pull işlem vakası yakaladı. Dikkate değer olan, bu vakalarda yer alan token'ların hepsinin yeni bir şekilde zincire eklenmiş olması.
Daha sonra, güvenlik ekibi bu Rug Pull vakalarını derinlemesine inceledi ve arkasında organize bir suç çetesi olduğunu keşfetti, bu dolandırıcılıkların kalıplaşmış özelliklerini özetledi. Bu çetelerin yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolu keşfedildi: Telegram grupları. Bu çeteler, belirli gruplardaki "New Token Tracer" özelliğini kullanarak kullanıcıları dolandırıcı token satın almaya çekiyor ve sonunda Rug Pull ile kar elde ediyor.
Güvenlik ekibi, 2023 Kasım ile 2024 Ağustos başı arasındaki dönemde bu Telegram gruplarının Token gönderim bilgilerini istatistiksel olarak inceledi ve toplamda 93,930 yeni Token gönderildiğini tespit etti. Bunlar arasında Rug Pull ile ilgili Token sayısı 46,526 olup, bu oran %49.53'e ulaşmaktadır. İstatistiklere göre, bu Rug Pull Token'ları arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 ETH olup, %188.7'ye varan bir getiri oranıyla 282,699.96 ETH kazanç elde edilmiştir ki bu da yaklaşık 800 milyon dolar etmektedir.
Telegram grupları üzerinden tanıtılan yeni Token'ların Ethereum ana ağı içindeki oranını değerlendirmek için, güvenlik ekibi aynı zaman diliminde Ethereum ana ağı üzerinde piyasaya sürülen yeni Token verilerini derledi. Veriler, bu süre zarfında toplam 100,260 yeni Token'ın piyasaya sürüldüğünü gösteriyor; bunların 89.99%'u Telegram grupları üzerinden tanıtılan Token'lardan oluşuyor. Ortalama olarak her gün yaklaşık 370 yeni Token doğuyor, bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine bir araştırmanın ardından ortaya çıkan gerçek rahatsız edici - en az 48,265 Token Rug Pull dolandırıcılığı ile ilgili, bu da %48.14'lük bir orana tekabül ediyor. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni Token'dan biri dolandırıcılıkla ilgili.
Ayrıca, güvenlik ekibi diğer blok zinciri ağlarında daha fazla Rug Pull vakası keşfetti. Bu, yalnızca Ethereum ana ağının değil, tüm Web3 yeni çıkan token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğunu gösteriyor. Bu nedenle, güvenlik ekibi bu araştırma raporunu hazırladı ve tüm Web3 üyelerinin önlem alma bilincini artırmalarına, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli kalmalarına ve gerekli önlemleri zamanında almalarına yardımcı olmayı umuyor, böylece varlık güvenliklerini koruyabiliyorlar.
ERC-20 Token
Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.
ERC-20 Token, blockchain üzerinde mevcut en yaygın token standartlarından biridir ve tokenların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında etkileşimli olabilmesi için bir dizi standart tanımlar. ERC-20 standardı, tokenların temel işlevlerini, örneğin transfer, bakiye sorgulama, üçüncü tarafın tokenları yönetmesine yetki verme gibi işlevleri belirler. Bu standartlaştırılmış protokol sayesinde, geliştiriciler tokenları daha kolay bir şekilde çıkarabilir ve yönetebilir, böylece tokenların oluşturulması ve kullanılması basitleştirilmiştir. Gerçekte, herhangi bir birey veya kuruluş, ERC-20 standardına dayanarak kendi tokenını çıkarabilir ve çeşitli finansal projeler için başlangıç sermayesi toplamak amacıyla token ön satışı gerçekleştirebilir. ERC-20 tokenlarının yaygın kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.
Bizim tanıdığımız USDT, PEPE, DOGE ERC-20 Token'larına aittir, kullanıcılar bu Token'ları merkeziyetsiz borsa üzerinden satın alabilir. Ancak, bazı dolandırıcılık çeteleri, arka kapı kodu içeren kötü niyetli ERC-20 Token'larını kendi başlarına çıkarabilir, bunları merkeziyetsiz borsa üzerinde listeleyebilir ve ardından kullanıcıları satın almaya teşvik edebilir.
Rug Pull Token'ların Tipik Dolandırıcılık Vakaları
Burada, bir Rug Pull Token dolandırıcılığı örneğini ele alarak kötü niyetli token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. Öncelikle belirtmek gerekir ki, Rug Pull, proje ekibinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeyi terk etmesiyle, yatırımcıların büyük kayıplar yaşamasına neden olan bir dolandırıcılık eylemidir. Rug Pull token ise bu dolandırıcılık eylemini gerçekleştirmek amacıyla özel olarak ihraç edilen token'dır.
