Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias do ecossistema de tokens Ethereum

Introdução

No mundo Web3, novos Tokens estão surgindo continuamente. Quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?

Essas questões não surgem sem motivo. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações Rug Pull, sendo que todos os tokens envolvidos eram, sem exceção, novos tokens que acabaram de ser lançados na blockchain.

Após uma investigação aprofundada, foi descoberto que existia um grupo organizado por trás dos crimes, e foram resumidas as características padronizadas desses golpes. Ao analisar os métodos de operação do grupo, foi descoberta uma possível via de promoção de fraudes do grupo Rug Pull: grupos no Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" do grupo para atrair usuários a comprarem tokens fraudulentos e, por fim, lucrar através do Rug Pull.

Estatísticas mostram que, entre novembro de 2023 e o início de agosto de 2024, os grupos do Telegram enviaram um total de 93,930 novos Tokens, dos quais 46,526 estavam envolvidos em Rug Pull, representando 49,53%. O custo total investido pelos grupos por trás desses Tokens de Rug Pull foi de 149,813.72 ETH, gerando um lucro de 282,699.96 ETH com uma taxa de retorno de 188.7%, o que equivale a cerca de 800 milhões de dólares.

Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na mainnet do Ethereum, foram coletados dados sobre novos tokens emitidos na mainnet do Ethereum durante o mesmo período. Os dados mostram que, durante este período, um total de 100.260 novos tokens foram emitidos, dos quais 89,99% foram tokens promovidos via grupos do Telegram. Em média, cerca de 370 novos tokens nascem por dia, muito acima da expectativa razoável. Após uma investigação mais aprofundada, descobriu-se que pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, o que representa 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet do Ethereum está envolvido em fraudes.

Além disso, foram encontrados mais casos de Rug Pull em outras redes de blockchain. Isso significa que a segurança do novo ecossistema de tokens emergentes do Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado com a esperança de ajudar todos os membros do Web3 a aumentar a conscientização sobre prevenção, mantendo-se vigilantes diante dos constantes golpes e tomando medidas preventivas necessárias para proteger a segurança de seus ativos.

ERC-20 Token

Os tokens ERC-20 são um dos padrões de token mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicações descentralizadas. O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gerenciar tokens, entre outras. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base para muitos ICOs e projetos de finanças descentralizadas.

As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir seus próprios Tokens ERC-20 maliciosos com backdoors, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.

Casos Típicos de Fraude com Tokens Rug Pull

Abaixo está um caso de fraude de um Token Rug Pull, que aprofunda a compreensão dos modelos operacionais de fraudes de tokens maliciosos. Primeiro, é necessário esclarecer que Rug Pull refere-se a uma ação fraudulenta em que a equipe do projeto, em um projeto de finanças descentralizadas, retira repentinamente os fundos ou abandona o projeto, causando enormes perdas aos investidores. O Token Rug Pull é um token emitido especificamente para a implementação desse tipo de fraude.

caso

O atacante usou o endereço Deployer para implantar o token TOMMI, em seguida, criou um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, e comprou ativamente o token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez e atrair usuários e robôs de lançamento de novos tokens na blockchain para comprar o token TOMMI. Quando um número considerável de robôs de lançamento de novos tokens foi enganado, o atacante usou o endereço Rug Puller para executar o Rug Pull, e o Rug Puller desmontou o pool de liquidez com 38.739.354 tokens TOMMI, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do token TOMMI, que, ao ser implantado, concede ao Rug Puller a permissão de aprovação do pool de liquidez, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, execute o Rug Pull.

processo de Rug Pull

1. Preparar fundos para o ataque. O atacante recarrega 2.47309009ETH para o Token Deployer através de uma exchange como capital inicial para o Rug Pull.

2. Implantar Token Rug Pull com backdoor. O Deployer cria o token TOMMI, pré-minera 100.000.000 de tokens e os distribui para si mesmo.

3. Criar o pool de liquidez inicial. O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.

4. Destruir toda a oferta de Token pré-minerada. O Token Deployer enviará todos os tokens LP para o endereço 0 para destruição, e como o contrato TOMMI não possui a função Mint, o Token Deployer, teoricamente, já perdeu a capacidade de Rug Pull.

5. Volume de transações falsificado. O atacante usa vários endereços para comprar ativamente Tokens TOMMI do fundo de liquidez, aumentando o volume de transações do fundo, atraindo ainda mais robôs de novas emissões.

