Enquête approfondie sur les cas de Rug Pull, révélant le chaos de l'écosystème des jetons Ethereum

Introduction

Dans le monde de Web3, de nouveaux jetons émergent constamment. Combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?

Ces problèmes ne surviennent pas sans raison. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull, les jetons concernés étant tous des jetons nouvellement mis en chaîne.

Après une enquête approfondie, il a été découvert qu'il existe un groupe organisé derrière ces crimes, et les caractéristiques modélisées de ces escroqueries ont été résumées. En analysant les méthodes de travail du groupe, une possible voie de promotion de l'escroquerie par les groupes Rug Pull a été trouvée : les groupes Telegram. Ces groupes utilisent la fonction "New Token Tracer" dans le groupe pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des profits grâce au Rug Pull.

Les statistiques montrent qu'entre novembre 2023 et début août 2024, les groupes Telegram ont promu un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons associés à des Rug Pull, représentant 49,53 %. Les coûts d'investissement cumulés des groupes derrière ces jetons Rug Pull s'élèvent à 149 813,72 ETH, avec un taux de retour de 188,7 % générant un profit de 282 699,96 ETH, soit environ 800 millions de dollars.

Pour évaluer la part des nouveaux jetons promus dans les groupes Telegram sur le réseau principal Ethereum, des données sur les nouveaux jetons émis sur le réseau principal Ethereum au cours de la même période ont été recueillies. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % provenaient de promotions dans des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, ce qui dépasse largement les prévisions raisonnables. Après une enquête approfondie, il a été découvert qu'au moins 48 265 jetons étaient liés à des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.

De plus, d'autres cas de Rug Pull ont également été découverts dans d'autres réseaux de blockchain. Cela signifie que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est beaucoup plus sévère que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face aux arnaques incessantes et à prendre les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.

Jeton ERC-20

Les jetons ERC-20 sont l'un des standards de jeton les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de normes qui permettent aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées. Le standard ERC-20 spécifie les fonctions de base des jetons, telles que les transferts, la consultation des soldes, et l'autorisation de tiers à gérer les jetons. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers par le biais de préventes de jetons. C'est précisément en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.

Les USDT, PEPE et DOGE que nous connaissons sont des jetons ERC-20. Les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraude peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés et inciter les utilisateurs à les acheter.

Cas typique de fraude avec des jetons Rug Pull

Voici un exemple d'escroquerie de jeton Rug Pull, qui illustre en profondeur le modèle opérationnel des escroqueries de jetons malveillants. Tout d'abord, il convient de préciser que le Rug Pull désigne un acte frauduleux où l'équipe du projet retire soudainement des fonds ou abandonne le projet dans le cadre d'un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Les jetons Rug Pull sont spécifiquement émis pour mettre en œuvre ce type d'escroquerie.

cas

L'attaquant a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les bots de lancement sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de bots de lancement se sont fait avoir, l'attaquant a utilisé l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller a écrasé le pool de liquidité avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, le contrat du jeton TOMMI accorde à Rug Puller des droits d'approbation sur le pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité puis de procéder au Rug Pull.

processus de Rug Pull

1. Préparer les fonds d'attaque. L'attaquant recharge 2.47309009ETH au Token Deployer via une certaine plateforme d'échange comme capital de départ pour le Rug Pull.

2. Déployer un jeton Rug Pull avec une porte dérobée. Le déployeur crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.

3. Créer un pool de liquidité initial. Le déployeur utilise 1,5 ETH et tous les jetons pré-minés pour créer le pool de liquidité, obtenant environ 0,387 jetons LP.

4. Détruire toute l'offre de jetons pré-minés. Le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction de Mint dans le contrat TOMMI, à ce stade, le déployeur de jetons a théoriquement perdu la capacité de Rug Pull.

5. Volume de transactions falsifié. L'attaquant achète activement des jetons TOMMI depuis le pool de liquidité avec plusieurs adresses, augmentant ainsi le volume des transactions du pool et attirant davantage de robots de nouvelles entrées.

6. L'attaquant lance un Rug Pull via l'adresse Rug Puller, en transférant directement 38 739 354 jetons du pool de liquidité par la porte dérobée du token, puis utilise ces jetons pour détruire le pool, retirant environ 3,95 Éther.

7. L'attaquant envoie les fonds obtenus par le Rug Pull à l'adresse de transit.

8. L'adresse de transit enverra les fonds à l'adresse de conservation des fonds.

Code de porte dérobée de Rug Pull

Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant des jetons LP, ils ont en réalité laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI. Cette porte dérobée permet, lors de la création du pool de liquidité, d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.

