Розкриття екосистеми токенів Ethereum: поглиблене розслідування випадків Rug Pull
Вступ
У світі Web3 постійно виникають нові токени. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають без причини. Протягом останніх кількох місяців одна команда безпеки зафіксувала безліч випадків Rug Pull. Варто зазначити, що всі токени, пов'язані з цими випадками, є новими токенами, які тільки-но з'явилися в мережі.
Потім команда провела глибоке розслідування цих випадків Rug Pull і виявила, що за ними стоять організовані злочинні угруповання, а також підсумувала їхні модельні характеристики шахрайств. Через детальний аналіз методів злочинців було виявлено один з можливих шляхів поширення шахрайства групами Rug Pull: групи в Telegram. Ці угруповання використовують функцію "New Token Tracer" в деяких групах, щоб привабити користувачів купувати шахрайські токени і зрештою отримувати прибуток через Rug Pull.
Команда підрахувала інформацію про токени, які публікувалися в цих групах Telegram з листопада 2023 року до початку серпня 2024 року, і виявила, що всього було опубліковано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що становить 49.53%. За підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, а прибуток склав 282,699.96 ETH з прибутковістю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які були випущені в основній мережі Ethereum через Telegram-групи, команда статистично проаналізувала дані про нові токени, випущені в основній мережі Ethereum за той же період. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, що були просунуті через Telegram-групи, становлять 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після постійних і глибоких розслідувань виявлена правда викликає занепокоєння------принаймні 48,265 токенів були пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний з шахрайством.
Крім того, команда виявила більше випадків Rug Pull в інших блокчейн-мережах. Це означає, що безпека нових токенів в екосистемі Web3 є значно серйознішою, ніж очікувалося, не лише в основній мережі Ethereum. Тому команда написала цей дослідницький звіт, сподіваючись допомогти всім членам Web3 підвищити обізнаність щодо запобігання, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних заходів для захисту своїх активів.
ERC-20 Токен(Token)
Перед тим, як розпочати цей звіт, давайте спочатку ознайомимося з деякими базовими поняттями.
ERC-20 Токен є одним із найпоширеніших стандартів токенів на блокчейні, він визначає набір норм, які дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токена, такі як переказ, перевірка балансу, надання повноважень третім особам для управління токенами тощо. Завдяки цьому стандартизованому протоколу, розробники можуть легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа або організація може на основі стандарту ERC-20 випустити свій токен та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токенів, він став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські групи також можуть самостійно випускати шкідливі токени ERC-20 з кодовими задніми дверцятами, виставляти їх на децентралізовані біржі, а потім спонукати користувачів до покупки.
Типові випадки шахрайства з токенами Rug Pull
Тут ми запозичуємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти схему роботи зловмисних токенів. По-перше, потрібно зазначити, що Rug Pull - це шахрайська діяльність, коли команда проекту раптово забирає кошти або покидає проект у децентралізованих фінансових проектах, що призводить до величезних збитків для інвесторів. А токени Rug Pull спеціально випускаються для здійснення такого шахрайства.
У статті згадується про токени Rug Pull, які іноді також називають "медовою пасткою ( Honey Pot ) токен" або "схемою виходу ( Exit Scam ) токен", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.
випадок
Атакуюча сторона ( Rug Pull група ) використовує адресу Deployer ( 0x4bAF) для розгортання токена TOMMI, після чого створює ліквіднісну пулу з 1.5 ETH та 100,000,000 токенів TOMMI, і активно купує токени TOMMI через інші адреси, щоб підробити обсяги торгів ліквідного пулу для залучення користувачів та ботів для покупки токенів TOMMI на ланцюгу. Коли певна кількість ботів попадає в пастку, атака виконується за допомогою адреси Rug Puller ( 0x43a9), Rug Puller використовує 38,739,354 токенів TOMMI, щоб знищити ліквіднісну пулу, обмінюючи їх на приблизно 3.95 ETH. Токени Rug Puller походять з зловмисного дозволу на схвалення токена TOMMI, контракт токена TOMMI під час розгортання надає Rug Puller права на схвалення ліквідної пулі, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідної пулі та здійснювати Rug Pull.
