SharkTeam: Аналіз ланцюга чорної промисловості заводу Rugpull

Останнім часом сталася низка інцидентів Rug Pull, і дослідницька група SharkTeam провела детальний аналіз цих інцидентів. Під час аналізу ми виявили, що контракт із фабрикою Rugpull у мережі BNB Chain ініціював понад 70 Rugpull за останній місяць. Далі ми проаналізуємо джерело коштів, моделі шахрайської поведінки тощо.

Через обмеження простору ми в основному аналізуватимемо події SEI, X, TIP і Blue token. Ці маркери створюються операцією createToken контракту фабрики маркерів 0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696.

Під час створення токена у функції createToken необхідно передати такі параметри: назву токена, символ токена, точність, поставку, адресу власника токена, адресу заводського контракту для створення пар токенів і адресу стейблкойна BUSD-T. Серед них фабричний контракт, який створює пару токенів, використовує заводський контракт PancakeSwap, і кожен токен має іншу адресу власника.

1. Простежуваність фонду

Адреси власників, символи та адреси контрактів для токенів SEI, X, TIP і Blue наведено нижче. Серед них адреси власників X, TIP і Blue:

0x44A028Dae3680697795A8d50960c8C155cBc0D74.

0x 44 A 028 Da кошти надходять із 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3, адреса 0x 0 a 8310 ec Кошти надходять із кількох рахунків EOA та мають спільну адресу

0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3.

Нижче наведено відповідну інформацію для контракту Token Factory 0x DC 4397 ffb 9 F 2C 9119 ED 9 c 32 E 42 E 3588 bbD 377696. Фабричний контракт створено з адресою 0x 1 dE 949 eac 4 b 5 fc 1 B 814 E 733 C D5 6 AE 65 DfF 1 bcEEF. Кошти за адресою 0x1dE949ea надходять з кількох рахунків, і є одне джерело коштів за адресою 0x 072 e 9 A 13791 f 3 a 45 fc 6 eB 6 AD 38 e 6 ea 258 C 080 cc 3 .

Джерело коштів для адреси 0x 072 e 9 A 13 є таким: за адресою 0x 1 dE 949 ea існує деяка взаємодія з фондами. Інші адреси також створювали контракти на фабричні токени та були розтягувачами для деяких токенів.

Наприклад, 0x 04067 B 4 fcC 9 f 3d 99 aC 5211 cfE 8 d 3 e 8687 B 0401 d 3 фінансується 0x 6 ae 8 F 98830894518 c 939 B 0 D 0 A 5 EF 11 c 671 e 9 DFCa. А 0x6ae8F988 створив заводський контракт 0x e 83 EbBb 4 acc 3d 8 B 237923 Ee 33 3D 04 B 887 ca 1 a 008 . Фабричний контракт також виконує таку саму поведінку створення маркера:

Ми вибрали один із маркерів для аналізу та виявили, що маркер має поведінку Rug Pull.

Кошти 0x6ae8F988 надходять з 0xa6764FBbbFD89AEeBac25FCbB69d3E9438395e57, а кошти цієї адреси – з 0xE5A5c50980176Cc32573c993D0b99a843D77BC6E. Кошти за адресою 0xE5A5c509 надаються адресою Tornado Cash, а кошти становлять 10 BNB. Крім коштів, наданих Tornado, є також частина прибутку, отримана від риболовлі та жетонів Rug Pull.

Крім того, зазначена вище адреса відіграла важливу роль у подальшій моделі шахрайства на підприємстві Rugpull.

2. Модель шахрайства на заводі Rugpull

Давайте подивимося на моделі шахрайства на заводі Rugpull щодо токенів SEI, X, TIP і Blue.

（1）SEI

Спочатку власник токена SEI 0x 0 a 8310 eca 430 beb 13 a 8 d 1 b 42 a 03 b 3521326 e 4 a 58 обміняв 249 SEI за ціною 1u.

Потім 0x6f9963448071b88FB23Fd9971d24A87e5244451A виконав масові операції купівлі та продажу. Під час операцій купівлі-продажу ліквідність токена значно зросла, а також зросла ціна.

За допомогою фішингу та інших засобів розголосу велика кількість користувачів спокушається купити.Зі збільшенням ліквідності ціна токена подвоюється.

Коли ціна токена досягає певного значення, власник токена виходить на ринок і виконує операцію продажу, щоб виконати rugpull. Як видно з рисунку нижче, періоди вступу та збору врожаю та ціни відрізняються.

（2）X、TIP、Синій

Спочатку власник токенів X, TIP і Blue 0x44A028Dae3680697795A8d50960c8C155cBc0D74 обміняв 1u на відповідні токени. Тоді те ж саме, що і токен Sei. 0x 6 f 9963448071 b 88 FB 23 Fd 9971 d 24 A 87 e 5244451 A Масові операції купівлі та продажу. При операціях купівлі-продажу значно зростає ліквідність і зростають ціни.

Потім він просувається через фішинг та інші канали, щоб залучити велику кількість користувачів до покупки.Зі збільшенням ліквідності ціна токена подвоюється.

Як і SEI, коли ціна токена досягає певного значення, власник токена виходить на ринок, щоб продати та виконати Rugpull. Як видно з рисунку нижче, періоди вступу та збору врожаю та ціни відрізняються.

Графіки коливань токенів SEI, X, TIP і Blue є такими:

Ми можемо дізнатися про відстеження фонду та моделі поведінки:

У вмісті відстеження фондів засновники фабрики токенів і кошти творців токенів надходять з кількох облікових записів EOA. Існують також потоки коштів між різними рахунками, деякі з яких були переведені через фішингові адреси, деякі були отримані через попередні дії token rugpull, а деякі були отримані через платформи змішування валют, такі як tornado cash. Використання кількох методів для переказу коштів спрямоване на створення складної та заплутаної фінансової мережі. Різні адреси також створюють кілька контрактів фабрики токенів і виробляють токени у великих кількостях. .

Аналізуючи поведінку токена Rugpull, ми виявили, що адреса 0x6f9963448071b88FB23Fd9971d24A87e5244451A була одним із джерел фінансування. При маніпулюванні ціною токена також використовується пакетний метод. Адреса 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 також діє як постачальник коштів, надаючи відповідні кошти кільком власникам токенів. .

Загалом, за цією низкою дій стоїть банда шахраїв Web3 із чітким розподілом праці, яка утворює ланцюжок чорної індустрії, яка в основному включає збір у точках доступу, автоматичну емісію валюти, автоматичні транзакції, фальшиву пропаганду, фішингові атаки, збирання Rugpull, тощо, переважно на BNBChain. Випущені підроблені жетони Rugpull тісно пов’язані з гарячими галузевими подіями та є дуже заплутаними та підбурюючими. Користувачі повинні завжди бути пильними, зберігати раціональність і уникати непотрібних втрат.