Revelando o Caos do Ecossistema de Tokens Ethereum: Investigação Profunda de Casos de Rug Pull
Introdução
No mundo Web3, novos Tokens surgem constantemente. Você já se perguntou quantos novos Tokens são emitidos a cada dia? Esses novos Tokens são seguros?
Essas dúvidas não surgem do nada. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações Rug Pull. Vale ressaltar que todos os Tokens envolvidos nesses casos foram, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe realizou uma investigação aprofundada sobre esses casos de Rug Pull e descobriu a existência de um grupo organizado por trás das fraudes, resumindo as características padronizadas desses esquemas. Através da análise detalhada dos métodos de operação desses grupos, foi identificada uma possível via de promoção de fraudes pelos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.
A equipe contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024, descobrindo que um total de 93,930 novos tokens foram enviados, dos quais 46,526 estavam envolvidos em Rug Pull, representando uma alta de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149,813.72 ETH, com uma taxa de retorno de até 188,7%, lucrando 282,699.96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a participação dos novos Tokens promovidos em grupos do Telegram na rede principal do Ethereum, a equipe estatisticamente analisou os dados dos novos Tokens emitidos na mesma faixa de tempo na rede principal do Ethereum. Os dados mostram que, durante esse período, um total de 100.260 novos Tokens foram emitidos, dos quais os Tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos Tokens nascem por dia, muito além das expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é alarmante ------ pelo menos 48.265 Tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa alarmante de 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, a equipe também encontrou mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Portanto, a equipe redigiu este relatório de pesquisa, esperando poder ajudar todos os membros do Web3 a aumentar a conscientização sobre a prevenção, manter a vigilância diante das inúmeras fraudes e tomar as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20 (Token)
Antes de começarmos oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain. Eles definem um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, verificação de saldo e autorização de gerenciamento de tokens por terceiros. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e o uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros por meio da pré-venda de tokens. É precisamente por causa da ampla aplicação dos tokens ERC-20 que eles se tornaram a base para muitos projetos de ICO e de finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, os usuários podem comprar esses tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com backdoors de código, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude de Token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é necessário esclarecer que Rug Pull refere-se a uma prática fraudulenta em que a equipe do projeto, em projetos de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, causando grandes perdas aos investidores. O Token Rug Pull é um token emitido especificamente para a implementação desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também são conhecidos como "蜜罐(Honey Pot) tokens" ou "退出骗局(Exit Scam) tokens", mas no texto abaixo, vamos nos referir a eles de forma uniforme como tokens Rug Pull.
caso
Atacantes ( do grupo Rug Pull ) implantaram o Token TOMMI usando o endereço Deployer ( 0x4bAF), e depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez a fim de atrair usuários e robôs de lançamento de novos tokens na blockchain a comprar tokens TOMMI. Quando um certo número de robôs de lançamento de novos tokens é enganado, os atacantes usam o endereço Rug Puller ( 0x43a9) para executar o Rug Pull, e o Rug Puller usa 38.739.354 tokens TOMMI para desmantelar o pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI; quando o contrato do token TOMMI é implantado, o Rug Puller recebe permissão para aprovar o pool de liquidez, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, execute o Rug Pull.
Rug Pull enviou os fundos recebidos para o endereço intermediário:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará os fundos para o endereço de retenção de fundos:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
) processo de Rug Pull
1. Preparar fundos para o ataque.
O atacante recarregou 2.47309009ETH para o Token Deployer###0x4bAF( através de uma exchange centralizada como capital inicial para o Rug Pull.
2. Implantar tokens Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minera 100,000,000 tokens e os distribui para si mesmo.
3. Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir toda a oferta de Token pré-minerada.
O Token Deployer envia todos os LP Tokens para o endereço 0 para destruí-los. Como o contrato TOMMI não possui função de Mint, teoricamente, o Token Deployer já perdeu a capacidade de Rug Pull. ) Este também é um dos requisitos necessários para atrair robôs de novos lançamentos, pois alguns robôs de novos lançamentos avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também define o proprietário do contrato como o endereço 0, tudo para enganar os programas antifraude dos robôs de novos lançamentos (.
5. Volume de transações falsificado.
Atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de investimento para o mercado ). O julgamento desses endereços como disfarces de atacantes baseia-se em: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull (.
O atacante iniciou um Rug Pull através do endereço Rug Puller )0x43A9(, retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desestabilizar o pool, retirando cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
O endereço de transferência 0xD921 enviou fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a quantidade restante será retirada através de uma exchange centralizada. Encontramos vários endereços de retenção de fundos, 0x2836 é um deles.
![Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(
) Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não conseguem realizar um Rug Pull destruindo os LP Tokens, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que o pool de liquidez aprove a transferência de tokens para o endereço do Rug Puller ao criar o pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente tokens do pool de liquidez.
A implementação da função openTrading tem como principal função criar novos pools de liquidez, mas um atacante chamou a função de backdoor onInit dentro dessa função, permitindo que uniswapV2Pair aprovasse a transferência de um Token no endereço _chefAddress no valor de type###uint256(. Onde uniswapV2Pair é o endereço do pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado no momento da implantação do contrato.
![Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum])https://img-cdn.gateio.im/webp-social/moments-ed67ee56316de1b6a3f2649e45ceeb82.webp(
) modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma exchange centralizada: o atacante primeiro fornece uma fonte de fundos para o endereço do deployer ### Deployer ( através de uma exchange centralizada.
O Deployer cria um pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP para aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller utiliza uma grande quantidade de Token para trocar por ETH no pool de liquidez: Endereço Rug Pull ) Rug Puller ( utiliza uma grande quantidade de Token ) geralmente em uma quantidade muito superior ao fornecimento total de Token ( para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller transferirá o ETH obtido para o endereço de retenção de fundos, às vezes passando por um endereço intermediário.
As características acima estão presentes de forma geral nos casos que capturamos, o que indica que o comportamento de Rug Pull apresenta um padrão claro.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
6
Repostar
Compartilhar
Comentário
0/400
SelfCustodyBro
· 08-14 07:00
Os idiotas sempre cheiram a cheiro de idiotas.
Ver originalResponder0
Lonely_Validator
· 08-11 11:01
Eu achei isso muito severo.
Ver originalResponder0
RektHunter
· 08-11 08:03
idiotas fazer as pessoas de parvas não é tão simples
Ver originalResponder0
ApeShotFirst
· 08-11 08:00
fazer as pessoas de parvas就完事儿了 谁叫咱贪呢
Ver originalResponder0
MoneyBurner
· 08-11 08:00
Cair em armadilhas é acumular experiência! Vamos fazer shorting na nova cadeia!
Ver originalResponder0
MidnightSnapHunter
· 08-11 07:53
Outra vez envolvido em um rugpull, não há dinheiro para puxar o tapete.
Estado atual do ecossistema de novos tokens da Rede principal Ethereum: Quase 50% envolvem fraudes do tipo Rug Pull.
Revelando o Caos do Ecossistema de Tokens Ethereum: Investigação Profunda de Casos de Rug Pull
Introdução
No mundo Web3, novos Tokens surgem constantemente. Você já se perguntou quantos novos Tokens são emitidos a cada dia? Esses novos Tokens são seguros?
Essas dúvidas não surgem do nada. Nos últimos meses, uma equipe de segurança capturou uma grande quantidade de casos de transações Rug Pull. Vale ressaltar que todos os Tokens envolvidos nesses casos foram, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, a equipe realizou uma investigação aprofundada sobre esses casos de Rug Pull e descobriu a existência de um grupo organizado por trás das fraudes, resumindo as características padronizadas desses esquemas. Através da análise detalhada dos métodos de operação desses grupos, foi identificada uma possível via de promoção de fraudes pelos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.
A equipe contabilizou as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e início de agosto de 2024, descobrindo que um total de 93,930 novos tokens foram enviados, dos quais 46,526 estavam envolvidos em Rug Pull, representando uma alta de 49,53%. Segundo as estatísticas, o custo total investido pelos grupos por trás desses tokens Rug Pull foi de 149,813.72 ETH, com uma taxa de retorno de até 188,7%, lucrando 282,699.96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a participação dos novos Tokens promovidos em grupos do Telegram na rede principal do Ethereum, a equipe estatisticamente analisou os dados dos novos Tokens emitidos na mesma faixa de tempo na rede principal do Ethereum. Os dados mostram que, durante esse período, um total de 100.260 novos Tokens foram emitidos, dos quais os Tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos Tokens nascem por dia, muito além das expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é alarmante ------ pelo menos 48.265 Tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa alarmante de 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, a equipe também encontrou mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Portanto, a equipe redigiu este relatório de pesquisa, esperando poder ajudar todos os membros do Web3 a aumentar a conscientização sobre a prevenção, manter a vigilância diante das inúmeras fraudes e tomar as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20 (Token)
Antes de começarmos oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain. Eles definem um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, verificação de saldo e autorização de gerenciamento de tokens por terceiros. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e o uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros por meio da pré-venda de tokens. É precisamente por causa da ampla aplicação dos tokens ERC-20 que eles se tornaram a base para muitos projetos de ICO e de finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, os usuários podem comprar esses tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir seus próprios tokens ERC-20 maliciosos com backdoors de código, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude de Token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é necessário esclarecer que Rug Pull refere-se a uma prática fraudulenta em que a equipe do projeto, em projetos de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, causando grandes perdas aos investidores. O Token Rug Pull é um token emitido especificamente para a implementação desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também são conhecidos como "蜜罐(Honey Pot) tokens" ou "退出骗局(Exit Scam) tokens", mas no texto abaixo, vamos nos referir a eles de forma uniforme como tokens Rug Pull.