Rug Pull відправляє отримані кошти на проміжну адресу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Проміжна адреса надсилає кошти на адресу збереження коштів:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процес Rug Pull
1. Підготуйте фінансування для атаки.
Атакуючий через централізовану біржу поповнив рахунок Token Deployer(0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.
2. Розгортання токенів Rug Pull з бекдором.
Deployer створив токен TOMMI, попередньо видобув 100,000,000 токенів та розподілив їх собі.
3. Створення початкового пулу ліквідності.
Deployer використовує 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримав приблизно 0.387 LP токенів.
4. Знищити всю попередньо видобуту кількість Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив здатність до Rug Pull. ( це також одна з необхідних умов для залучення нових ботів, деякі нові боти оцінюють, чи є ризик Rug Pull у нових токенах, які потрапили до пулу, Deployer також встановлює власника контракту на адресу 0, щоб обманути програми боротьби з шахрайством нових ботів ).
5. Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгівлі в пулі, що в подальшому привертає увагу ботів для нових випусків (. Визначення цих адрес як зловмисників обґрунтоване тим, що кошти, пов'язані з цими адресами, походять з історичних адрес переказу коштів групи Rug Pull ).
Атакуючий через адресу Rug Puller (0x43A9) ініціює Rug Pull, через бекдор токена безпосередньо переводячи 38,739,354 токенів з ліквідного пулу, а потім використовує ці токени, щоб знищити пул, отримуючи близько 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Адреса пересилки 0xD921 відправляє кошти на адреса зберігання 0x2836. З цього ми можемо побачити, що коли Rug Pull завершено, Rug Puller відправляє кошти на певну адресу зберігання. Адреса зберігання є місцем, де ми спостерігаємо за значною кількістю випадків Rug Pull, адреса зберігання буде розподіляти більшу частину отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невеликої кількості коштів буде виводитися через централізовану біржу. Ми виявили кілька адрес зберігання, 0x2836 є однією з них.
Код для Rug Pull з бекдором
Атакуюча сторона, хоча й намагається довести зовнішньому світу, що не може здійснити Rug Pull, знищуючи LP токени, насправді залишила у функції openTrading контракту токена TOMMI зловмисний бекдор approve, який під час створення ліквідного пулу дозволяє ліквідному пулу надати Rug Puller адресу права на трансфер токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
реалізація функції openTrading має основну функцію створення нового пулу ліквідності, але зловмисник викликав у цій функції бекдор функцію onInit, що дозволило uniswapV2Pair надати адресі _chefAddress дозвіл на передачу токенів у кількості type(uint256). Серед них uniswapV2Pair є адресою пулу ліквідності, _chefAddress є адресою Rug Puller, _chefAddress задається під час розгортання контракту.
Моделі злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує фінансування через централізовану біржу: зловмисник спочатку через централізовану біржу надає джерело фінансування для адреси деплойера (Deployer).
Deployer створює ліквідні пул та знищує LP токени: розробник, завершивши створення токену Rug Pull, відразу ж створює ліквідний пул для нього та знищує LP токени, щоб підвищити довіру до проєкту, приваблюючи більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull ( Rug Puller ) використовує велику кількість токенів (, зазвичай кількість значно перевищує загальну пропозицію токенів ), щоб обміняти їх на ETH у ліквіднісному пулі. В інших випадках, Rug Puller також видаляє ліквідність, щоб отримати ETH з пулу.
Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу зберігання коштів: Rug Puller перенесе отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу.
Ці характеристики поширені в усіх зафіксованих нами випадках, що свідчить про явну патернізацію поведінки Rug Pull.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
6
Репост
Поділіться
Прокоментувати
0/400
SelfCustodyBro
· 08-14 07:00
Маленькі невдахи завжди чують запах невдахи.
Переглянути оригіналвідповісти на0
Lonely_Validator
· 08-11 11:01
Я вважаю, що це надто жорстоко.
Переглянути оригіналвідповісти на0
RektHunter
· 08-11 08:03
невдахи обдурювати людей, як лохів не повинно бути занадто просто
Переглянути оригіналвідповісти на0
ApeShotFirst
· 08-11 08:00
обдурювати людей, як лохів просто так. Хто ж нам винен, що ми жадібні?
