Глубокое исследование случаев Rug Pull, раскрывающее беспорядок в экосистеме токенов Ethereum

Введение

В мире Web3 постоянно появляются новые токены. Сколько новых токенов выпускается каждый день? Насколько эти новые токены безопасны?

Эти проблемы не возникают без причины. В последние несколько месяцев команда безопасности зафиксировала большое количество случаев Rug Pull, и все токены, связанные с ними, без исключения являются новыми токенами, только что выведенными на блокчейн.

После глубокого расследования было установлено, что за этим стоят организованные преступные группировки, и были обобщены схемы этих мошенничеств. Анализируя методы преступной деятельности групп, было обнаружено одно из возможных направлений мошеннического продвижения группировки Rug Pull: группы в Telegram. Эти группировки используют функцию "New Token Tracer" в группах для привлечения пользователей к покупке мошеннических токенов и в конечном итоге получают прибыль через Rug Pull.

Статистика показывает, что с ноября 2023 года по начало августа 2024 года в группах Telegram было выпущено 93 930 новых токенов, из которых 46 526 токенов были связаны с Rug Pull, что составляет 49,53%. Общие затраты групп, стоящих за этими токенами Rug Pull, составили 149 813,72 Эфир, с доходностью 188,7%, что принесло прибыль в 282 699,96 Эфир, что эквивалентно примерно 800 миллионам долларов.

Для оценки доли новых токенов, продвигаемых через группы Telegram, в сети Ethereum, были собраны данные о новых токенах, выпущенных в сети Ethereum за тот же период. Данные показывают, что за это время было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99%. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования было установлено, что как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Другими словами, почти каждый второй новый токен в сети Ethereum связан с мошенничеством.

Кроме того, в других блокчейн-сетях было обнаружено больше случаев Rug Pull. Это означает, что безопасность всей новой экосистемы токенов Web3 гораздо более серьезна, чем ожидалось. Поэтому был составлен этот исследовательский отчет, который, надеемся, поможет всем участникам Web3 повысить свою бдительность, оставаться настороже перед постоянно возникающими мошенничествами и своевременно принимать необходимые меры предосторожности для защиты своих активов.

ERC-20 Токен

ERC-20 токены являются одним из самых распространенных стандартов токенов на блокчейне, который определяет набор норм, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями. Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, проверка баланса, разрешение третьим лицам управлять токенами и так далее. Благодаря этому стандартизированному протоколу разработчикам проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои токены на основе стандарта ERC-20 и привлечь стартовый капитал для различных финансовых проектов, предварительно продав токены. Именно благодаря широкому применению ERC-20 токенов они стали основой для множества ICO и децентрализованных финансовых проектов.

Мы знакомы с USDT, PEPE и DOGE, которые являются токенами ERC-20. Пользователи могут приобрести эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладками, размещая их на децентрализованных биржах, а затем诱导用户进行购买.

Типичные случаи мошенничества с токенами Rug Pull

Вот пример мошенничества с токенами Rug Pull, который углубляет понимание методов работы злонамеренных токенов. Прежде всего, следует отметить, что Rug Pull относится к мошенническому поведению, при котором команда проекта в децентрализованном финансовом проекте внезапно изымает средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull - это токены, специально выпущенные для реализации такого мошенничества.

пример

Атакующий использует адрес Deployer для развертывания токена TOMMI, затем с помощью 1.5 ETH и 100,000,000 токенов TOMMI создает ликвидный пул и активно покупает токены TOMMI через другие адреса, чтобы сфальсифицировать объем торгов в ликвидном пуле и привлечь пользователей и роботов для покупки токенов TOMMI. Когда определенное количество роботов попадается на уловку, атакующий использует адрес Rug Puller для выполнения Rug Pull. Rug Puller использует 38,739,354 токенов TOMMI, чтобы обрушить ликвидный пул, обменяв их на примерно 3.95 ETH. Токены Rug Puller происходят из злонамеренного одобрения (Approve) контракта токена TOMMI. При развертывании контракта токена TOMMI Rug Puller получает права на одобрение ликвидного пула, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.

Процесс Rug Pull

1. Подготовка средств для атаки. Нападающий через одну из бирж пополняет счет Token Deployer на 2.47309009ETH в качестве стартового капитала для Rug Pull.

2. Развертывание токена Rug Pull с задней дверцей. Deployer создает токен TOMMI, предварительно добывая 100,000,000 токенов и распределяя их себе.

3. Создание начального ликвидного пула. Deployer использует 1.5 ETH и все предварительно добытые токены для создания ликвидного пула, получая примерно 0.387 LP токенов.

4. Уничтожить весь объем предварительно добытых токенов. Token Deployer отправляет все LP токены на адрес 0 для уничтожения, поскольку в контракте TOMMI нет функции Mint, таким образом, Token Deployer теоретически уже лишился возможности Rug Pull.