Mode opératoire

En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :

1. Deployer obtient des fonds via l'échange.

2. Le Deployer crée un pool de liquidité et détruit les jetons LP.

3. Rug Puller échange une grande quantité de jetons contre de l'ETH dans la liquidité.

4. Rug Puller transfère l'ETH obtenu par Rug Pull à l'adresse de conservation des fonds.

Ces caractéristiques sont généralement présentes dans les cas capturés, indiquant que les comportements de Rug Pull présentent des caractéristiques de modélisation évidentes. De plus, après avoir effectué un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.

Gang de Rug Pull

adresse de conservation des fonds de minage

Il y a en tout 7 adresses de conservation des fonds, et ces adresses sont associées à 1 124 cas de Rug Pull. Après avoir réussi à mettre en œuvre leur escroquerie, les groupes de Rug Pull rassemblent leurs bénéfices illégaux sur ces adresses de conservation des fonds. Ces adresses de conservation des fonds divisent ensuite les fonds accumulés pour créer de nouveaux jetons dans de futures escroqueries de Rug Pull, manipuler des pools de liquidité, entre autres activités. De plus, une petite partie des fonds accumulés est liquidée via des échanges ou des plateformes d'échange instantané.

Ces adresses de conservation des fonds sont associées à un coût d'investissement cumulé de 149 813,72 Éther, générant un profit de 282 699,96 Éther avec un taux de retour de 188,7 %, soit environ 800 millions de dollars.

liaison entre l'adresse de conservation des fonds d'extraction

En analysant les flux de fonds entre les adresses de conservation des fonds, ces adresses peuvent être classées en trois ensembles d'adresses. Cependant, ces trois ensembles d'adresses se sont tous servis du même contrat d'infrastructure pour diviser l'Éther afin de procéder à des opérations ultérieures de Rug Pull, ce qui relie ensemble ces trois ensembles d'adresses apparemment dispersés, formant un tout. Cela pourrait indiquer que ces adresses de conservation des fonds appartiennent en réalité au même groupe.

Extraction d'infrastructures communes

Les adresses d'infrastructure communes pour le maintien des fonds sont principalement au nombre de deux. L'une d'elles contient les deux fonctions principales "multiSendETH" et "0x7a860e7e", utilisées pour effectuer des transferts fractionnés et acheter des jetons Rug Pull. L'autre adresse d'infrastructure a des fonctions similaires.

L'utilisation de ces infrastructures présente des caractéristiques évidentes : utiliser seulement une petite quantité de fonds pour conserver une adresse ou une adresse de transit afin de diviser les fonds, mais en contrefaisant le volume des transactions de jetons Rug Pull via de nombreuses autres adresses.

origine des fonds de l'extraction

Parmi les 1 124 cas de Rug Pull analysés, le nombre de cas où les fonds proviennent des portefeuilles chauds des échanges s'élève à 1 069, représentant 95,11 %. Ces groupes de Rug Pull obtiennent souvent leurs fonds d'opération à partir de plusieurs portefeuilles chauds d'échanges, et l'utilisation des différents portefeuilles est à peu près équivalente.

Adresse du victime de l'exploitation minière

Dans l'analyse des cas de Rug Pull, le nombre moyen d'adresses victimes par cas est de 26,82. En ce qui concerne les appels de contrat pour l'achat de jetons Rug Pull par les adresses victimes, en plus des méthodes d'achat plus conventionnelles comme Uniswap et MetaMask Swap, 30,40 % des jetons Rug Pull ont été achetés via des plateformes de bots de sniping en chaîne comme Maestro et Banana Gun.

Canaux de promotion pour le jeton Rug Pull

Après enquête, deux canaux publicitaires potentiels pour les groupes de Rug Pull ont été identifiés : Twitter et les groupes Telegram. Ces groupes Twitter et Telegram ne sont pas spécifiquement créés par les gangs de Rug Pull, mais existent en tant que composants de base dans l'écosystème de lancement de nouveaux jetons. Ils sont maintenus par des équipes d'exploitation de robots de ciblage en chaîne ou des équipes professionnelles de lancement de nouveaux jetons, et sont spécialement destinés à promouvoir les nouveaux jetons lancés.

Publicité Twitter

Le groupe Rug Pull a utilisé le service de lancement de nouveaux jetons de certaines plateformes tierces pour faire connaître son jeton Rug Pull, afin d'attirer davantage de victimes.

Publicité de groupe Telegram