Переглянути оригіналвідповісти на0
MoneyBurner
· 08-11 08:00
Це накопичення досвіду! Шортити новий ланцюг!
Переглянути оригіналвідповісти на0
MidnightSnapHunter
· 08-11 07:53
Знову потрапив у шахрайство. Немає грошей на втечу.
Стан нових токенів в екосистемі основної мережі Ethereum: майже 50% пов'язані з шахрайством Rug Pull
Розкриття екосистеми токенів Ethereum: поглиблене розслідування випадків Rug Pull
Вступ
У світі Web3 постійно виникають нові токени. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають без причини. Протягом останніх кількох місяців одна команда безпеки зафіксувала безліч випадків Rug Pull. Варто зазначити, що всі токени, пов'язані з цими випадками, є новими токенами, які тільки-но з'явилися в мережі.
Потім команда провела глибоке розслідування цих випадків Rug Pull і виявила, що за ними стоять організовані злочинні угруповання, а також підсумувала їхні модельні характеристики шахрайств. Через детальний аналіз методів злочинців було виявлено один з можливих шляхів поширення шахрайства групами Rug Pull: групи в Telegram. Ці угруповання використовують функцію "New Token Tracer" в деяких групах, щоб привабити користувачів купувати шахрайські токени і зрештою отримувати прибуток через Rug Pull.
Команда підрахувала інформацію про токени, які публікувалися в цих групах Telegram з листопада 2023 року до початку серпня 2024 року, і виявила, що всього було опубліковано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що становить 49.53%. За підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, а прибуток склав 282,699.96 ETH з прибутковістю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які були випущені в основній мережі Ethereum через Telegram-групи, команда статистично проаналізувала дані про нові токени, випущені в основній мережі Ethereum за той же період. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, що були просунуті через Telegram-групи, становлять 89.99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після постійних і глибоких розслідувань виявлена правда викликає занепокоєння------принаймні 48,265 токенів були пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в основній мережі Ethereum пов'язаний з шахрайством.
Крім того, команда виявила більше випадків Rug Pull в інших блокчейн-мережах. Це означає, що безпека нових токенів в екосистемі Web3 є значно серйознішою, ніж очікувалося, не лише в основній мережі Ethereum. Тому команда написала цей дослідницький звіт, сподіваючись допомогти всім членам Web3 підвищити обізнаність щодо запобігання, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних заходів для захисту своїх активів.
ERC-20 Токен(Token)
Перед тим, як розпочати цей звіт, давайте спочатку ознайомимося з деякими базовими поняттями.
ERC-20 Токен є одним із найпоширеніших стандартів токенів на блокчейні, він визначає набір норм, які дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токена, такі як переказ, перевірка балансу, надання повноважень третім особам для управління токенами тощо. Завдяки цьому стандартизованому протоколу, розробники можуть легше випускати та управляти токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа або організація може на основі стандарту ERC-20 випустити свій токен та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токенів, він став основою для багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є токенами ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські групи також можуть самостійно випускати шкідливі токени ERC-20 з кодовими задніми дверцятами, виставляти їх на децентралізовані біржі, а потім спонукати користувачів до покупки.
Типові випадки шахрайства з токенами Rug Pull
Тут ми запозичуємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти схему роботи зловмисних токенів. По-перше, потрібно зазначити, що Rug Pull - це шахрайська діяльність, коли команда проекту раптово забирає кошти або покидає проект у децентралізованих фінансових проектах, що призводить до величезних збитків для інвесторів. А токени Rug Pull спеціально випускаються для здійснення такого шахрайства.
У статті згадується про токени Rug Pull, які іноді також називають "медовою пасткою ( Honey Pot ) токен" або "схемою виходу ( Exit Scam ) токен", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.