5. Подделка объема торгов. Нападающий активно покупает токены TOMMI из ликвидного пула с помощью нескольких адресов, чтобы завысить объем торгов в пуле и привлечь новых ботов для инвестирования.

6. Атакующий инициирует Rug Pull через адрес Rug Puller, напрямую выводя 38,739,354 токенов из ликвидного пула через заднюю дверь токена, а затем использует эти токены, чтобы разбить пул, вытащив около 3.95 Эфир.

7. Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.

8. Промежуточный адрес отправит средства на адрес хранения средств.

Код для Rug Pull с бэкдором

Хотя злоумышленники уже пытались доказать внешнему миру, что они не могут провести Rug Pull, уничтожив LP токены, на самом деле они оставили в функции openTrading контракта токена TOMMI вредоносную дверь approve. Эта дверь позволит при создании пула ликвидности пулу разрешить адресу Rug Puller перевод токенов, что позволит адресу Rug Puller напрямую выводить токены из пула ликвидности.

Моделирование преступлений

Анализируя случай TOMMI, мы можем подвести итог следующим 4 характеристикам:

1. Deployer получает средства через биржу.

2. Deployer создает ликвидностный пул и уничтожает LP токены.

3. Rug Puller использует大量 токенов для обмена на ETH в ликвидном пуле.

4. Rug Puller переводит ETH, полученные от Rug Pull, на адрес для хранения средств.

Эти характеристики широко распространены в зафиксированных случаях, что указывает на наличие очевидных паттернов поведения Rug Pull. Более того, после завершения Rug Pull средства, как правило, собираются на адресе хранения, что подразумевает, что за этими, казалось бы, независимыми случаями Rug Pull может стоять одна и та же группа мошенников или даже одна и та же команда.

Группа мошенников Rug Pull

Адрес хранения средств для майнинга

Всего 7 адресов для хранения средств, связанные с 1,124 случаями Rug Pull. После успешного проведения мошенничества, группа Rug Pull собирает незаконно полученные средства на этих адресах для хранения средств. Эти адреса для хранения средств делят накопленные средства, чтобы использовать их для создания новых токенов в будущих схемах Rug Pull, манипулирования ликвидностью и других действий. Кроме того, небольшая часть накопленных средств обналичивается через биржи или платформы обмена.

Эти адреса хранения средств имеют общую стоимость вложений в 149,813.72 Эфир, с доходностью 188.7% при прибыли 282,699.96 Эфир, что эквивалентно примерно 800 миллионам долларов.

Связь между адресами хранения средств для майнинга

Анализируя движение средств между адресами хранения средств, эти адреса можно разделить на 3 группы. Однако все 3 группы адресов используют один и тот же инфраструктурный контракт для разделения ETH с целью дальнейших операций Rug Pull, что связывает эти три группы, которые изначально казались разрозненными, в одно целое. Это может указывать на то, что за этими адресами хранения средств на самом деле стоит одна и та же группировка.

Добыча общих инфраструктур

Основные инфраструктурные адреса для общего использования адреса хранения средств имеют два. Один из них содержит два основных функциональных метода: "multiSendETH" и "0x7a860e7e", которые используются для раздельных переводов и покупки токенов Rug Pull. Функции другого инфраструктурного адреса аналогичны.

Использование этой инфраструктуры имеет очевидные особенности: лишь небольшое количество средств удерживается на адресе или промежуточном адресе для разделения средств, но с помощью множества других адресов подделывается объем торгов токенами Rug Pull.

Источник финансирования для майнинга

В анализе всех 1,124 случаев Rug Pull количество случаев, когда средства поступали из горячих кошельков обменов, достигло 1,069, что составляет 95,11%. Эти банды Rug Pull, как правило, одновременно получают средства для своих преступлений из нескольких горячих кошельков обменов, при этом степень использования каждого кошелька примерно одинакова.

Копаем адрес жертвы

В анализируемых случаях Rug Pull среднее количество пострадавших адресов составляет 26,82. В случаях контрактных вызовов на покупку токенов Rug Pull, помимо более обычных способов покупки, таких как Uniswap и MetaMask Swap, 30,40% токенов Rug Pull были куплены через платформы для цепочных снайпер-ботов, такие как Maestro и Banana Gun.

Каналы продвижения токенов Rug Pull

По результатам исследования были определены два возможных рекламных канала групп Rug Pull: Twitter и группы в Telegram. Эти группы в Twitter и Telegram не созданы специально для групп Rug Pull, а существуют как основные компоненты экосистемы новых токенов. Они обслуживаются третьими сторонами, такими как команды по охоте на токены или профессиональные команды запуска, и предназначены для продвижения новых токенов, недавно вышедших на рынок.

Twitter реклама

Группа Rug Pull использовала услуги по продвижению новых токенов на некоторых сторонних платформах, чтобы привлечь внимание к своему токену Rug Pull и привлечь больше жертв.

Реклама в группе Telegram