- الموضوع
87k درجة الشعبية
40k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
- تثبيت
87k درجة الشعبية
40k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
كشف الفوضى في نظام عملات إثيريوم: ما يقرب من 50% من العملات الجديدة تتضمن احتيال سحب البساط
تحقيق عميق في حالات السحب المفاجئ، كشف فوضى إثيريوم في نظام عملة
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. كم عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
هذه المشاكل ليست بلا سبب. في الأشهر القليلة الماضية، قامت فرق الأمان بالتقاط عدد كبير من حالات التداول التي تتضمن سحب السجادة، حيث كانت العملة المعنية هي عملات جديدة تم إطلاقها على السلسلة مؤخراً.
بعد تحقيق معمق، تم اكتشاف وجود عصابات منظمة وراء الجريمة، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل أساليب العصابات، تم اكتشاف طريقة محتملة لترويج الاحتيال من قبل عصابات "Rug Pull": مجموعات Telegram. تستفيد هذه العصابات من وظيفة "New Token Tracer" في المجموعات لجذب المستخدمين لشراء عملات احتيالية ومن ثم تحقيق الربح من خلال Rug Pull.
تشير الإحصائيات إلى أنه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، قامت مجموعات Telegram بدفع 93,930 عملة جديدة، منها 46,526 عملة مرتبطة بعمليات Rug Pull، مما يمثل 49.53%. الإجمالي التراكمي لتكاليف الجماعات خلف هذه العملات التي قامت بعمليات Rug Pull هو 149,813.72 ايثر، مع تحقيق أرباح بنسبة 188.7% تصل إلى 282,699.96 ايثر، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها من خلال مجموعات Telegram في الشبكة الرئيسية لإثيريوم، تم统计 بيانات العملات الجديدة الصادرة في الشبكة الرئيسية لإثيريوم خلال نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، منها 89.99% كانت عملات تم دفعها من خلال مجموعات Telegram. يولد في المتوسط حوالي 370 عملة جديدة يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيق معمق، تبين أن ما لا يقل عن 48,265 عملة تتعلق بعمليات احتيال Rug Pull، مما يشكل 48.14%. بعبارة أخرى، فإن ما يقرب من كل عملتين جديدتين في الشبكة الرئيسية لإثيريوم مرتبطة بالاحتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أن حالة الأمان لبيئة عملات الرموز الجديدة في ويب 3 أكثر خطورة مما كان متوقعًا. لذلك، تم كتابة هذا التقرير البحثي، آملين أن يساعد جميع أعضاء ويب 3 على تعزيز الوعي الوقائي، والبقاء يقظين في مواجهة الحيل المتزايدة، واتخاذ التدابير اللازمة في الوقت المناسب لحماية أصولهم.
ERC-20 عملة
عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكتشين حاليًا، حيث تحدد مجموعة من المعايير، مما يجعل العملة قادرة على التشغيل البيني بين عقود ذكية وتطبيقات لامركزية مختلفة. يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، استعلام الرصيد، وتفويض إدارة العملة لطرف ثالث، وما إلى ذلك. نظرًا لهذا البروتوكول المعتمد، يمكن للمطورين إصدار وإدارة العملة بسهولة أكبر، مما يبسط إنشاء واستخدام العملة. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة على أساس معيار ERC-20، وجمع رأس المال الابتدائي لمشاريع مالية متنوعة من خلال بيع مسبق للعملة. وبفضل الاستخدام الواسع لعملة ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE من عملات ERC-20 التي نعرفها، يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملات ERC-20 خبيثة تحتوي على ثغرات برمجية، وتعرضها على البورصات اللامركزية، ثم تحث المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب البساط
فيما يلي حالة احتيال لعملة Rug Pull، استكشاف نموذج تشغيل عمليات الاحتيال بالعملات الخبيثة. أولاً، من الضروري توضيح أن Rug Pull تشير إلى تصرف احتيالي يقوم به فريق المشروع في مشاريع التمويل اللامركزي، حيث يقومون فجأة بسحب الأموال أو التخلي عن المشروع، مما يؤدي إلى خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
حالة
قام المهاجم باستخدام عنوان Deployer لنشر عملة TOMMI، ثم أنشأ بركة سيولة باستخدام 1.5 إيثريوم و 100,000,000 عملة TOMMI، واشتري بنشاط عملة TOMMI عبر عناوين أخرى لتزوير حجم معاملات بركة السيولة لجذب المستخدمين وروبوتات شراء العملات الجديدة على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات شراء العملات الجديدة في الفخ، يستخدم المهاجم عنوان Rug Puller لتنفيذ Rug Pull، ويقوم Rug Puller باستخدام 38,739,354 عملة TOMMI لتدمير بركة السيولة، مبادلاً حوالي 3.95 إيثريوم. مصدر عملات Rug Puller يأتي من تفويض Approve الخبيث لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره إذن approve لبركة السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ Rug Pull.
