Глибоке розслідування випадків Rug Pull, розкриття безладу в екосистемі токенів Ethereum

Вступ

У світі Web3 постійно з'являються нові токени. Скільки нових токенів випускається щодня? Чи безпечні ці нові токени?

Ці проблеми не виникають без причини. Протягом останніх кількох місяців команда безпеки зафіксувала велику кількість випадків Rug Pull, причому всі залучені токени є новими токенами, які тільки-но з'явились у мережі.

Після глибокого розслідування було виявлено, що за цим стоять організовані злочинні угрупування, і підсумовано модельні характеристики цих шахрайств. Аналізуючи методи злочинної діяльності угрупувань, було виявлено можливий шлях шахрайства через групи в Telegram: групи використовують функцію "New Token Tracer", щоб залучити користувачів до покупки шахрайських токенів і в кінцевому підсумку отримати прибуток через Rug Pull.

Статистика показує, що з листопада 2023 року до початку серпня 2024 року у групах Telegram було представлено 93 930 нових токенів, з яких 46 526 токенів були пов’язані з Rug Pull, що становить 49,53%. Загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149 813,72 ETH, отримавши прибуток у 282 699,96 ETH з рівнем доходу 188,7%, що еквівалентно приблизно 800 мільйонам доларів.

Для оцінки частки нових токенів, які були випущені через групи Telegram на основній мережі Ethereum, були проаналізовані дані про нові токени, випущені на основній мережі Ethereum за той же період часу. Дані показують, що в цей період було випущено 100,260 нових токенів, з яких токени, що були випущені через групи Telegram, становлять 89.99%. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Поглиблене розслідування виявило, що принаймні 48,265 токенів були пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, практично кожен другий новий токен на основній мережі Ethereum пов'язаний з шахрайством.

Крім того, в інших блокчейн-мережах також було виявлено більше випадків Rug Pull. Це означає, що загальний стан безпеки нових токенів екосистеми Web3 набагато серйозніший, ніж очікувалося. Тому була написана ця дослідна доповідь, сподіваючись допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися пильними перед численними шахрайствами та вчасно вжити необхідних заходів для захисту своїх активів.

ERC-20 Токен

ERC-20 Токени є одним з найпоширеніших стандартів токенів на блокчейні, який визначає набір специфікацій, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками. Стандарт ERC-20 визначає основні функції токенів, такі як переказ, перевірка балансу, надання дозволу третім особам на управління токенами тощо. Завдяки цій стандартизованій угоді, розробники можуть легше випускати та управляти токенами, спрощуючи процес створення та використання токенів. Насправді, будь-яка особа або організація може на основі стандарту ERC-20 випускати власні токени та залучати стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токенів вони стали основою багатьох ICO та децентралізованих фінансових проектів.

Ми знайомі з USDT, PEPE, DOGE, які належать до токенів ERC-20. Користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські групи також можуть самостійно випускати шкідливі токени ERC-20 з кодом-задньою стінкою, розміщувати їх на децентралізованих біржах і спонукати користувачів до покупки.

Типові випадки шахрайства з Токенами Rug Pull

Наступне – це приклад шахрайства з токенами Rug Pull, який поглиблено розглядає схеми роботи зловмисних токенів. Насамперед, слід зазначити, що Rug Pull – це шахрайська дія, коли команда проєкту у децентралізованих фінансових проєктах раптово вилучає кошти або залишає проєкт, що призводить до великих втрат для інвесторів. А токени Rug Pull – це токени, які випускаються спеціально для реалізації таких шахрайських схем.

кейс

Зловмисник використовує адресу Deployer для розгортання токена TOMMI, а потім використовує 1,5 ETH та 100,000,000 токенів TOMMI для створення пулу ліквідності, активно купуючи токени TOMMI з інших адрес, щоб сфальсифікувати обсяги торгівлі пулу ліквідності, щоб залучити користувачів і боти для первинних пропозицій на ланцюзі для купівлі токенів TOMMI. Коли певна кількість ботів для первинних пропозицій попадаються на вудку, зловмисник використовує адресу Rug Puller для виконання Rug Pull, Rug Puller розпродає 38,739,354 токенів TOMMI з пулу ліквідності, обмінюючи їх на приблизно 3,95 ETH. Токени Rug Puller походять з шкідливого дозволу на схвалення контракту токена TOMMI, контракт токена TOMMI при розгортанні надає Rug Puller права на схвалення в пулі ліквідності, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з пулу ліквідності, а потім здійснювати Rug Pull.

Процес Rug Pull

1. Підготуйте кошти для атаки. Атакуючий через певну біржу поповнює рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.

2. Розгортання токенів Rug Pull з бекдорами. Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх собі.

3. Створення початкового ліквідного пулу. Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримавши близько 0.387 LP токенів.

4. Знищити всю попередньо видобуту кількість Токенів. Token Deployer відправляє всі LP токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично вже втратив здатність до Rug Pull.