Bu yazıda bahsedilen Rug Pull Token'ları, bazen "tuzağa düşüren Token" veya "çıkış dolandırıcılığı Token" olarak da adlandırılmaktadır, ancak aşağıda bunları tek tip olarak Rug Pull Token olarak adlandıracağız.
örnek
Saldırganlar (Rug Pull çetesi) Deployer adresi ile TOMMI token'ını dağıttı, ardından 1.5 ETH ve 100,000,000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden aktif olarak TOMMI token'ı satın alarak likidite havuzu işlem hacmini sahteleyerek kullanıcıları ve zincir üzerindeki yeni yatırımcı botlarını TOMMI token'ı satın almaya çekti. Belirli sayıda yeni yatırımcı botu kandırıldıktan sonra, saldırgan Rug Puller adresini kullanarak Rug Pull gerçekleştirdi, Rug Puller 38,739,354 TOMMI token'ı likidite havuzunu çökertmek için kullandı ve yaklaşık 3.95 ETH'yi takas etti. Rug Puller'ın token kaynağı, TOMMI token'ı sözleşmesinin kötü niyetli onay (Approve) yetkilerinden gelmektedir, TOMMI token'ı sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisini verir, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI token'ı çekip Rug Pull yapmasını sağlar.
Rug Pull süreci
Saldırı fonlarını hazırlayın.
Saldırgan, merkezi borsa aracılığıyla Token Deployer'a 2.47309009ETH yükleyerek Rug Pull'un başlangıç fonunu sağlamaktadır.
Arka kapılı Rug Pull Token'ı dağıtmak.
Deployer, TOMMI Token'ını yaratır, 100.000.000 Token'ı ön madencilik yapar ve kendisine tahsis eder.
İlk likidite havuzunu oluşturun.
Deployer, 1.5 ETH ve önceden madenciliği yapılmış tüm Token'ları kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı elde etti.
Önceden madenciliği yapılmış tüm Token arzını imha et.
Token Deployer, tüm LP tokenlerini 0 adresine göndererek yok eder. TOMMI sözleşmesinde Mint fonksiyonu olmadığından, bu noktada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir.
Sahte işlem hacmi.
Saldırganlar, likidite havuzundan TOMMI Token satın almak için birden fazla adres kullanarak havuzun işlem hacmini artırıyor ve bu da yeni botların katılmasını daha da çekiyor.
Saldırgan, Rug Puller adresi aracılığıyla Rug Pull başlatarak, token'ın arka kapısından doğrudan likidite havuzundan 38,739,354 adet token çıkardı ve ardından bu token'ları havuza atarak yaklaşık 3.95 ETH çıkardı.
Saldırgan, Rug Pull ile elde edilen fonları ara adrese gönderir.
Transfer adresi fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları belirli bir fon saklama adresine göndereceğini görebiliriz. Fon saklama adresi, izlenen birçok Rug Pull olayının fonlarının toplandığı yerdir; fon saklama adresi, aldığı fonların çoğunu yeni bir Rug Pull başlatmak için bölerken, geri kalan az miktardaki fonlar merkezi borsa aracılığıyla çekilecektir.
Rug Pull kod arka kapısı
Saldırganlar, LP Token'larını yok ederek dışarıya Rug Pull gerçekleştiremeyeceklerini kanıtlamaya çalışsalar da, aslında TOMMI Token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir onay arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzu oluşturulduğunda, likidite havuzunun Rug Puller adresine token transfer yetkisi vermesini sağlar; böylece Rug Puller adresi likidite havuzundan doğrudan token alabilir.
suç işleme modeli
TOMMI vakasını analiz ederek aşağıdaki 4 özelliği özetleyebiliriz:
Deployer, merkezi borsa aracılığıyla fon elde eder: Saldırgan, önce Deployer adresine (Deployer) fon kaynağı sağlamak için merkezi borsa aracılığıyla hareket eder.
Deployer likidite havuzunu oluşturur ve LP token'larını yok eder: Rug Pull token'ını oluşturduktan sonra, deployer hemen bir likidite havuzu oluşturur ve LP token'larını yok eder, bu da projenin güvenilirliğini artırarak daha fazla yatırımcı çekmeyi sağlar.
