Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
У світі Web3 нові токени постійно з'являються. Чи задумувалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають безпідставно. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що токени, залучені в ці випадки, без винятку є новими токенами, які тільки-но з'явилися в мережі.
Потім команда з безпеки провела глибоке розслідування цих випадків Rug Pull і виявила, що за цими випадками стоять організовані злочинні групи, а також узагальнила їхні типовi риси шахрайств. Глибокий аналіз методів роботи цих груп виявив один із можливих шляхів просування шахрайських схем Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" у певних групах, щоб залучити користувачів до купівлі шахрайських токенів і врешті-решт отримати прибуток через Rug Pull.
Команда безпеки підрахувала інформацію про токени, що надходила з цих груп Telegram з листопада 2023 року до початку серпня 2024 року, і виявила, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49,53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток склав 282,699.96 ETH з прибутковістю до 188.7%, що становить приблизно 800 мільйонів доларів.
Щоб оцінити частку нових токенів, які надсилаються через групи Telegram у основній мережі Ethereum, команда безпеки проаналізувала дані про нові токени, випущені в основній мережі Ethereum за той же період часу. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що надсилаються через групи Telegram, складають 89.99% основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення детального розслідування виявлена правда викликає занепокоєння — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний із шахрайством.
Крім того, команда безпеки також виявила більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що безпека не тільки основної мережі Ethereum, але й усього нового екосистеми токенів Web3 є значно серйознішою, ніж очікувалося. Тому команда безпеки підготувала цей дослідницький звіт, сподіваючись допомогти всім членам Web3 підвищити рівень обізнаності щодо запобігання, залишатися насторожі перед безліччю шахрайств і вчасно вжити необхідних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як розпочати цей звіт, давайте спочатку ознайомимося з деякими основними поняттями.
ERC-20 Токен є одним із найпоширеніших стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токена, такі як переказ, запит балансу, уповноваження третіх осіб на управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа або організація може випускати власний токен на основі стандарту ERC-20 та збирати стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токен став основою багатьох ICO та децентралізованих фінансових проектів.
USDT, PEPE, DOGE, з якими ми знайомі, є токенами ERC-20, і користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угруповання також можуть самостійно випускати шкідливі токени ERC-20 з кодом бекдору, розміщуючи їх на децентралізованих біржах, а потім спокушати користувачів на покупку.
Типові випадки шахрайства з токенами Rug Pull
Тут ми використовуємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель роботи зловмисних токенів. По-перше, слід зазначити, що Rug Pull – це шахрайство, коли команда проекту раптово забирає кошти або відмовляється від проекту в децентралізованих фінансових проектах, що призводить до величезних втрат для інвесторів. А токени Rug Pull – це токени, які спеціально випускаються для реалізації такого шахрайства.
У цій статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з гри", але в подальшому ми будемо однаково називати їх токенами Rug Pull.
випадок
Зловмисники (група Rug Pull) використовують адресу Deployer для розгортання токена TOMMI, а потім створюють ліквідний пул за допомогою 1,5 ETH та 100,000,000 токенів TOMMI, активно купуючи токени TOMMI через інші адреси, щоб підробити обсяги торгівлі ліквідного пулу для залучення користувачів та ботів для нових токенів на блокчейні для покупки токенів TOMMI. Коли певна кількість ботів для нових токенів потрапляє на вудку, зловмисники використовують адресу Rug Puller для виконання Rug Pull, Rug Puller використовує 38,739,354 токенів TOMMI, щоб знищити ліквідний пул, обмінявши їх на приблизно 3,95 ETH. Токени Rug Puller походять з зловмисного дозволу на Approve контракту токена TOMMI, оскільки контракт токена TOMMI при розгортанні надає Rug Puller права на опцію ліквідного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу, а потім виконати Rug Pull.
Процес Rug Pull
Підготуйте фінансування для атаки.
Зловмисники через централізовану біржу поповнили рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.
Розгортання токена Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо викопуючи 100,000,000 токенів та розподіляючи їх собі.
Створення початкового ліквідного пулу.
Deployer використав 1.5 Етер та всі попередньо видобуті Токени для створення ліквіднісного пулу, отримав приблизно 0.387 LP токенів.
Знищити весь обсяг попередньо видобутих Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, отже, в цей момент Token Deployer теоретично вже втратив можливість Rug Pull.
Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквідних пулів з кількох адрес, розганяючи обсяги торгів у пулі та додатково залучаючи боти для нових інвестицій.
