Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum

Introducción

En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?

Estas preocupaciones no han surgido sin motivo. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull, y los tokens involucrados son, sin excepción, nuevos tokens que acaban de ser lanzados en la cadena.

Después de una profunda investigación, se descubrió que había una organización criminal detrás y se resumieron las características de estos fraudes de manera sistemática. Al analizar los métodos de operación del grupo, se encontró una posible vía de promoción del fraude del grupo de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" dentro del grupo para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través del Rug Pull.

Las estadísticas muestran que desde noviembre de 2023 hasta principios de agosto de 2024, los grupos de Telegram han promovido un total de 93,930 nuevos Tokens, de los cuales 46,526 Tokens están relacionados con Rug Pull, representando el 49.53%. El costo total invertido por los grupos detrás de estos Tokens de Rug Pull fue de 149,813.72 Ether, obteniendo un beneficio de 282,699.96 Ether con una tasa de retorno del 188.7%, equivalente a aproximadamente 800 millones de dólares.

Para evaluar la proporción de nuevos Tokens enviados a través de grupos de Telegram en la red principal de Ethereum, se recopilaron datos sobre los nuevos Tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este período se emitieron un total de 100,260 nuevos Tokens, de los cuales el 89.99% fueron Tokens enviados a través de grupos de Telegram. En promedio, aproximadamente 370 nuevos Tokens nacen cada día, superando con creces las expectativas razonables. Tras una investigación más profunda, se descubrió que al menos 48,265 Tokens estaban involucrados en fraudes de Rug Pull, lo que representa el 48.14%. En otras palabras, casi uno de cada dos nuevos Tokens en la red principal de Ethereum está involucrado en un fraude.

Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que la situación de seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, se ha redactado este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a elevar su conciencia de prevención, mantenerse alerta frente a los innumerables engaños y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.

ERC-20 Token

Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain, definiendo un conjunto de normas que permiten que los tokens sean interoperables entre diferentes contratos inteligentes y aplicaciones descentralizadas. El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consultas de saldo y autorización de terceros para gestionar tokens, entre otras. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando así la creación y uso de tokens. De hecho, cualquier individuo u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos para diversos proyectos financieros a través de la venta anticipada de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.

Las monedas que conocemos como USDT, PEPE y DOGE son tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir sus propios tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.

Casos típicos de fraude de Token Rug Pull

A continuación se presenta un caso de fraude de un Token de Rug Pull, que profundiza en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la acción fraudulenta en la que el equipo del proyecto retira de manera repentina los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que provoca enormes pérdidas a los inversores. Por otro lado, un Token de Rug Pull es un Token emitido específicamente para llevar a cabo este tipo de fraude.

caso

El atacante utiliza la dirección Deployer para desplegar el Token TOMMI, luego crea un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compra activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez con el fin de atraer a los usuarios y a los bots de nuevas ofertas en la cadena para comprar el Token TOMMI. Cuando un número suficiente de bots de nuevas ofertas cae en la trampa, el atacante utiliza la dirección Rug Puller para ejecutar el Rug Pull, el Rug Puller utiliza 38,739,354 tokens TOMMI para destruir el pool de liquidez, canjeando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de una autorización maliciosa de aprobación del contrato del token TOMMI, el contrato del token TOMMI al ser desplegado le otorga al Rug Puller permisos de aprobación del pool de liquidez, lo que permite al Rug Puller retirar directamente tokens TOMMI del pool de liquidez y luego realizar el Rug Pull.

proceso de Rug Pull

1. Preparar fondos para el ataque. El atacante recarga 2.47309009ETH a través de un intercambio hacia el Token Deployer como capital inicial para el Rug Pull.

2. Desplegar un Token de Rug Pull con puerta trasera. El Desplegador crea el token TOMMI, pre-minando 100,000,000 de tokens y asignándolos a sí mismo.

3. Crear el grupo de liquidez inicial. El Deployer utiliza 1.5 ETH y todos los tokens pre-minados para crear el grupo de liquidez, obteniendo aproximadamente 0.387 tokens LP.

4. Destruir toda la suministro de Token pre-minados. El Token Deployer enviará todos los tokens LP a la dirección 0 para destruirlos. Dado que el contrato TOMMI no tiene función de Mint, en este momento el Token Deployer ha perdido teóricamente la capacidad de Rug Pull.

5. Volumen de transacciones falsificado. Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, aumentando el volumen de transacciones del fondo, y atrayendo aún más a los robots de inversión.

6. El atacante inicia un Rug Pull a través de la dirección Rug Puller, transfiriendo directamente 38,739,354 tokens desde el fondo de liquidez a través de la puerta trasera del token, y luego usa estos tokens para destruir el fondo, obteniendo aproximadamente 3.95 ETH.