Rug Puller, likidite havuzundaki ETH'yi büyük miktarda token ile değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda token (genellikle toplam token arzını çok aşan miktarlar) kullanır. Diğer durumlarda, Rug Puller, havuzdaki ETH'yi elde etmek için likiditeyi kaldırma yoluna da gidebilir.
Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine aktarır: Rug Puller, aldığı ETH'yi fon saklama adresine aktarır, bazen ara adresler aracılığıyla geçiş yapar.
Yukarıda belirtilen bu özellikler, ele geçirilen vakalarda yaygın olarak bulunmaktadır ve bu, Rug Pull davranışlarının belirgin bir model özelliğine sahip olduğunu göstermektedir. Ayrıca, Rug Pull işlemi tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu da bu görünüşte bağımsız Rug Pull vakalarının arkasında aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini düşündürmektedir.
Bu özelliklere dayanarak, güvenlik ekibi bir Rug Pull davranış modeli çıkardı ve bu modeli izlenen vakaları taramak için kullandı, böylece olası dolandırıcılık çeteleri profilini oluşturmayı hedefliyor.
Rug Pull Suç Çetesi
Madencilik fonu saklama adresi
Yukarıda bahsedildiği gibi, Rug Pull vakaları genellikle sonunda fonları bir fon saklama adresine toplar. Bu modele dayanarak, güvenlik ekibi, belirgin bir suç işleme yöntemi olan birkaç yüksek aktif ve ilişkili vakaların fon saklama adresini derinlemesine analiz etmek için seçti.
Göz önüne çıkan toplam 7 adet fon saklama adresi bulunmaktadır. Bu adreslere bağlı olarak 1.124 adet Rug Pull olayı, zincir üzerindeki saldırı izleme sistemi tarafından başarıyla tespit edilmiştir. Rug Pull çeteleri, dolandırıcılıklarını başarıyla gerçekleştirdikten sonra, yasa dışı kazançlarını bu fon saklama adreslerinde toplar. Bu fon saklama adresleri, birikmiş fonları bölerek, gelecekteki yeni Rug Pull dolandırıcılıklarında yeni Token yaratmak, likidite havuzlarını manipüle etmek gibi eylemler için kullanır. Ayrıca, bir kısım birikmiş fonlar ise merkezi borsalar veya anlık değişim platformları aracılığıyla nakde çevrilir.
Her bir fon saklama adresindeki tüm Rug Pull dolandırıcılıklarının maliyet ve gelirlerini istatistiksel olarak inceleyerek, güvenlik ekibi ilgili verilere ulaştı.
Tam bir Rug Pull dolandırıcılığı sırasında, Rug Pull çetesi genellikle bir adresi Rug Pull token'ının dağıtımcısı (Deployer) olarak kullanır ve merkezi borsa üzerinden para çekerek başlangıç sermayesini elde eder. Rug Pull token'ını ve ilgili likidite havuzunu oluşturur. Yeterli sayıda kullanıcı veya yeni token alım botu ETH ile Rug Pull token'ını satın aldıktan sonra, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak işlemi gerçekleştirir ve elde edilen fonları para tutma adresine aktarır.
Yukarıdaki süreçte, Deployer'in borsa üzerinden aldığı ETH veya Deployer'ın likidite havuzu oluştururken yatırdığı ETH, Rug Pull'un maliyeti olarak kabul edilir (nasıl hesaplandığı, Deployer'ın davranışına bağlıdır). Rug Puller, Rug Pull'u tamamladıktan sonra fonların saklandığı adrese (veya diğer aktarma adreslerine) geçen ETH ise bu Rug Pull'un geliri olarak kabul edilir.
Şunu belirtmek gerekir ki, Rug Pull çeteleri dolandırıcılığı gerçekleştirirken, normal likidite havuzu faaliyetlerini simüle etmek için kendileri tarafından oluşturulan Rug Pull token'larını satın almak amacıyla ETH kullanabilirler. Bu nedenle bu maliyet hesaplamalara dahil edilmemiştir, bu da verilerin Rug Pull çetelerinin gerçek kârını abartmasına neden olmaktadır; gerçek kâr daha düşük olacaktır.
Aslında, nihayetinde fonlar farklı fon saklama yerlerine toplandığında bile
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
3
Share
Comment
0/400
ApeWithNoFear
· 08-02 03:22
Bu kadar yetenekle sokakta para mı çalmaya çalışıyorsun?
Ethereum ekosisteminde yaklaşık %50 yeni Token dolandırıcılık Rug Pull çetelerinin 800 milyon dolarlık karanlık operasyonu ifşa edildi.
