SharkTeam : Analyse de la chaîne de l'industrie noire de l'usine Rugpull

Un certain nombre d'incidents Rug Pull se sont produits récemment et l'équipe de recherche en sécurité de SharkTeam a mené une analyse détaillée de ces incidents. Au cours de l'analyse, nous avons constaté que le contrat d'usine Rugpull sur BNB Chain a lancé plus de 70 Rugpulls au cours du mois dernier. Ensuite, nous analyserons la source des fonds, les modèles de comportement frauduleux, etc.

En raison du manque d'espace, nous analyserons principalement les événements SEI, X, TIP et Blue token. Ces jetons sont créés par l'opération createToken du contrat de fabrique de jetons 0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696.

Dans la fonction createToken, les paramètres suivants doivent être transmis lors de la création d'un jeton : nom du jeton, symbole du jeton, précision, approvisionnement, adresse du propriétaire du jeton, adresse du contrat d'usine pour la création de paires de jetons et adresse stablecoin BUSD-T. Parmi eux, le contrat d'usine pour la création de paires de jetons utilise le contrat d'usine de PancakeSwap, et chaque jeton a une adresse de propriétaire différente.

1. Traçabilité des fonds

Les adresses des propriétaires, les symboles et les adresses de contrat pour les jetons SEI, X, TIP et Blue sont indiqués ci-dessous. Parmi eux, les adresses des propriétaires de X, TIP et Blue sont :

0x44A028Dae3680697795A8d50960c8C155cBc0D74.

Les fonds de 0x 44 A 028 Da proviennent de 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3, adresse 0x 0 a 8310 ec Les fonds proviennent de plusieurs comptes EOA et ont une adresse commune

0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3.

Voici les informations pertinentes pour le contrat Token Factory 0x DC 4397 ffb 9 F 2C 9119 ED 9 c 32 E 42 E 3588 bbD 377696. Le contrat d'usine a été créé à l'adresse 0x 1 dE 949 eac 4 b 5 fc 1 B 814 E 733 C D5 6 AE 65 DfF 1 bcEEF. Les fonds à l'adresse 0x1dE949ea proviennent de plusieurs comptes et il existe une adresse source de fonds de 0x 072 e 9 A 13791 f 3 a 45 fc 6 eB 6 AD 38 e 6 ea 258 C 080 cc 3.

La source des fonds à l'adresse 0x 072 e 9 A 13 est la suivante : L'adresse 0x 1 dE 949 ea a une interaction de fonds. D'autres adresses ont également créé des contrats de jetons d'usine et sont des Rug Pullers pour certains jetons.

Par exemple, 0x 04067 B 4 fcC 9 f 3d 99 aC 5211 cfE 8 d 3 e 8687 B 0401 d 3 est financé à partir de 0x 6 ae 8 F 98830894518 c 939 B 0 D 0 A 5 EF 11 c 671 e 9 DFCa. Et 0x6ae8F988 a créé le contrat d'usine 0x e 83 EbBb 4 acc 3d 8 B 237923 Ee 33 3D 04 B 887 ca 1 a 008 . Le contrat d'usine exécute également le même comportement de création de jeton :

Nous avons sélectionné l'un des jetons pour analyse et avons constaté que le jeton avait un comportement Rug Pull.

Les fonds de 0x6ae8F988 proviennent de 0xa6764FBbbFD89AEeBac25FCbB69d3E9438395e57, et les fonds de cette adresse proviennent de 0xE5A5c50980176Cc32573c993D0b99a843D77BC6E. L'adresse 0xE5A5c509 est financée par l'adresse Tornado Cash avec un fonds de 10 BNB. En plus des fonds fournis par Tornado, il y a aussi une partie des bénéfices obtenus grâce à la pêche et au token Rug Pull.

En outre, les adresses susmentionnées ont joué un rôle important dans le comportement frauduleux de l’usine Rugpull qui a suivi.