عملية سحب السجادة
إعداد أموال الهجوم. يقوم المهاجم بشحن 2.47309009 ايثر إلى Token Deployer عبر تبادل معين كأموال لبدء عملية Rug Pull.
نشر عملة Rug Pull بخلفية. يقوم المطور بإنشاء عملة TOMMI، ويقوم بتعدين مسبق 100,000,000 عملة وتوزيعها على نفسه.
إنشاء تجمع السيولة الأولية. قام المطور باستخدام 1.5 من ايثر وجميع عملات التوكن المستخرجة مسبقًا لإنشاء تجمع السيولة، وحصل على حوالي 0.387 من رموز LP.
تدمير كل إمدادات العملات التي تم تعدينها مسبقاً. سيرسل منشئ العملة جميع رموز LP إلى عنوان 0 للتدمير، وبما أن العقد TOMMI لا يحتوي على وظيفة Mint، فإن منشئ العملة قد فقد نظرياً القدرة على Rug Pull في هذه المرحلة.
حجم التداول المزيف. يقوم المهاجمون باستخدام عدة عناوين لشراء عملة TOMMI بنشاط من تجمع السيولة، مما يؤدي إلى رفع حجم التداول في التجمع، وجذب المزيد من روبوتات الاستثمار للدخول.
المهاجم يبدأ سحب الحصير من خلال عنوان Rug Puller، وينقل مباشرة 38,739,354 عملة من حوض السيولة عبر باب خلفي من التوكن، ثم يقوم باستخدام هذه العملات لضرب الحوض، مما يؤدي إلى سحب حوالي 3.95 ايثر.
المهاجم يقوم بإرسال الأموال التي حصل عليها من Rug Pull إلى عنوان وسيط.
ستقوم عنوان التحويل بإرسال الأموال إلى عنوان احتجاز الأموال.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين قد حاولوا من خلال تدمير عملات LP إثبات أنهم غير قادرين على تنفيذ عملية سحب الثقة، إلا أن المهاجمين في الواقع تركوا ثغرة خبيثة في دالة openTrading لعقد عملة TOMMI، حيث ستسمح هذه الثغرة عند إنشاء حوض السيولة للمهاجم بإعطاء إذن لتحويل العملات إلى عنوان ساحب الثقة، مما يمكن عنوان ساحب الثقة من نقل العملات مباشرة من حوض السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI ، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم Deployer بالحصول على الأموال من البورصة.
يقوم Deployer بإنشاء حوض السيولة وإتلاف عملة LP.
Rug Puller يقوم بتبادل كميات كبيرة من العملة مقابل ETH في بركة السيولة.
يقوم Rug Puller بتحويل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال.
توجد هذه السمات بشكل عام في الحالات الملتقطة، مما يشير إلى أن سلوك سحب السجادة له خصائص نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، يتم عادةً تجميع الأموال في عنوان احتفاظ بالتمويل، مما يوحي بأن هذه الحالات من سحب السجادة التي تبدو مستقلة قد تتورط وراءها نفس الفئة أو حتى نفس عصابة الاحتيال.