Rug Pull vakalarını derinlemesine inceleme, Ethereum Token ekosistemindeki kaosu ortaya çıkarma
Web3 dünyasında yeni tokenler sürekli ortaya çıkıyor. Her gün kaç yeni tokenin yayımlandığını hiç düşündünüz mü? Bu yeni tokenler güvenli mi?
Bu soruların ortaya çıkması boşuna değil. Son birkaç ay içinde, güvenlik ekibi çok sayıda Rug Pull işlem vakası yakaladı. Dikkate değer olan, bu vakalarda yer alan token'ların hepsinin yeni bir şekilde zincire eklenmiş olması.
Daha sonra, güvenlik ekibi bu Rug Pull vakalarını derinlemesine inceledi ve arkasında organize bir suç çetesi olduğunu keşfetti, bu dolandırıcılıkların kalıplaşmış özelliklerini özetledi. Bu çetelerin yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolu keşfedildi: Telegram grupları. Bu çeteler, belirli gruplardaki "New Token Tracer" özelliğini kullanarak kullanıcıları dolandırıcı token satın almaya çekiyor ve sonunda Rug Pull ile kar elde ediyor.
Güvenlik ekibi, 2023 Kasım ile 2024 Ağustos başı arasındaki dönemde bu Telegram gruplarının Token gönderim bilgilerini istatistiksel olarak inceledi ve toplamda 93,930 yeni Token gönderildiğini tespit etti. Bunlar arasında Rug Pull ile ilgili Token sayısı 46,526 olup, bu oran %49.53'e ulaşmaktadır. İstatistiklere göre, bu Rug Pull Token'ları arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 ETH olup, %188.7'ye varan bir getiri oranıyla 282,699.96 ETH kazanç elde edilmiştir ki bu da yaklaşık 800 milyon dolar etmektedir.
Telegram grupları üzerinden tanıtılan yeni Token'ların Ethereum ana ağı içindeki oranını değerlendirmek için, güvenlik ekibi aynı zaman diliminde Ethereum ana ağı üzerinde piyasaya sürülen yeni Token verilerini derledi. Veriler, bu süre zarfında toplam 100,260 yeni Token'ın piyasaya sürüldüğünü gösteriyor; bunların 89.99%'u Telegram grupları üzerinden tanıtılan Token'lardan oluşuyor. Ortalama olarak her gün yaklaşık 370 yeni Token doğuyor, bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine bir araştırmanın ardından ortaya çıkan gerçek rahatsız edici - en az 48,265 Token Rug Pull dolandırıcılığı ile ilgili, bu da %48.14'lük bir orana tekabül ediyor. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni Token'dan biri dolandırıcılıkla ilgili.
Ayrıca, güvenlik ekibi diğer blok zinciri ağlarında daha fazla Rug Pull vakası keşfetti. Bu, yalnızca Ethereum ana ağının değil, tüm Web3 yeni çıkan token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğunu gösteriyor. Bu nedenle, güvenlik ekibi bu araştırma raporunu hazırladı ve tüm Web3 üyelerinin önlem alma bilincini artırmalarına, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli kalmalarına ve gerekli önlemleri zamanında almalarına yardımcı olmayı umuyor, böylece varlık güvenliklerini koruyabiliyorlar.
ERC-20 Token
Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.
ERC-20 Token, blockchain üzerinde mevcut en yaygın token standartlarından biridir ve tokenların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında etkileşimli olabilmesi için bir dizi standart tanımlar. ERC-20 standardı, tokenların temel işlevlerini, örneğin transfer, bakiye sorgulama, üçüncü tarafın tokenları yönetmesine yetki verme gibi işlevleri belirler. Bu standartlaştırılmış protokol sayesinde, geliştiriciler tokenları daha kolay bir şekilde çıkarabilir ve yönetebilir, böylece tokenların oluşturulması ve kullanılması basitleştirilmiştir. Gerçekte, herhangi bir birey veya kuruluş, ERC-20 standardına dayanarak kendi tokenını çıkarabilir ve çeşitli finansal projeler için başlangıç sermayesi toplamak amacıyla token ön satışı gerçekleştirebilir. ERC-20 tokenlarının yaygın kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.
