Раскрытие беспорядков в экосистеме токенов Ethereum: глубокое расследование случаев Rug Pull
Введение
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?
Эти вопросы не возникли на пустом месте. За последние несколько месяцев одна команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, участвующие в этих случаях, без исключения являются только что запущенными новыми токенами.
Затем команда провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоят организованные преступные группировки, а также обобщила модульные характеристики этих мошенничеств. При тщательном анализе методов работы этих группировок была выявлена одна из возможных схем продвижения мошенничества со стороны групп Rug Pull: группы в Telegram. Эти группировки используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и, в конечном итоге, получить прибыль через Rug Pull.
Команда собрала статистику по информации о токенах, отправленным в этих группах Telegram с ноября 2023 года по начало августа 2024 года, и обнаружила, что всего было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. По данным статистики, общий объем инвестиций групп, стоящих за этими токенами Rug Pull, составил 149,813.72 Эфир, и они получили прибыль в размере 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно приблизительно 800 миллионов долларов.
Чтобы оценить долю нового токена, продвигаемого в группе Telegram, в сети Ethereum, команда собрала данные о новых токенах, выпущенных в сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые в группе Telegram, составляют 89.99% от общего числа в сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После постоянных углубленных расследований было обнаружено тревожное правду --- по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в сети Ethereum связан с мошенничеством.
Кроме того, команда обнаружила больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей экосистемы новых токенов Web3 значительно хуже, чем ожидалось, не только в основной сети Ethereum. Поэтому команда подготовила этот исследовательский отчет, надеясь помочь всем членам Web3 повысить свою осведомленность о мерах предосторожности, оставаться бдительными перед лицом множества мошенничеств и своевременно принимать необходимые профилактические меры для защиты своих активов.
ERC-20 Токен(Token)
Перед тем как официально начать этот отчет, давайте сначала познакомимся с некоторыми основными концепциями.
ERC-20 Токены являются одним из самых распространённых стандартов токенов в настоящее время на блокчейне. Он определяет набор спецификаций, которые позволяют токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц на управление токенами и так далее. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои собственные токены на основе стандарта ERC-20 и привлечь начальный капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению ERC-20 токенов они стали основой для многих ICO и проектов децентрализованного финансирования.
Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут приобретать эти токены через децентрализованные биржи. Тем не менее, некоторые мошеннические группы также могут самостоятельно выпускать злонамеренные токены ERC-20 с кодовыми закладками, размещая их на децентрализованных биржах и затем склоняя пользователей к покупке.
Типичные случаи мошенничества с Rug Pull токенами
Здесь мы воспользуемся примером мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. А токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В статье упоминаются токены Rug Pull, которые иногда также называются "медовая банка (Honey Pot) токен" или "схема выхода (Exit Scam) токен", но в дальнейшем мы будем унифицированно называть их токены Rug Pull.
Пример
Атакующий ( группа Rug Pull ) развернула токен TOMMI по адресу Deployer ( 0x4bAF ), затем с помощью 1.5 Эфир и 100,000,000 токенов TOMMI создала ликвидный пул и активно покупала токены TOMMI через другие адреса, чтобы подделать объем交易 в ликвидном пуле, привлекая пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось, атакующий использовал адрес Rug Puller ( 0x43a9) для выполнения Rug Pull, Rug Puller сбросил 38,739,354 токенов TOMMI в ликвидный пул, обменяв их на около 3.95 Эфир. Токены Rug Puller поступили от злонамеренного одобрения в контракте токена TOMMI, при развертывании контракта токена TOMMI Rug Puller получает права на одобрение ликвидного пула, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем осуществлять Rug Pull.
Создание ликвидного пула:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес перевода средств отправляет средства одному из замаскированных пользователей ( ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскировка пользователя при покупке токена ( одного из ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправляет полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Адрес пересылки отправляет средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через централизованную биржу пополнил Token Deployer(0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.
2. Деплой токена Rug Pull с задней дверцей.
Deployer создает токен TOMMI, предварительно добывает 100 000 000 токенов и распределяет их себе.
3. Создание начального пула ликвидности.
Deployer использовал 1.5 Эфир и все преддобытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
4. Уничтожить все запасы заранее добытых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI нет функции Mint, в этот момент Token Deployer теоретически уже лишен способности Rug Pull. ( это также одно из необходимых условий для привлечения роботов по новинкам, некоторые роботы по новинкам оценивают, существует ли риск Rug Pull у новых токенов в пуле. Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов по новинкам ).
5. Поддельный объем торговли.
Атакующий активно покупает токены TOMMI из ликвидного пула с нескольких адресов, искусственно завышая объем торговли в пуле, что дополнительно привлекает роботов для новых инвестиций (. Оценка этих адресов как маскирующих атакующих основана на том, что средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull ).