Зловмисник ініціює Rug Pull через адресу Rug Puller, безпосередньо виводячи 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використовує ці токени для розбиття пулу, отримуючи близько 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.
Проміжна адреса відправляє кошти на адресу зберігання коштів. З цього ми можемо побачити, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем скупчення коштів у великій кількості випадків Rug Pull, адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решту невелику кількість коштів буде виведено через централізовану біржу.
Код для Rug Pull з бекдором
Атакуючи, хоча і спробували довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили зловмисний бекдор у функції openTrading контракту TOMMI. Цей бекдор дозволяє під час створення ліквідного пулу надавати адресі Rug Puller дозвіл на переказ токенів з ліквідного пулу, що дає можливість адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
Моделізація злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує кошти через централізовану біржу: спочатку зловмисник надає джерело фінансування для адреси розробника (Deployer) через централізовану біржу.
Deployer створює ліквідний пул і знищує LP токени: деплойер після створення токена Rug Pull одразу створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (як правило, кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквіднісному пулі. В інших випадках Rug Puller також може отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу утримання коштів: Rug Puller перенесе отриманий ETH на адресу утримання коштів, іноді через проміжну адресу.
Ці особливості широко присутні в захоплених випадках, що вказує на очевидні патерни поведінки Rug Pull. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу зберігання коштів, що натякає на те, що ці на перший погляд незалежні випадки Rug Pull можуть бути пов'язані з однією групою шахраїв або навіть з одним і тим же шахрайським угрупуванням.
Враховуючи ці ці характеристики, команда безпеки виділила модель поведінки Rug Pull і використала цю модель для сканування виявлених випадків, з метою побудови можливого профілю шахрайських груп.
Група злочинців Rug Pull
Адреса зберігання коштів для видобутку
Як згадувалося раніше, випадки Rug Pull зазвичай в кінці зводять кошти на адресу зберігання коштів. На основі цієї моделі команда безпеки обрала кілька високоактивних адрес зберігання коштів, які мають явні характеристики злочинних методів, для детального аналізу.
У полі зору є 7 адрес утримання фондів, які пов'язані з 1,124 випадками Rug Pull, успішно зафіксованими системою моніторингу атак на блокчейні. Після успішного здійснення шахрайства, групи Rug Pull збиратимуть незаконно отримані кошти на цих адресах утримання фондів. Ці адреси утримання фондів будуть розподіляти накопичені кошти для створення нових токенів у нових схемах Rug Pull, маніпуляцій з ліквідністю тощо. Крім того, невелика частина накопичених коштів буде конвертована через централізовані біржі або платформи для миттєвого обміну.
Зібравши дані про витрати та доходи від усіх схем Rug Pull у кожній адресі зберігання коштів, команда безпеки отримала відповідні дані.
У повній схемі Rug Pull, група Rug Pull зазвичай використовує одну адресу як розробника (Deployer) токенів Rug Pull і отримує стартовий капітал через централізовані біржі для створення токенів Rug Pull та відповідного пулу ліквідності. Коли достатня кількість користувачів або ботов для нових токенів використовує ETH для покупки токенів Rug Pull, група Rug Pull використовує іншу адресу як виконавця (Rug Puller) для проведення операцій, переміщуючи отримані кошти на адресу збереження коштів.
У вищезазначеному процесі ETH, отриманий Deployer через біржу, або ETH, вкладений Deployer під час створення ліквідності, розглядається як вартість Rug Pull (як саме це розраховується, залежить від дій Deployer). А ETH, що переводиться Rug Puller після завершення Rug Pull на адресу зберігання коштів (або іншу транзитну адресу), вважається доходом від цього Rug Pull.
Потрібно зазначити, що банда Rug Pull під час реалізації шахрайства також активно використовує ETH для купівлі створених ними токенів Rug Pull, щоб змоделювати нормальну діяльність ліквідності, тим самим приваблюючи боти для нових інвестицій. Але ця частина витрат не була включена в обчислення, тому дані завищують фактичний прибуток банди Rug Pull, реальний прибуток буде відносно нижчим.
Насправді, навіть якщо врешті-решт кошти будуть зосереджені в різних місцях зберігання коштів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
3
Поділіться
Прокоментувати
0/400
ApeWithNoFear
· 08-02 03:22
З такими вміннями ще й хочеш грабувати в провулках?
Переглянути оригіналвідповісти на0
CryptoWageSlave
· 08-02 03:04
Багатство залежить від старих монет
Переглянути оригіналвідповісти на0
SellLowExpert
· 08-02 02:52
невдахи назавжди обдурюють людей, як лохів, браття
Екосистема Ethereum на близько 50% нових токенів підозрюється у шахрайстві: розкрито схеми "Rug Pull" на 800 мільйонів доларів.