Bizim tanıdığımız USDT, PEPE, DOGE ERC-20 Token'larına aittir, kullanıcılar bu Token'ları merkeziyetsiz borsa üzerinden satın alabilir. Ancak, bazı dolandırıcılık çeteleri, arka kapı kodu içeren kötü niyetli ERC-20 Token'larını kendi başlarına çıkarabilir, bunları merkeziyetsiz borsa üzerinde listeleyebilir ve ardından kullanıcıları satın almaya teşvik edebilir.
Rug Pull Token'ların Tipik Dolandırıcılık Vakaları
Burada, bir Rug Pull Token dolandırıcılığı örneğini ele alarak kötü niyetli token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. Öncelikle belirtmek gerekir ki, Rug Pull, proje ekibinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeyi terk etmesiyle, yatırımcıların büyük kayıplar yaşamasına neden olan bir dolandırıcılık eylemidir. Rug Pull token ise bu dolandırıcılık eylemini gerçekleştirmek amacıyla özel olarak ihraç edilen token'dır.
Bu yazıda bahsedilen Rug Pull Token'ları, bazen "tuzağa düşüren Token" veya "çıkış dolandırıcılığı Token" olarak da adlandırılmaktadır, ancak aşağıda bunları tek tip olarak Rug Pull Token olarak adlandıracağız.
örnek
Saldırganlar (Rug Pull çetesi) Deployer adresi ile TOMMI token'ını dağıttı, ardından 1.5 ETH ve 100,000,000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden aktif olarak TOMMI token'ı satın alarak likidite havuzu işlem hacmini sahteleyerek kullanıcıları ve zincir üzerindeki yeni yatırımcı botlarını TOMMI token'ı satın almaya çekti. Belirli sayıda yeni yatırımcı botu kandırıldıktan sonra, saldırgan Rug Puller adresini kullanarak Rug Pull gerçekleştirdi, Rug Puller 38,739,354 TOMMI token'ı likidite havuzunu çökertmek için kullandı ve yaklaşık 3.95 ETH'yi takas etti. Rug Puller'ın token kaynağı, TOMMI token'ı sözleşmesinin kötü niyetli onay (Approve) yetkilerinden gelmektedir, TOMMI token'ı sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisini verir, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI token'ı çekip Rug Pull yapmasını sağlar.
Rug Pull süreci
Saldırgan, merkezi borsa aracılığıyla Token Deployer'a 2.47309009ETH yükleyerek Rug Pull'un başlangıç fonunu sağlamaktadır.
Deployer, TOMMI Token'ını yaratır, 100.000.000 Token'ı ön madencilik yapar ve kendisine tahsis eder.
Deployer, 1.5 ETH ve önceden madenciliği yapılmış tüm Token'ları kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı elde etti.
Token Deployer, tüm LP tokenlerini 0 adresine göndererek yok eder. TOMMI sözleşmesinde Mint fonksiyonu olmadığından, bu noktada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir.
Saldırganlar, likidite havuzundan TOMMI Token satın almak için birden fazla adres kullanarak havuzun işlem hacmini artırıyor ve bu da yeni botların katılmasını daha da çekiyor.
Saldırgan, Rug Puller adresi aracılığıyla Rug Pull başlatarak, token'ın arka kapısından doğrudan likidite havuzundan 38,739,354 adet token çıkardı ve ardından bu token'ları havuza atarak yaklaşık 3.95 ETH çıkardı.
Saldırgan, Rug Pull ile elde edilen fonları ara adrese gönderir.
Transfer adresi fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları belirli bir fon saklama adresine göndereceğini görebiliriz. Fon saklama adresi, izlenen birçok Rug Pull olayının fonlarının toplandığı yerdir; fon saklama adresi, aldığı fonların çoğunu yeni bir Rug Pull başlatmak için bölerken, geri kalan az miktardaki fonlar merkezi borsa aracılığıyla çekilecektir.
Rug Pull kod arka kapısı
Saldırganlar, LP Token'larını yok ederek dışarıya Rug Pull gerçekleştiremeyeceklerini kanıtlamaya çalışsalar da, aslında TOMMI Token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir onay arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzu oluşturulduğunda, likidite havuzunun Rug Puller adresine token transfer yetkisi vermesini sağlar; böylece Rug Puller adresi likidite havuzundan doğrudan token alabilir.
suç işleme modeli
TOMMI vakasını analiz ederek aşağıdaki 4 özelliği özetleyebiliriz:
Deployer, merkezi borsa aracılığıyla fon elde eder: Saldırgan, önce Deployer adresine (Deployer) fon kaynağı sağlamak için merkezi borsa aracılığıyla hareket eder.