6. O atacante iniciou um Rug Pull através do endereço Rug Puller, transferindo diretamente 38,739,354 tokens do fundo de liquidez pela porta dos fundos do token, e depois usou esses tokens para atacar o fundo, retirando cerca de 3,95 ETH.

7. O atacante envia os fundos obtidos com Rug Pull para um endereço de transferência.

8. O endereço de transferência enviará os fundos para o endereço de retenção de fundos.

Código de backdoor de Rug Pull

Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull, destruindo os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI. Essa porta dos fundos permite que, ao criar o pool de liquidez, o pool aprove a transferência de tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.

padrão de crime

Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:

1. O Deployer obtém fundos através da exchange.

2. O Deployer cria um pool de liquidez e destrói os Tokens LP.

3. Rug Puller troca uma grande quantidade de Token por ETH no pool de liquidez.

4. Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos.

Essas características estão geralmente presentes nos casos capturados, indicando que o comportamento de Rug Pull tem características claramente padronizadas. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem envolver o mesmo grupo ou até mesmo a mesma quadrilha de golpes.

Gangue de Rug Pull

Endereço de retenção de fundos de mineração

Existem 7 endereços de retenção de fundos, e esses endereços estão associados a 1.124 casos de Rug Pull. Após a implementação bem-sucedida do golpe, os grupos de Rug Pull reúnem os lucros ilegais nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos tokens em futuros golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida em dinheiro através de exchanges ou plataformas de troca rápida.

O custo total acumulado do investimento associado a estes endereços de retenção de fundos é de 149,813.72 Éter, com uma taxa de retorno de 188.7% gerando lucro de 282,699.96 Éter, o que equivale a cerca de 800 milhões de dólares.

ligação entre endereços de retenção de fundos de mineração

Ao analisar o fluxo de fundos entre os endereços de retenção de fundos, é possível dividir esses endereços em 3 conjuntos de endereços. No entanto, esses 3 conjuntos de endereços são todos divididos através do mesmo contrato de infraestrutura para realizar operações de Rug Pull subsequentes, o que faz com que os 3 conjuntos de endereços, que inicialmente pareciam soltos, se conectem, formando um todo. Isso pode indicar que, na verdade, os endereços de retenção de fundos pertencem ao mesmo grupo.

Mineração de Infraestrutura Comum

Existem duas principais endereços de infraestrutura compartilhada para endereços de retenção de fundos. Um deles contém as duas principais funções "multiSendETH" e "0x7a860e7e", usadas para transferências fracionadas e compra de tokens Rug Pull. A função do outro endereço de infraestrutura é semelhante.

A utilização destas infraestruturas apresenta características evidentes: utiliza-se apenas uma pequena quantidade de fundos para manter endereços ou endereços de transição para dividir fundos, mas através de um grande número de outros endereços é forjado o volume de transação de tokens Rug Pull.

origem dos fundos do crime

Na análise de todos os 1.124 casos de Rug Pull, o número de casos em que os fundos vieram de carteiras quentes de exchanges alcançou 1.069, representando 95,11%. Esses grupos de Rug Pull costumam obter fundos para cometer o crime a partir de várias carteiras quentes de exchanges, e o uso de cada carteira é aproximadamente equivalente.

Endereço da vítima de mineração

No caso de análise de Rug Pull, o número médio de endereços vítimas por caso é de 26,82. Em relação às chamadas de contrato para a compra de Token Rug Pull pelos endereços vítimas, além das formas de compra mais convencionais como Uniswap e MetaMask Swap, 30,40% dos Tokens Rug Pull foram adquiridos através de plataformas de robôs de sniper on-chain como Maestro e Banana Gun.

Rug Pull Token promoção canais

Após pesquisa, foram identificados dois possíveis canais de publicidade de grupos de Rug Pull: Twitter e grupos do Telegram. Esses grupos do Twitter e do Telegram não foram criados especificamente pelos grupos de Rug Pull, mas existem como componentes básicos no ecossistema de lançamento de novos projetos. Eles são mantidos por equipes de robôs de sniper on-chain ou por instituições terceirizadas, como equipes profissionais de lançamento, que são especializadas em promover tokens recém-lançados para os investidores.

Anúncios no Twitter

O grupo Rug Pull usou os serviços de promoção de novas moedas de algumas plataformas de terceiros para expor seu token Rug Pull ao público, a fim de atrair mais vítimas.

anúncio do grupo Telegram