Атакующий инициировал Rug Pull через адрес Rug Puller (0x43A9), выбросив 38,739,354 токенов непосредственно из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы обрушить пул и вывести примерно 3.95 Эфир.
Нападающий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Адрес промежуточного перевода 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств в большом количестве случаев Rug Pull, которые мы отслеживали, адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, а оставшаяся небольшая часть средств будет выводиться через централизованные обменники. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
Код бэкдора Rug Pull
Несмотря на то, что злоумышленники пытались доказать внешнему миру, что они не могут совершить Rug Pull, уничтожив LP токены, на самом деле они оставили злонамеренную лазейку в функции openTrading контракта токена TOMMI, которая позволяет злоумышленникам одобрять перевод токенов на адрес Rug Puller при создании ликвидного пула, что позволяет адресу Rug Puller напрямую выводить токены из ликвидного пула.
Основная функция реализации функции openTrading заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции бекдор функцию onInit, что позволило uniswapV2Pair предоставить разрешение на передачу токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair — это адрес пула ликвидности, _chefAddress — это адрес Rug Puller, который указывается при развертывании контракта.
Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает средства через централизованную биржу: злоумышленник сначала предоставляет источник финансирования для адреса (Deployer) через централизованную биржу.
Deployer создает ликвидность пул и уничтожает LP токены: после создания токена Rug Pull, разработчик сразу создает ликвидность пул, и уничтожает LP токены, чтобы увеличить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно количество которых значительно превышает общее предложение токенов ), чтобы обменять их на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удалив ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller переведет полученный ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные особенности широко присутствуют в наших зафиксированных случаях, что указывает на явные модели поведения Rug Pull.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
6
Репост
Поделиться
комментарий
0/400
SelfCustodyBro
· 08-14 07:00
Малые неудачники всегда чувствуют запах неудачников.
Посмотреть ОригиналОтветить0
Lonely_Validator
· 08-11 11:01
Я посмотрел, это уж слишком жестоко.
Посмотреть ОригиналОтветить0
RektHunter
· 08-11 08:03
неудачники разыгрывайте людей как лохов не надо слишком просто
Посмотреть ОригиналОтветить0
ApeShotFirst
· 08-11 08:00
разыгрывайте людей как лохов кто же виноват, что мы жадные
Посмотреть ОригиналОтветить0
MoneyBurner
· 08-11 08:00
Попадание в ловушку — это накопление опыта! Шортить новую цепочку!
Экологическая ситуация новых токенов на основной сети Ethereum: почти 50% связаны с мошенничеством Rug Pull.
Раскрытие беспорядков в экосистеме токенов Ethereum: глубокое расследование случаев Rug Pull
Введение
В мире Web3 постоянно появляются новые токены. Задумывались ли вы, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?
Эти вопросы не возникли на пустом месте. За последние несколько месяцев одна команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, участвующие в этих случаях, без исключения являются только что запущенными новыми токенами.
Затем команда провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоят организованные преступные группировки, а также обобщила модульные характеристики этих мошенничеств. При тщательном анализе методов работы этих группировок была выявлена одна из возможных схем продвижения мошенничества со стороны групп Rug Pull: группы в Telegram. Эти группировки используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и, в конечном итоге, получить прибыль через Rug Pull.
Команда собрала статистику по информации о токенах, отправленным в этих группах Telegram с ноября 2023 года по начало августа 2024 года, и обнаружила, что всего было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. По данным статистики, общий объем инвестиций групп, стоящих за этими токенами Rug Pull, составил 149,813.72 Эфир, и они получили прибыль в размере 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно приблизительно 800 миллионов долларов.
Чтобы оценить долю нового токена, продвигаемого в группе Telegram, в сети Ethereum, команда собрала данные о новых токенах, выпущенных в сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые в группе Telegram, составляют 89.99% от общего числа в сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После постоянных углубленных расследований было обнаружено тревожное правду --- по меньшей мере 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Иными словами, почти каждый второй новый токен в сети Ethereum связан с мошенничеством.
Кроме того, команда обнаружила больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей экосистемы новых токенов Web3 значительно хуже, чем ожидалось, не только в основной сети Ethereum. Поэтому команда подготовила этот исследовательский отчет, надеясь помочь всем членам Web3 повысить свою осведомленность о мерах предосторожности, оставаться бдительными перед лицом множества мошенничеств и своевременно принимать необходимые профилактические меры для защиты своих активов.
ERC-20 Токен(Token)
Перед тем как официально начать этот отчет, давайте сначала познакомимся с некоторыми основными концепциями.
ERC-20 Токены являются одним из самых распространённых стандартов токенов в настоящее время на блокчейне. Он определяет набор спецификаций, которые позволяют токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц на управление токенами и так далее. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои собственные токены на основе стандарта ERC-20 и привлечь начальный капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению ERC-20 токенов они стали основой для многих ICO и проектов децентрализованного финансирования.
Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут приобретать эти токены через децентрализованные биржи. Тем не менее, некоторые мошеннические группы также могут самостоятельно выпускать злонамеренные токены ERC-20 с кодовыми закладками, размещая их на децентрализованных биржах и затем склоняя пользователей к покупке.
Типичные случаи мошенничества с Rug Pull токенами
Здесь мы воспользуемся примером мошенничества с токеном Rug Pull, чтобы глубже понять операционную модель злонамеренного мошенничества с токенами. Прежде всего, необходимо пояснить, что Rug Pull — это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. А токены Rug Pull — это токены, выпущенные специально для осуществления такого мошенничества.
В статье упоминаются токены Rug Pull, которые иногда также называются "медовая банка (Honey Pot) токен" или "схема выхода (Exit Scam) токен", но в дальнейшем мы будем унифицированно называть их токены Rug Pull.
Пример
Атакующий ( группа Rug Pull ) развернула токен TOMMI по адресу Deployer ( 0x4bAF ), затем с помощью 1.5 Эфир и 100,000,000 токенов TOMMI создала ликвидный пул и активно покупала токены TOMMI через другие адреса, чтобы подделать объем交易 в ликвидном пуле, привлекая пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось, атакующий использовал адрес Rug Puller ( 0x43a9) для выполнения Rug Pull, Rug Puller сбросил 38,739,354 токенов TOMMI в ликвидный пул, обменяв их на около 3.95 Эфир. Токены Rug Puller поступили от злонамеренного одобрения в контракте токена TOMMI, при развертывании контракта токена TOMMI Rug Puller получает права на одобрение ликвидного пула, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем осуществлять Rug Pull.
Связанный адрес
связанные сделки
Процесс Rug Pull
1. Подготовьте средства для атаки.
Атакующий через централизованную биржу пополнил Token Deployer(0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.
2. Деплой токена Rug Pull с задней дверцей.
Deployer создает токен TOMMI, предварительно добывает 100 000 000 токенов и распределяет их себе.
3. Создание начального пула ликвидности.
Deployer использовал 1.5 Эфир и все преддобытые токены для создания ликвидного пула, получив около 0.387 LP токенов.
4. Уничтожить все запасы заранее добытых Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI нет функции Mint, в этот момент Token Deployer теоретически уже лишен способности Rug Pull. ( это также одно из необходимых условий для привлечения роботов по новинкам, некоторые роботы по новинкам оценивают, существует ли риск Rug Pull у новых токенов в пуле. Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов по новинкам ).
5. Поддельный объем торговли.
Атакующий активно покупает токены TOMMI из ликвидного пула с нескольких адресов, искусственно завышая объем торговли в пуле, что дополнительно привлекает роботов для новых инвестиций (. Оценка этих адресов как маскирующих атакующих основана на том, что средства на соответствующих адресах поступают из исторических адресов перевода средств группы Rug Pull ).
Атакующий инициировал Rug Pull через адрес Rug Puller (0x43A9), выбросив 38,739,354 токенов непосредственно из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы обрушить пул и вывести примерно 3.95 Эфир.
Нападающий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Адрес промежуточного перевода 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора средств в большом количестве случаев Rug Pull, которые мы отслеживали, адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, а оставшаяся небольшая часть средств будет выводиться через централизованные обменники. Мы обнаружили несколько адресов хранения средств, 0x2836 является одним из них.
Код бэкдора Rug Pull
Несмотря на то, что злоумышленники пытались доказать внешнему миру, что они не могут совершить Rug Pull, уничтожив LP токены, на самом деле они оставили злонамеренную лазейку в функции openTrading контракта токена TOMMI, которая позволяет злоумышленникам одобрять перевод токенов на адрес Rug Puller при создании ликвидного пула, что позволяет адресу Rug Puller напрямую выводить токены из ликвидного пула.
Основная функция реализации функции openTrading заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции бекдор функцию onInit, что позволило uniswapV2Pair предоставить разрешение на передачу токенов в количестве type(uint256) по адресу _chefAddress. При этом uniswapV2Pair — это адрес пула ликвидности, _chefAddress — это адрес Rug Puller, который указывается при развертывании контракта.
Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает средства через централизованную биржу: злоумышленник сначала предоставляет источник финансирования для адреса (Deployer) через централизованную биржу.
Deployer создает ликвидность пул и уничтожает LP токены: после создания токена Rug Pull, разработчик сразу создает ликвидность пул, и уничтожает LP токены, чтобы увеличить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно количество которых значительно превышает общее предложение токенов ), чтобы обменять их на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удалив ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller переведет полученный ETH на адрес хранения средств, иногда через промежуточный адрес.
Указанные особенности широко присутствуют в наших зафиксированных случаях, что указывает на явные модели поведения Rug Pull.