7. El atacante envía los fondos obtenidos del Rug Pull a una dirección intermedia.

8. La dirección de tránsito enviará los fondos a la dirección de retención de fondos.

código de puerta trasera de Rug Pull

Los atacantes, aunque han intentado demostrar al exterior que no pueden realizar un Rug Pull destruyendo los tokens LP, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que el fondo de liquidez apruebe la transferencia de tokens hacia la dirección del Rug Puller al crear el fondo de liquidez, lo que permite que la dirección del Rug Puller retire directamente los tokens del fondo de liquidez.

patrón delictivo

A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:

1. El Deployer obtiene fondos a través del intercambio.

2. Deployer crea el fondo de liquidez y destruye los LP Tokens.

3. Rug Puller utiliza una gran cantidad de Token para intercambiar ETH en el pool de liquidez.

4. Rug Puller trasladará el ETH obtenido del Rug Pull a la dirección de retención de fondos.

Estas características son comunes en los casos capturados, lo que indica que el comportamiento de Rug Pull tiene características de patrón evidentes. Además, después de completar un Rug Pull, los fondos suelen ser agrupados en una dirección de retención de fondos, lo que sugiere que estos casos de Rug Pull aparentemente independientes pueden involucrar al mismo grupo de estafadores o incluso a la misma banda.

Grupo de ejecución de Rug Pull

dirección de retención de fondos de minería

Hay 7 direcciones de retención de fondos, que están asociadas con un total de 1,124 casos de Rug Pull. Los grupos de Rug Pull, después de implementar con éxito el fraude, agrupan las ganancias ilegales en estas direcciones de retención de fondos. Estas direcciones de retención de fondos dividen los fondos acumulados para crear nuevos tokens, manipular pools de liquidez y otras actividades en futuros fraudes de Rug Pull. Además, una pequeña parte de los fondos acumulados se convierte en efectivo a través de intercambios o plataformas de intercambio instantáneo.

El costo total de inversión acumulada asociado con estas direcciones de retención de fondos es de 149,813.72 Ether, obteniendo un beneficio de 282,699.96 Ether a una tasa de retorno del 188.7%, equivalente a aproximadamente 800 millones de dólares.

relación entre la dirección de retención de fondos de minería

A través del análisis del flujo de fondos entre las direcciones de retención de fondos, se pueden clasificar estas direcciones en 3 conjuntos de direcciones. Sin embargo, estos 3 conjuntos de direcciones están conectados por el mismo contrato de infraestructura para dividir ETH y llevar a cabo operaciones de Rug Pull posteriores, lo que hace que estos 3 conjuntos de direcciones, que inicialmente parecen estar sueltos, se unan y formen un todo. Esto podría indicar que estas direcciones de retención de fondos en realidad pertenecen al mismo grupo.

Minería de infraestructura compartida

Las direcciones de infraestructura compartidas para la retención de fondos son principalmente dos. Una de ellas incluye las dos funciones principales "multiSendETH" y "0x7a860e7e", que se utilizan para realizar transferencias fraccionadas y comprar tokens Rug Pull. La función de la otra dirección de infraestructura es similar.

El uso de estas infraestructuras tiene características notables: se utilizan únicamente pequeñas cantidades de fondos para mantener direcciones o direcciones de tránsito para dividir los fondos, pero se falsifica el volumen de transacciones de tokens Rug Pull a través de una gran cantidad de otras direcciones.

fuente de fondos para la minería

En los 1,124 casos de Rug Pull analizados, el número de casos en los que los fondos provienen de carteras calientes de intercambios alcanzó los 1,069, lo que representa el 95.11%. Estos grupos de Rug Pull suelen obtener fondos para sus crímenes simultáneamente de múltiples carteras calientes de intercambios, y el grado de uso de cada cartera es aproximadamente el mismo.

dirección del víctima de minería

En el análisis de los casos de Rug Pull, el número promedio de direcciones afectadas por caso es de 26.82. En cuanto a la situación de las llamadas de contrato para la compra de tokens de Rug Pull por parte de las direcciones afectadas, además de las formas de compra más convencionales como Uniswap y MetaMask Swap, el 30.40% de los tokens de Rug Pull se compraron a través de plataformas de bots de caza en cadena como Maestro y Banana Gun.

Canales de promoción de Token Rug Pull

Después de una investigación, se identificaron dos posibles canales de publicidad de grupos de Rug Pull: Twitter y grupos de Telegram. Estos grupos de Twitter y Telegram no fueron creados específicamente por los grupos de Rug Pull, sino que existen como componentes básicos en el ecosistema de nuevas inversiones. Son mantenidos por equipos de operación de robots de caza en cadena o equipos profesionales de nuevas inversiones, y están destinados a enviar información sobre nuevos tokens lanzados a los inversionistas.

publicidad en Twitter

El grupo de Rug Pull utilizó el servicio de lanzamiento de nuevas monedas de algunas plataformas de terceros para dar a conocer su Token de Rug Pull al público y atraer a más víctimas.

Anuncio del grupo de Telegram