5. Підробка обсягу торгів. Зловмисник активно купує токени TOMMI з ліквідного пулу з кількох адрес, підвищуючи обсяг торгів у пулі, що додатково приваблює роботів для нових інвестицій.

6. Зловмисник здійснив Rug Pull через адресу Rug Puller, безпосередньо витягнувши 38,739,354 Токенів з ліквіднісного пулу через бекдор токена, а потім використав ці токени, щоб знищити пул, витягнувши близько 3.95 Етер.

7. Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.

8. Адреса переказу відправляє кошти на адресу зберігання коштів.

Код для Rug Pull з бекдором

Атакувальники, хоча і намагалися довести зовнішньому світу, що не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили зловмисний бекдор у функції openTrading контракту токена TOMMI. Цей бекдор дозволяє при створенні ліквідності давати адресі Rug Puller право на переказ токенів з ліквідності, що дає можливість адресі Rug Puller безпосередньо забирати токени з ліквідності.

Модель вчинення злочину

Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:

1. Deployer отримує кошти через біржу.

2. Deployer створює ліквідний пул та знищує LP Токен.

3. Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідному пулі.

4. Rug Puller переносить ETH, отримані від Rug Pull, на адресу зберігання коштів.

Ці характеристики загалом присутні в захоплених випадках, що свідчить про те, що поведінка Rug Pull має очевидні модульні риси. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресу зберігання коштів, що натякає на те, що за цими на перший погляд незалежними випадками Rug Pull може стояти одна і та ж група шахраїв або навіть одна і та ж банда.

Група, що здійснює Rug Pull

адреса зберігання фондів для видобутку

Є 7 адресів для зберігання коштів, які пов'язані з 1,124 випадками Rug Pull. Після успішного здійснення шахрайства групи Rug Pull збирають незаконні прибутки на ці адреси для зберігання коштів. Ці адреси для зберігання коштів розподіляють накопичені кошти для створення нових токенів у нових шахрайських схемах Rug Pull, маніпулюючи ліквіднісними пулами та іншими активностями. Крім того, невелика частина накопичених коштів конвертується через біржі або платформи миттєвого обміну.

Ці кошти, що залишилися, пов'язані з адресами, мають загальні витрати в розмірі 149,813.72 Етер, з прибутковістю 188.7%, що становить 282,699.96 Етер, що еквівалентно приблизно 800 мільйонам доларів.

Співвідношення адрес зберігання видобуткових коштів

Аналізуючи рух коштів між адресами зберігання, можна поділити ці адреси на 3 набори. Але ці 3 набори адрес також через один і той же інфраструктурний контракт розділяють ETH для подальших операцій Rug Pull, що робить ці здавалося б розрізнені 3 набори адрес пов'язаними між собою, формуючи єдине ціле. Це може свідчити про те, що ці адреси зберігання коштів насправді належать одній і тій же групі.

Видобуток спільної інфраструктури

Адреси інфраструктури, що спільно використовуються для зберігання коштів, в основному мають два. Один з них містить два основні функціональні методи "multiSendETH" та "0x7a860e7e", які призначені для розподілу переказів та купівлі токенів Rug Pull. Функції іншого адреси інфраструктури схожі.

Ці інфраструктурні рішення мають очевидні характеристики: лише з незначними коштами зберігати адреси або проміжні адреси для розподілу коштів, але через велику кількість інших адрес підробляти обсяги торгівлі токенами Rug Pull.

Витягування джерела фінансування злочину

У всіх 1 124 випадках Rug Pull, що аналізуються, кількість випадків, коли кошти походять із гарячих гаманців бірж, досягла 1 069, що становить 95,11%. Ці бандити Rug Pull зазвичай отримують кошти для злочинної діяльності з кількох гарячих гаманців бірж одночасно, причому ступінь використання кожного гаманця приблизно однаковий.

Видобуток адреси жертви

У випадку аналізу випадків Rug Pull середня кількість адрес жертв становила 26.82. У випадках викликів контрактів для покупки токенів Rug Pull жертвами, крім звичайних способів покупки через Uniswap та MetaMask Swap, 30.40% токенів Rug Pull купувалися через платформи для онлайн-стрільби, такі як Maestro та Banana Gun.

Канали просування токенів Rug Pull

Після дослідження було визначено два можливі рекламні канали для банд, що займаються Rug Pull: Twitter та групи Telegram. Ці групи в Twitter та Telegram не створені спеціально бандами Rug Pull, а існують як базові компоненти в екосистемі нових монет. Вони обслуговуються командами, що управляють ланцюговими снайперськими ботами, або професійними командами нових монет, які спеціально націлені на новачків у сфері нових токенів.

Twitter реклама

Група Rug Pull використовувала деякі нові послуги з просування токенів на третіх платформах, щоб продемонструвати свої токени Rug Pull зовнішньому світу та залучити більше жертв.

Реклама групи в Telegram