عصابة سحب البساط
عنوان احتفاظ أموال التعدين
يوجد 7 عناوين للاحتفاظ بالأموال، وهذه العناوين مرتبطة بـ 1,124 حالة سحب للبساط. بعد نجاح تنفيذ الاحتيال، تقوم عصابة سحب البساط بتجميع الأرباح غير القانونية في هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المودعة، لاستخدامها في إنشاء عملات جديدة في عمليات الاحتيال المستقبلية، والتلاعب في أحواض السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المودعة إلى نقد من خلال البورصات أو منصات التحويل السريع.
تبلغ التكلفة الإجمالية للاستثمار المرتبط بعنوان هذه الأموال المحتفظ بها 149,813.72 ايثر، مع تحقيق ربح بنسبة 188.7% تصل إلى 282,699.96 ايثر، ما يعادل حوالي 800 مليون دولار.
ارتباط بين عنوان احتفاظ أموال التعدين
من خلال تحليل حركة الأموال بين عناوين الاحتفاظ بالأموال، يمكن تقسيم هذه العناوين إلى 3 مجموعات عناوين. لكن هذه المجموعات الثلاث مرتبطة جميعًا بنفس عقد البنية التحتية الذي يقوم بتقسيم الايثر لإجراء عمليات السحب الاحتيالي لاحقًا، مما يجعل هذه المجموعات الثلاث التي تبدو منفصلة مرتبطة ببعضها البعض، لتشكل كيانًا واحدًا. قد يشير هذا إلى أن عناوين الاحتفاظ بالأموال هذه تنتمي في الواقع إلى نفس العصابة.
تعدين البنية التحتية المشتركة
توجد عنوانان للبنية التحتية المشتركة لعناوين الاحتفاظ بالأموال. يحتوي أحدهما على "multiSendETH" و "0x7a860e7e" كوظيفتين رئيسيتين، تُستخدمان لإجراء تحويلات مقسمة وشراء عملة Rug Pull. الوظيفة الأخرى لعنوان البنية التحتية مشابهة.
تتميز استخدام هذه البنية التحتية بخصائص واضحة: استخدام كمية قليلة من الأموال للاحتفاظ بالعناوين أو عناوين الترحيل لتقسيم الأموال، ولكن من خلال عدد كبير من العناوين الأخرى يتم تزوير حجم تداول عملات Rug Pull.
استخراج مصدر تمويل الجريمة
في جميع حالات سحب السجادة البالغ عددها 1,124 حالة التي تم تحليلها، بلغ عدد الحالات التي تم فيها الحصول على الأموال من محافظ التداول الساخنة 1,069 حالة، مما يشكل 95.11%. وغالبًا ما تحصل هذه العصابات على أموال الجريمة من عدة محافظ ساخنة من عدة بورصات، وتكون درجة استخدام كل محفظة متشابهة إلى حد كبير.
تعدين عنوان الضحية
في تحليل حالات سحب السجادة، كان متوسط عدد عناوين الضحايا في كل حالة 26.82 عنوانًا. في حالة استدعاء العقود لشراء عملات سحب السجادة من قبل عناوين الضحايا، بالإضافة إلى طرق الشراء المعتادة مثل Uniswap وMetaMask Swap، تم شراء 30.40% من عملات سحب السجادة أيضًا من خلال منصات روبوتات القنص على السلسلة مثل Maestro وBanana Gun.
قنوات ترويج عملة سحب البساط
بعد البحث، تم تحديد نوعين محتملين من قنوات إعلانات عصابات Rug Pull: تويتر ومجموعات تيليجرام. هذه المجموعات على تويتر وتيليجرام ليست مخصصة لعصابات Rug Pull، بل توجد كجزء أساسي من نظام المضاربة. يتم تشغيلها بواسطة فرق تشغيل روبوتات الصيد على الشبكة أو فرق المضاربة المهنية وغيرها من الجهات الخارجية، وتستهدف بشكل خاص تقديم عملات جديدة للمضاربين.
إعلانات تويتر
استفادت عصابة السحب rug pull من خدمات دفع العملات الجديدة على بعض المنصات الخارجية لكشف عملتها rug pull لجذب المزيد من الضحايا.
إعلان مجموعة تيليجرام
لقد خسرت كل شيء بسبب عملية سحب السجادة.