Rug Pullケースの徹底調査、イーサリアムトークンエコシステムの混乱を暴露する

はじめに

Web3の世界では、新しいトークンが次々と登場しています。毎日、実際にどれだけの新しいトークンが発行されているのでしょうか？これらの新しいトークンは安全なのでしょうか？

これらの問題は無意味に発生しているわけではありません。最近数ヶ月間、セキュリティチームは大量のRug Pull取引ケースをキャッチしましたが、関与したトークンは例外なく新しくブロックチェーンに上がったばかりのトークンです。

詳細な調査の結果、背後に組織的な犯罪グループが存在することが判明し、これらの詐欺のパターン化した特徴がまとめられました。グループの手口を分析することで、Rug Pullグループによる詐欺の可能な拡散経路が発見されました: Telegramグループ。このグループはグループ内の"New Token Tracer"機能を利用してユーザーを騙して詐欺トークンを購入させ、最終的にRug Pullで利益を得ています。

統計によると、2023年11月から2024年8月初めの期間にTelegramグループで合計93,930種類の新トークンが推進され、その中でRug Pullに関与するトークンは46,526種類で、割合は49.53%です。これらのRug Pullトークンの背後にいるグループの累計投資コストは149,813.72 ETHで、188.7%のリターン率で利益を得て282,699.96 ETH、約8億ドルに相当します。

Telegramグループからの新トークンがイーサリアムメインネットにおける割合を評価するために、同じ期間にイーサリアムメインネットで発行された新トークンデータを統計しました。データによると、この期間に合計100,260種類の新トークンが発行され、そのうちTelegramグループから推進されたトークンが89.99%を占めています。平均して毎日約370種類の新トークンが誕生しており、合理的な期待を大きく超えています。詳細な調査の結果、少なくとも48,265種類のトークンがRug Pull詐欺に関与していることが判明し、割合は48.14%です。言い換えれば、イーサリアムメインネット上のほぼ2つの新トークンのうち1つは詐欺に関与しています。

さらに、他のブロックチェーンネットワークでも、より多くのRug Pullの事例が発見されました。これは、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味します。そのため、この調査報告書が作成されました。すべてのWeb3メンバーが防止意識を高め、次々と現れる詐欺に対して警戒を保ち、必要な予防策を適時に講じて自分の資産の安全を守れることを願っています。

! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする

ERC-20 トークン

ERC-20トークンは現在ブロックチェーン上で最も一般的なトークン標準の一つであり、さまざまなスマートコントラクトや分散型アプリケーション間でトークンが相互運用できるように一連の規範を定義しています。ERC-20標準は、トークンの基本的な機能、例えば転送、残高の照会、第三者によるトークン管理の承認などを規定しています。この標準化されたプロトコルのおかげで、開発者はトークンの発行と管理をより容易に行うことができ、トークンの作成と使用が簡素化されました。実際、個人や組織はERC-20標準に基づいて独自のトークンを発行し、トークンのプレセールを通じてさまざまな金融プロジェクトのために資金を調達することができます。ERC-20トークンの広範な応用により、それは多くのICOや分散型金融プロジェクトの基盤となっています。

私たちが馴染みのあるUSDT、PEPE、DOGEはERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺グループは、コードにバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させ、ユーザーを購入するように誘導する可能性があります。

! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

ラグプルトークンの典型的な詐欺ケース

以下はRug Pullトークンの詐欺事例であり、悪意のあるトークン詐欺の運営モデルを深く理解することができます。まず、Rug Pullとは、プロジェクトチームが分散型金融プロジェクトにおいて、突然資金を引き抜いたりプロジェクトを放棄したりすることを指し、投資家に大きな損失をもたらす詐欺行為です。そしてRug Pullトークンは、このような詐欺行為を実施するために発行されたトークンです。

ケース

攻撃者はDeployerアドレスを用いてTOMMIトークンを展開し、1.5ETHと100,000,000のTOMMIを使用して流動性プールを作成し、他のアドレスを通じてTOMMIトークンを積極的に購入して流動性プールの取引量を偽造し、ユーザーやチェーン上の新規購入ボットをTOMMIトークンの購入に引き付けます。一定の数の新規購入ボットが引っかかった後、攻撃者はRug Pullerアドレスを使用してRug Pullを実行します。Rug Pullerは38,739,354TOMMIトークンで流動性プールを砸り、約3.95ETHを換金します。Rug PullerのトークンはTOMMIトークン契約の悪意のあるApprove権限から来ており、TOMMIトークン契約が展開される際にRug Pullerに流動性プールのapprove権限が付与され、これによりRug Pullerは流動性プールから直接TOMMIトークンを引き出してRug Pullを行うことができます。

ラグプルプロセス

1. 攻撃資金を準備します。攻撃者はある取引所を通じて、トークンデプロイヤーに2.47309009ETHをRug Pullのスタートアップ資金として入金します。

2. バックドア付きのRug Pullトークンを展開します。デプロイヤーはTOMMIトークンを作成し、100,000,000個のトークンをプレマイニングして自分に割り当てます。

3. 初期流動性プールを作成します。デプロイヤーは1.5のETHとプレマイニングされたすべてのトークンを使用して流動性プールを作成し、約0.387のLPトークンを獲得しました。