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
У світі Web3 нові токени постійно з'являються. Чи задумувалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають безпідставно. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що токени, залучені в ці випадки, без винятку є новими токенами, які тільки-но з'явилися в мережі.
Потім команда з безпеки провела глибоке розслідування цих випадків Rug Pull і виявила, що за цими випадками стоять організовані злочинні групи, а також узагальнила їхні типовi риси шахрайств. Глибокий аналіз методів роботи цих груп виявив один із можливих шляхів просування шахрайських схем Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" у певних групах, щоб залучити користувачів до купівлі шахрайських токенів і врешті-решт отримати прибуток через Rug Pull.
Команда безпеки підрахувала інформацію про токени, що надходила з цих груп Telegram з листопада 2023 року до початку серпня 2024 року, і виявила, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49,53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток склав 282,699.96 ETH з прибутковістю до 188.7%, що становить приблизно 800 мільйонів доларів.
Щоб оцінити частку нових токенів, які надсилаються через групи Telegram у основній мережі Ethereum, команда безпеки проаналізувала дані про нові токени, випущені в основній мережі Ethereum за той же період часу. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що надсилаються через групи Telegram, складають 89.99% основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення детального розслідування виявлена правда викликає занепокоєння — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний із шахрайством.
Крім того, команда безпеки також виявила більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що безпека не тільки основної мережі Ethereum, але й усього нового екосистеми токенів Web3 є значно серйознішою, ніж очікувалося. Тому команда безпеки підготувала цей дослідницький звіт, сподіваючись допомогти всім членам Web3 підвищити рівень обізнаності щодо запобігання, залишатися насторожі перед безліччю шахрайств і вчасно вжити необхідних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як розпочати цей звіт, давайте спочатку ознайомимося з деякими основними поняттями.
ERC-20 Токен є одним із найпоширеніших стандартів токенів у блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токена, такі як переказ, запит балансу, уповноваження третіх осіб на управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа або організація може випускати власний токен на основі стандарту ERC-20 та збирати стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токен став основою багатьох ICO та децентралізованих фінансових проектів.
USDT, PEPE, DOGE, з якими ми знайомі, є токенами ERC-20, і користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угруповання також можуть самостійно випускати шкідливі токени ERC-20 з кодом бекдору, розміщуючи їх на децентралізованих біржах, а потім спокушати користувачів на покупку.
Типові випадки шахрайства з токенами Rug Pull
Тут ми використовуємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель роботи зловмисних токенів. По-перше, слід зазначити, що Rug Pull – це шахрайство, коли команда проекту раптово забирає кошти або відмовляється від проекту в децентралізованих фінансових проектах, що призводить до величезних втрат для інвесторів. А токени Rug Pull – це токени, які спеціально випускаються для реалізації такого шахрайства.
У цій статті згадуються токени Rug Pull, які іноді також називають "медовими токенами" або "токенами виходу з гри", але в подальшому ми будемо однаково називати їх токенами Rug Pull.
випадок
Зловмисники (група Rug Pull) використовують адресу Deployer для розгортання токена TOMMI, а потім створюють ліквідний пул за допомогою 1,5 ETH та 100,000,000 токенів TOMMI, активно купуючи токени TOMMI через інші адреси, щоб підробити обсяги торгівлі ліквідного пулу для залучення користувачів та ботів для нових токенів на блокчейні для покупки токенів TOMMI. Коли певна кількість ботів для нових токенів потрапляє на вудку, зловмисники використовують адресу Rug Puller для виконання Rug Pull, Rug Puller використовує 38,739,354 токенів TOMMI, щоб знищити ліквідний пул, обмінявши їх на приблизно 3,95 ETH. Токени Rug Puller походять з зловмисного дозволу на Approve контракту токена TOMMI, оскільки контракт токена TOMMI при розгортанні надає Rug Puller права на опцію ліквідного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу, а потім виконати Rug Pull.
Процес Rug Pull
Зловмисники через централізовану біржу поповнили рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.
Deployer створює токен TOMMI, попередньо викопуючи 100,000,000 токенів та розподіляючи їх собі.
Deployer використав 1.5 Етер та всі попередньо видобуті Токени для створення ліквіднісного пулу, отримав приблизно 0.387 LP токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, отже, в цей момент Token Deployer теоретично вже втратив можливість Rug Pull.