випадок
Атакуюча сторона ( Rug Pull група ) використовує адресу Deployer ( 0x4bAF) для розгортання токена TOMMI, після чого створює ліквіднісну пулу з 1.5 ETH та 100,000,000 токенів TOMMI, і активно купує токени TOMMI через інші адреси, щоб підробити обсяги торгів ліквідного пулу для залучення користувачів та ботів для покупки токенів TOMMI на ланцюгу. Коли певна кількість ботів попадає в пастку, атака виконується за допомогою адреси Rug Puller ( 0x43a9), Rug Puller використовує 38,739,354 токенів TOMMI, щоб знищити ліквіднісну пулу, обмінюючи їх на приблизно 3.95 ETH. Токени Rug Puller походять з зловмисного дозволу на схвалення токена TOMMI, контракт токена TOMMI під час розгортання надає Rug Puller права на схвалення ліквідної пулі, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідної пулі та здійснювати Rug Pull.
Відповідна адреса
пов'язані交易
Процес Rug Pull
1. Підготуйте фінансування для атаки.
Атакуючий через централізовану біржу поповнив рахунок Token Deployer(0x4bAF) на 2.47309009Етер як стартовий капітал для Rug Pull.
2. Розгортання токенів Rug Pull з бекдором.
Deployer створив токен TOMMI, попередньо видобув 100,000,000 токенів та розподілив їх собі.
3. Створення початкового пулу ліквідності.
Deployer використовує 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримав приблизно 0.387 LP токенів.
4. Знищити всю попередньо видобуту кількість Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив здатність до Rug Pull. ( це також одна з необхідних умов для залучення нових ботів, деякі нові боти оцінюють, чи є ризик Rug Pull у нових токенах, які потрапили до пулу, Deployer також встановлює власника контракту на адресу 0, щоб обманути програми боротьби з шахрайством нових ботів ).
5. Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгівлі в пулі, що в подальшому привертає увагу ботів для нових випусків (. Визначення цих адрес як зловмисників обґрунтоване тим, що кошти, пов'язані з цими адресами, походять з історичних адрес переказу коштів групи Rug Pull ).
Атакуючий через адресу Rug Puller (0x43A9) ініціює Rug Pull, через бекдор токена безпосередньо переводячи 38,739,354 токенів з ліквідного пулу, а потім використовує ці токени, щоб знищити пул, отримуючи близько 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Адреса пересилки 0xD921 відправляє кошти на адреса зберігання 0x2836. З цього ми можемо побачити, що коли Rug Pull завершено, Rug Puller відправляє кошти на певну адресу зберігання. Адреса зберігання є місцем, де ми спостерігаємо за значною кількістю випадків Rug Pull, адреса зберігання буде розподіляти більшу частину отриманих коштів, щоб розпочати новий раунд Rug Pull, а решта невеликої кількості коштів буде виводитися через централізовану біржу. Ми виявили кілька адрес зберігання, 0x2836 є однією з них.
Код для Rug Pull з бекдором
Атакуюча сторона, хоча й намагається довести зовнішньому світу, що не може здійснити Rug Pull, знищуючи LP токени, насправді залишила у функції openTrading контракту токена TOMMI зловмисний бекдор approve, який під час створення ліквідного пулу дозволяє ліквідному пулу надати Rug Puller адресу права на трансфер токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
реалізація функції openTrading має основну функцію створення нового пулу ліквідності, але зловмисник викликав у цій функції бекдор функцію onInit, що дозволило uniswapV2Pair надати адресі _chefAddress дозвіл на передачу токенів у кількості type(uint256). Серед них uniswapV2Pair є адресою пулу ліквідності, _chefAddress є адресою Rug Puller, _chefAddress задається під час розгортання контракту.
Моделі злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує фінансування через централізовану біржу: зловмисник спочатку через централізовану біржу надає джерело фінансування для адреси деплойера (Deployer).
Deployer створює ліквідні пул та знищує LP токени: розробник, завершивши створення токену Rug Pull, відразу ж створює ліквідний пул для нього та знищує LP токени, щоб підвищити довіру до проєкту, приваблюючи більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull ( Rug Puller ) використовує велику кількість токенів (, зазвичай кількість значно перевищує загальну пропозицію токенів ), щоб обміняти їх на ETH у ліквіднісному пулі. В інших випадках, Rug Puller також видаляє ліквідність, щоб отримати ETH з пулу.
Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу зберігання коштів: Rug Puller перенесе отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу.
Ці характеристики поширені в усіх зафіксованих нами випадках, що свідчить про явну патернізацію поведінки Rug Pull.