SharkTeam: análisis de la cadena de la industria negra de la fábrica Rugpull

Ha habido varios incidentes de Rug Pull recientemente y el equipo de investigación de seguridad de SharkTeam ha realizado un análisis detallado de estos incidentes. Durante el análisis, descubrimos que el contrato de fábrica de Rugpull en BNB Chain inició más de 70 Rugpulls en el último mes. A continuación, analizaremos desde los aspectos de trazabilidad de fondos y patrones de comportamiento fraudulento.

Debido a limitaciones de espacio, analizaremos principalmente varios eventos simbólicos de SEI, X, TIP y Blue. Estos tokens se crean mediante la operación createToken del contrato de fábrica de tokens 0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696.

En la función createToken, se deben pasar los siguientes parámetros al crear un token: nombre del token, símbolo del token, precisión, suministro, dirección del propietario del token, dirección del contrato de fábrica para crear pares de tokens y dirección de la moneda estable BUSD-T. Entre ellos, el contrato de fábrica que crea el par de tokens utiliza el contrato de fábrica de PancakeSwap, y cada token tiene una dirección de propietario diferente.

1. Trazabilidad del fondo

Las direcciones de propietario, los símbolos y las direcciones de contrato de los tokens SEI, X, TIP y Blue se muestran a continuación. Entre ellas, las direcciones de los propietarios de X, TIP y Blue son:

0x44A028Dae3680697795A8d50960c8C155cBc0D74。

0x 44 A 028 Los fondos de Da provienen de 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3, dirección 0x 0 a 8310 ec Los fondos provienen de múltiples cuentas EOA y tienen una dirección común

0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3。

A continuación se muestra la información relevante para el contrato de fábrica de tokens 0x DC 4397 ffb 9 F 2C 9119 ED 9 c 32 E 42 E 3588 bbD 377696. Este contrato de fábrica fue creado con la dirección 0x 1 dE 949 eac 4 b 5 fc 1 B 814 E 733 C D5 6 AE 65 DfF 1 bcEEF. Los fondos en la dirección 0x1dE949ea provienen de varias cuentas y hay una dirección de origen de fondos de 0x 072 e 9 A 13791 f 3 a 45 fc 6 eB 6 AD 38 e 6 ea 258 C 080 cc 3.

La fuente de fondos para la dirección 0x 072 e 9 A 13 es la siguiente: Hay alguna interacción de fondos en la dirección 0x 1 dE 949 ea. Otras direcciones también han creado contratos de tokens de fábrica y son tiradores de algunos tokens.

Por ejemplo, 0x 04067 B 4 fcC 9 f 3d 99 aC 5211 cfE 8 d 3 e 8687 B 0401 d 3 está financiado por 0x 6 ae 8 F 98830894518 c 939 B 0 D 0 A 5 EF 11 c 671 e 9 DFCa. Y 0x6ae8F988 creó el contrato de fábrica 0x e 83 EbBb 4 acc 3d 8 B 237923 Ee 33 3D 04 B 887 ca 1 a 008. El contrato de fábrica también realiza el mismo comportamiento de creación de tokens:

Seleccionamos uno de los tokens para su análisis y descubrimos que el token tenía un comportamiento de Rug Pull.

Los fondos para 0x6ae8F988 provienen en parte de 0xa6764FBbbFD89AEeBac25FCbB69d3E9438395e57, y los fondos para esta dirección provienen de 0xE5A5c50980176Cc32573c993D0b99a843D77BC6E. La dirección 0xE5A5c509 está financiada por la dirección Tornado Cash con un fondo de 10 BNB. Además de los fondos proporcionados por Tornado, también existe una parte de las ganancias obtenidas a través del phishing y el token Rug Pull.

Además, la dirección anterior jugó un papel importante en el patrón posterior de comportamiento fraudulento en las instalaciones de Rugpull.

2. Modelo de comportamiento fraudulento de Rugpull Factory

Echemos un vistazo a los patrones de fraude de Rugpull Factory para los tokens SEI, X, TIP y Blue.

(1)SEI

Primero, el propietario del token SEI 0x 0 a 8310 eca 430 beb 13 a 8 d 1 b 42 a 03 b 3521326 e 4 a 58 intercambió 249 SEI al precio de 1u.

Luego, 0x6f9963448071b88FB23Fd9971d24A87e5244451A realizó operaciones de compra y venta masiva. Durante las operaciones de compra y venta, la liquidez del token aumentó significativamente y el precio también aumentó.

A través del phishing y otros medios publicitarios, un gran número de usuarios se ven tentados a comprar y, a medida que aumenta la liquidez, el precio del token se duplica.

Cuando el precio del token alcanza un cierto valor, el propietario del token ingresa al mercado y realiza una operación de venta para realizar rugpull. Como se puede observar en la figura siguiente, los períodos y precios de entrada y cosecha son diferentes.

(2)X、CONSEJO、Azul

Primero, el propietario de los tokens X, TIP y Blue 0x44A028Dae3680697795A8d50960c8C155cBc0D74 intercambió 1u por los tokens correspondientes. Entonces, lo mismo que la ficha de Sei. 0x 6 f 9963448071 b 88 FB 23 Fd 9971 d 24 A 87 e 5244451 A Operaciones de compra y venta masiva. En las operaciones de compra y venta, la liquidez aumenta significativamente y los precios suben.

Luego se promueve a través de phishing y otros canales para atraer a un gran número de usuarios a comprar. A medida que aumenta la liquidez, el precio del token se duplica.

Al igual que SEI, cuando el precio del token alcanza un cierto valor, el propietario del token ingresa al mercado para vender y realizar Rugpull. Como se puede observar en la figura siguiente, los períodos y precios de entrada y cosecha son diferentes.

Los gráficos de fluctuación de los tokens SEI, X, TIP y Blue son los siguientes:

Podemos aprender de la trazabilidad de los fondos y de los patrones de comportamiento:

En el contenido de trazabilidad de fondos, los fundadores de la fábrica de tokens y los fondos de los creadores de tokens provienen de múltiples cuentas EOA. También hay intercambios de fondos entre diferentes cuentas, algunos de los cuales se transfieren a través de direcciones de phishing, algunos se obtienen a través de comportamientos previos de token Rugpull y otros se obtienen a través de plataformas de mezcla de monedas como tornado cash. El uso de múltiples métodos para transferir fondos tiene como objetivo construir una red financiera compleja e intrincada. Diferentes direcciones también crean múltiples contratos de fábrica de tokens y producen tokens en grandes cantidades. .

Al analizar el comportamiento del token Rugpull, encontramos que la dirección 0x6f9963448071b88FB23Fd9971d24A87e5244451A era una de las fuentes de fondos. Al manipular el precio del token, también se adopta un método por lotes. La dirección 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 también actúa como proveedor de fondos, proporcionando los fondos correspondientes a múltiples poseedores de tokens. .

Con todo, detrás de esta serie de acciones hay una banda de fraude Web3 con una clara división del trabajo, formando una cadena de industria negra, que involucra principalmente recolección de puntos de acceso, emisión automática de moneda, transacciones automáticas, propaganda falsa, ataques de phishing, recolección de Rugpull, etc., que ocurren principalmente en BNBChain. Los tokens Rugpull falsos emitidos están estrechamente relacionados con eventos candentes de la industria y son muy confusos e instigadores. Los usuarios deben estar atentos en todo momento, ser racionales y evitar pérdidas innecesarias.