4. すべてのプレマイニングされたトークン供給量を焼却します。トークンデプロイヤーはすべてのLPトークンを0アドレスに送信して焼却します。TOMMIコントラクトにはMint機能がないため、この時点でトークンデプロイヤーは理論的にRug Pull能力を失っています。

5. 偽造取引量。攻撃者は複数のアドレスを使って流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を高めて、新規ロボットの参入をさらに引き寄せる。

6. 攻撃者はRug Pullerアドレスを通じてRug Pullを開始し、トークンのバックドアを介して流動性プールから38,739,354個のトークンを直接転出し、その後これらのトークンを使ってプールを叩き、約3.95個のETHを引き出します。

7. 攻撃者はRug Pullで得た資金を中継アドレスに送信します。

8. 中継アドレスは資金を資金留保アドレスに送信します。

! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

ラグプルコードバックドア

攻撃者はLPトークンを破棄することで、外部に対してRug Pullを行うことができないと証明しようとしていますが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しています。このバックドアは流動性プールを作成する際に、流動性プールがRug Pullerアドレスにトークンの移転権限をapproveさせることを可能にし、Rug Pullerアドレスが流動性プールから直接トークンを移動させることができるようにします。

! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする

容疑のパターン化

TOMMIケースを分析することで、以下の4つの特徴をまとめることができます:

1. デプロイヤーは取引所を通じて資金を調達します。

2. Deployerは流動性プールを作成し、LPトークンを破棄します。

3. Rug Pullerは大量のトークンを流動性プールのETHに交換します。

4. Rug Pullerは、Rug Pullから取得したETHをファンド保持アドレスに送金します。

これらの特徴は捕獲されたケースで一般的に見られ、Rug Pull行為に明らかなパターン化された特徴があることを示しています。さらに、Rug Pullが完了した後、資金は通常、資金留保アドレスに集められ、これらの一見独立したRug Pullケースの背後には、同じグループまたは同じ詐欺団体が関与している可能性があることを示唆しています。

! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする

ラグプル詐欺団

掘削資金留保アドレス

資金留存アドレスは合計7つあり、これらのアドレスに関連するRug Pullのケースは合計1,124件です。Rug Pullグループは、詐欺を成功させた後、不正に得た利益をこれらの資金留存アドレスに集めます。そして、これらの資金留存アドレスは、沈殿資金を分割し、将来の新しいRug Pull詐欺で新しいトークンを作成したり、流動性プールを操作したりする活動に使用します。さらに、ごく一部の沈殿資金は取引所やフラッシュスワッププラットフォームを通じて現金化されます。

これらの資金留保アドレスに関連するケースの累積投入コストは149,813.72 エーテルで、188.7%のリターン率で利益を得て282,699.96 エーテル、約8億ドルに相当します。

! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする

掘削資金留保アドレス間の関連

資金の留保アドレス間の資金の流れを分析することにより、これらのアドレスを3つのアドレスセットに分類することができます。しかし、この3つのアドレスセットはすべて同じ基盤契約を通じてETHを分割し、その後のRug Pull操作を行っています。これにより、元々は緩やかに見える3つのアドレスセットが結びつき、全体を形成します。これは、これらの資金留保アドレスの背後に実際には同じグループが存在する可能性を示唆しているかもしれません。

! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

共用のインフラを掘り出す

資金留存アドレス共用の基盤となるインフラストラクチャアドレスは主に2つあります。そのうちの1つは「multiSendETH」と「0x7a860e7e」の2つの主要な機能関数を含み、分割送金とRug Pullトークンの購入に使用されます。もう1つのインフラストラクチャアドレスの機能は類似しています。

これらのインフラの使用には明らかな特徴があります: 少量の資金を保持アドレスまたは中継アドレスに使用して資金を分割するだけですが、他の多数のアドレスを通じてRug Pullトークンの取引量を偽造します。

! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

での資金源の掘削

分析された1,124件のRug Pullケースの中で、取引所のホットウォレットから資金を調達したケースは1,069件に達し、95.11%を占めています。これらのRug Pullグループは、複数の取引所のホットウォレットから同時に資金を調達することが多く、各ウォレットの使用程度はおおむね同じです。

! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混沌を明らかにする

被害者のアドレスを掘る

分析されたラグプルのケースでは、平均して各ケースの被害者アドレスの数は26.82件です。被害者アドレスがラグプルトークンを購入する契約呼び出しの状況では、UniswapやMetaMask Swapなどの比較的一般的な購入方法の他に、30.40%のラグプルトークンがMaestroやBanana Gunなどのオンチェーンスナイパーボットプラットフォームを通じて購入されています。

! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました

Rug Pullトークンプロモーションチャネル

調査の結果、Rug Pullグループの広告チャネルとして考えられる2つの可能性を特定しました: TwitterとTelegramグループ。これらのTwitterとTelegramグループはRug Pullグループが特に作成したものではなく、新規上場エコシステムの基本コンポーネントとして存在しています。これらはオンチェーンのスナイパーボット運営チームやプロの新規上場チームなどの第三者機関によって維持され、新規上場のトークンを新規投資者に向けてプッシュしています。

Twitter広告###

Rug Pullグループは、いくつかの第三者プラットフォームの新通貨プッシュサービスを利用して、そのRug Pullトークンを外部に露出させ、より多くの被害者を引き付けています。

! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする

テレグラムグループ広告