caso
Atacantes ( do grupo Rug Pull ) implantaram o Token TOMMI usando o endereço Deployer ( 0x4bAF), e depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez a fim de atrair usuários e robôs de lançamento de novos tokens na blockchain a comprar tokens TOMMI. Quando um certo número de robôs de lançamento de novos tokens é enganado, os atacantes usam o endereço Rug Puller ( 0x43a9) para executar o Rug Pull, e o Rug Puller usa 38.739.354 tokens TOMMI para desmantelar o pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI; quando o contrato do token TOMMI é implantado, o Rug Puller recebe permissão para aprovar o pool de liquidez, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, execute o Rug Pull.
endereço relacionado
transações relacionadas
) processo de Rug Pull
1. Preparar fundos para o ataque.
O atacante recarregou 2.47309009ETH para o Token Deployer###0x4bAF( através de uma exchange centralizada como capital inicial para o Rug Pull.
2. Implantar tokens Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minera 100,000,000 tokens e os distribui para si mesmo.
3. Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
4. Destruir toda a oferta de Token pré-minerada.
O Token Deployer envia todos os LP Tokens para o endereço 0 para destruí-los. Como o contrato TOMMI não possui função de Mint, teoricamente, o Token Deployer já perdeu a capacidade de Rug Pull. ) Este também é um dos requisitos necessários para atrair robôs de novos lançamentos, pois alguns robôs de novos lançamentos avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também define o proprietário do contrato como o endereço 0, tudo para enganar os programas antifraude dos robôs de novos lançamentos (.
5. Volume de transações falsificado.
Atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de investimento para o mercado ). O julgamento desses endereços como disfarces de atacantes baseia-se em: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull (.
O atacante iniciou um Rug Pull através do endereço Rug Puller )0x43A9(, retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desestabilizar o pool, retirando cerca de 3.95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
O endereço de transferência 0xD921 enviou fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde monitoramos uma grande quantidade de casos de Rug Pull, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a quantidade restante será retirada através de uma exchange centralizada. Encontramos vários endereços de retenção de fundos, 0x2836 é um deles.
![Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(
) Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não conseguem realizar um Rug Pull destruindo os LP Tokens, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que o pool de liquidez aprove a transferência de tokens para o endereço do Rug Puller ao criar o pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente tokens do pool de liquidez.
A implementação da função openTrading tem como principal função criar novos pools de liquidez, mas um atacante chamou a função de backdoor onInit dentro dessa função, permitindo que uniswapV2Pair aprovasse a transferência de um Token no endereço _chefAddress no valor de type###uint256(. Onde uniswapV2Pair é o endereço do pool de liquidez, _chefAddress é o endereço do Rug Puller, e _chefAddress é especificado no momento da implantação do contrato.
![Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum])https://img-cdn.gateio.im/webp-social/moments-ed67ee56316de1b6a3f2649e45ceeb82.webp(
) modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma exchange centralizada: o atacante primeiro fornece uma fonte de fundos para o endereço do deployer ### Deployer ( através de uma exchange centralizada.
O Deployer cria um pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP para aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller utiliza uma grande quantidade de Token para trocar por ETH no pool de liquidez: Endereço Rug Pull ) Rug Puller ( utiliza uma grande quantidade de Token ) geralmente em uma quantidade muito superior ao fornecimento total de Token ( para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller transferirá o ETH obtido para o endereço de retenção de fundos, às vezes passando por um endereço intermediário.
As características acima estão presentes de forma geral nos casos que capturamos, o que indica que o comportamento de Rug Pull apresenta um padrão claro.