Зловмисники активно купують токени TOMMI з ліквідних пулів з кількох адрес, розганяючи обсяги торгів у пулі та додатково залучаючи боти для нових інвестицій.
Зловмисник ініціює Rug Pull через адресу Rug Puller, безпосередньо виводячи 38,739,354 токенів з ліквідного пулу через бекдор токена, а потім використовує ці токени для розбиття пулу, отримуючи близько 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.
Проміжна адреса відправляє кошти на адресу зберігання коштів. З цього ми можемо побачити, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем скупчення коштів у великій кількості випадків Rug Pull, адреса зберігання коштів розділить більшість отриманих коштів, щоб розпочати новий раунд Rug Pull, а решту невелику кількість коштів буде виведено через централізовану біржу.
Код для Rug Pull з бекдором
Атакуючи, хоча і спробували довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили зловмисний бекдор у функції openTrading контракту TOMMI. Цей бекдор дозволяє під час створення ліквідного пулу надавати адресі Rug Puller дозвіл на переказ токенів з ліквідного пулу, що дає можливість адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
Моделізація злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує кошти через централізовану біржу: спочатку зловмисник надає джерело фінансування для адреси розробника (Deployer) через централізовану біржу.
Deployer створює ліквідний пул і знищує LP токени: деплойер після створення токена Rug Pull одразу створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (як правило, кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквіднісному пулі. В інших випадках Rug Puller також може отримати ETH з пулу, видаляючи ліквідність.
Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу утримання коштів: Rug Puller перенесе отриманий ETH на адресу утримання коштів, іноді через проміжну адресу.
Ці особливості широко присутні в захоплених випадках, що вказує на очевидні патерни поведінки Rug Pull. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу зберігання коштів, що натякає на те, що ці на перший погляд незалежні випадки Rug Pull можуть бути пов'язані з однією групою шахраїв або навіть з одним і тим же шахрайським угрупуванням.
Враховуючи ці ці характеристики, команда безпеки виділила модель поведінки Rug Pull і використала цю модель для сканування виявлених випадків, з метою побудови можливого профілю шахрайських груп.
Група злочинців Rug Pull
Адреса зберігання коштів для видобутку
Як згадувалося раніше, випадки Rug Pull зазвичай в кінці зводять кошти на адресу зберігання коштів. На основі цієї моделі команда безпеки обрала кілька високоактивних адрес зберігання коштів, які мають явні характеристики злочинних методів, для детального аналізу.
У полі зору є 7 адрес утримання фондів, які пов'язані з 1,124 випадками Rug Pull, успішно зафіксованими системою моніторингу атак на блокчейні. Після успішного здійснення шахрайства, групи Rug Pull збиратимуть незаконно отримані кошти на цих адресах утримання фондів. Ці адреси утримання фондів будуть розподіляти накопичені кошти для створення нових токенів у нових схемах Rug Pull, маніпуляцій з ліквідністю тощо. Крім того, невелика частина накопичених коштів буде конвертована через централізовані біржі або платформи для миттєвого обміну.
Зібравши дані про витрати та доходи від усіх схем Rug Pull у кожній адресі зберігання коштів, команда безпеки отримала відповідні дані.
У повній схемі Rug Pull, група Rug Pull зазвичай використовує одну адресу як розробника (Deployer) токенів Rug Pull і отримує стартовий капітал через централізовані біржі для створення токенів Rug Pull та відповідного пулу ліквідності. Коли достатня кількість користувачів або ботов для нових токенів використовує ETH для покупки токенів Rug Pull, група Rug Pull використовує іншу адресу як виконавця (Rug Puller) для проведення операцій, переміщуючи отримані кошти на адресу збереження коштів.
У вищезазначеному процесі ETH, отриманий Deployer через біржу, або ETH, вкладений Deployer під час створення ліквідності, розглядається як вартість Rug Pull (як саме це розраховується, залежить від дій Deployer). А ETH, що переводиться Rug Puller після завершення Rug Pull на адресу зберігання коштів (або іншу транзитну адресу), вважається доходом від цього Rug Pull.
Потрібно зазначити, що банда Rug Pull під час реалізації шахрайства також активно використовує ETH для купівлі створених ними токенів Rug Pull, щоб змоделювати нормальну діяльність ліквідності, тим самим приваблюючи боти для нових інвестицій. Але ця частина витрат не була включена в обчислення, тому дані завищують фактичний прибуток банди Rug Pull, реальний прибуток буде відносно нижчим.
Насправді, навіть якщо врешті-решт кошти будуть зосереджені в різних місцях зберігання коштів.