2. Modèle de comportement frauduleux de l'usine Rugpull

Jetons un coup d'œil aux modèles de comportement frauduleux de l'usine Rugpull concernant les jetons SEI, X, TIP et Blue.

（1）SEI

Premièrement, le propriétaire du jeton SEI 0x 0 a 8310 eca 430 beb 13 a 8 d 1 b 42 a 03 b 3521326 e 4 a 58 a échangé 249 SEI au prix de 1u.

Ensuite, 0x6f9963448071b88FB23Fd9971d24A87e5244451A a effectué des opérations d’achat et de vente en gros. Lors des opérations d'achat et de vente, la liquidité du jeton a considérablement augmenté et le prix a également augmenté.

Faites-en la promotion via le phishing et d'autres méthodes pour inciter un grand nombre d'utilisateurs à acheter. À mesure que la liquidité augmente, le prix du jeton double.

Lorsque le prix du jeton atteint une certaine valeur, le propriétaire du jeton entre sur le marché et effectue une opération de vente pour effectuer un rugpull. Comme le montre la figure ci-dessous, les périodes d’entrée et de récolte ainsi que les prix sont différents.

（2）X、TIP、Bleu

Premièrement, le propriétaire des jetons X, TIP et Blue 0x44A028Dae3680697795A8d50960c8C155cBc0D74 a échangé 1u contre les jetons correspondants. Ensuite, pareil que le jeton Sei. 0x 6 f 9963448071 b 88 FB 23 Fd 9971 d 24 A 87 e 5244451 A Opérations d'achat et de vente par lots. Dans le cadre des opérations d'achat et de vente, la liquidité augmente considérablement et les prix augmentent.

Ensuite, il est promu par le biais du phishing et d'autres canaux pour inciter un grand nombre d'utilisateurs à acheter. À mesure que la liquidité augmente, le prix du jeton double.

Comme SEI, lorsque le prix du jeton atteint une certaine valeur, le propriétaire du jeton entre dans l'opération de vente pour effectuer Rugpull. La figure ci-dessous montre que le moment de la récolte et le prix sont différents.

Les graphiques de fluctuation des tokens SEI, X, TIP et Blue sont les suivants :

Nous pouvons tirer des leçons de la traçabilité des fonds et des modèles de comportement :

Dans le contenu de traçabilité des fonds, les fonds des fondateurs de l’usine de jetons et des créateurs de jetons proviennent de plusieurs comptes EOA. Il existe également des échanges de fonds entre différents comptes, dont certains sont transférés via des adresses de phishing, d'autres sont obtenus via des comportements de jetons Rugpull antérieurs et d'autres encore sont obtenus via des plateformes de devises mixtes telles que Tornado Cash. L’utilisation de plusieurs méthodes pour transférer des fonds vise à créer un réseau financier complexe et complexe. Différentes adresses créent également plusieurs contrats d’usine de jetons et produisent des jetons en grande quantité. .

Lors de l’analyse du comportement du jeton Rugpull, nous avons découvert que l’adresse 0x6f9963448071b88FB23Fd9971d24A87e5244451A était l’une des sources de financement. Une approche par lots est également utilisée lors du fonctionnement des prix des jetons. L'adresse 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 agit également en tant que fournisseur de fonds, fournissant les fonds correspondants à plusieurs détenteurs de jetons. .

Dans l'ensemble, il existe un gang de fraude Web3 avec une division claire du travail derrière cette série d'actions, formant une chaîne industrielle noire, qui implique principalement la collecte de hotspots, l'émission automatique de devises, les transactions automatiques, la fausse propagande, les attaques de phishing, la récolte de Rugpull, etc., se produisant principalement sur BNBChain. Les faux jetons Rugpull émis sont étroitement liés aux événements brûlants de l’industrie et sont très déroutants et instigateurs. Les utilisateurs doivent être vigilants à tout moment, rester rationnels et éviter les pertes inutiles.