Deployer likidite havuzunu oluşturur ve LP token'larını yok eder: Rug Pull token'ını oluşturduktan sonra, deployer hemen bir likidite havuzu oluşturur ve LP token'larını yok eder, bu da projenin güvenilirliğini artırarak daha fazla yatırımcı çekmeyi sağlar.
Rug Puller, likidite havuzundaki ETH'yi büyük miktarda token ile değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda token (genellikle toplam token arzını çok aşan miktarlar) kullanır. Diğer durumlarda, Rug Puller, havuzdaki ETH'yi elde etmek için likiditeyi kaldırma yoluna da gidebilir.
Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine aktarır: Rug Puller, aldığı ETH'yi fon saklama adresine aktarır, bazen ara adresler aracılığıyla geçiş yapar.
Yukarıda belirtilen bu özellikler, ele geçirilen vakalarda yaygın olarak bulunmaktadır ve bu, Rug Pull davranışlarının belirgin bir model özelliğine sahip olduğunu göstermektedir. Ayrıca, Rug Pull işlemi tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu da bu görünüşte bağımsız Rug Pull vakalarının arkasında aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini düşündürmektedir.
Bu özelliklere dayanarak, güvenlik ekibi bir Rug Pull davranış modeli çıkardı ve bu modeli izlenen vakaları taramak için kullandı, böylece olası dolandırıcılık çeteleri profilini oluşturmayı hedefliyor.
Rug Pull Suç Çetesi
Madencilik fonu saklama adresi
Yukarıda bahsedildiği gibi, Rug Pull vakaları genellikle sonunda fonları bir fon saklama adresine toplar. Bu modele dayanarak, güvenlik ekibi, belirgin bir suç işleme yöntemi olan birkaç yüksek aktif ve ilişkili vakaların fon saklama adresini derinlemesine analiz etmek için seçti.
Göz önüne çıkan toplam 7 adet fon saklama adresi bulunmaktadır. Bu adreslere bağlı olarak 1.124 adet Rug Pull olayı, zincir üzerindeki saldırı izleme sistemi tarafından başarıyla tespit edilmiştir. Rug Pull çeteleri, dolandırıcılıklarını başarıyla gerçekleştirdikten sonra, yasa dışı kazançlarını bu fon saklama adreslerinde toplar. Bu fon saklama adresleri, birikmiş fonları bölerek, gelecekteki yeni Rug Pull dolandırıcılıklarında yeni Token yaratmak, likidite havuzlarını manipüle etmek gibi eylemler için kullanır. Ayrıca, bir kısım birikmiş fonlar ise merkezi borsalar veya anlık değişim platformları aracılığıyla nakde çevrilir.
Her bir fon saklama adresindeki tüm Rug Pull dolandırıcılıklarının maliyet ve gelirlerini istatistiksel olarak inceleyerek, güvenlik ekibi ilgili verilere ulaştı.
Tam bir Rug Pull dolandırıcılığı sırasında, Rug Pull çetesi genellikle bir adresi Rug Pull token'ının dağıtımcısı (Deployer) olarak kullanır ve merkezi borsa üzerinden para çekerek başlangıç sermayesini elde eder. Rug Pull token'ını ve ilgili likidite havuzunu oluşturur. Yeterli sayıda kullanıcı veya yeni token alım botu ETH ile Rug Pull token'ını satın aldıktan sonra, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak işlemi gerçekleştirir ve elde edilen fonları para tutma adresine aktarır.
Yukarıdaki süreçte, Deployer'in borsa üzerinden aldığı ETH veya Deployer'ın likidite havuzu oluştururken yatırdığı ETH, Rug Pull'un maliyeti olarak kabul edilir (nasıl hesaplandığı, Deployer'ın davranışına bağlıdır). Rug Puller, Rug Pull'u tamamladıktan sonra fonların saklandığı adrese (veya diğer aktarma adreslerine) geçen ETH ise bu Rug Pull'un geliri olarak kabul edilir.
Şunu belirtmek gerekir ki, Rug Pull çeteleri dolandırıcılığı gerçekleştirirken, normal likidite havuzu faaliyetlerini simüle etmek için kendileri tarafından oluşturulan Rug Pull token'larını satın almak amacıyla ETH kullanabilirler. Bu nedenle bu maliyet hesaplamalara dahil edilmemiştir, bu da verilerin Rug Pull çetelerinin gerçek kârını abartmasına neden olmaktadır; gerçek kâr daha düşük olacaktır.
Aslında, nihayetinde fonlar farklı fon saklama yerlerine toplandığında bile