揭祕以太坊代幣生態亂象：近五成新幣涉及Rug Pull詐騙

2025-07-12 04:11:29

深入調查Rug Pull案例，揭祕以太坊代幣生態亂象

簡介

在Web3世界中,新代幣不斷湧現。每天究竟有多少新代幣在發行?這些新代幣是否安全?

這些問題並非無故產生。近幾個月來,安全團隊捕捉到了大量Rug Pull交易案例,涉及的代幣無一例外都是剛剛上鏈的新代幣。

經過深入調查,發現背後存在組織化的作案團夥,並總結了這些騙局的模式化特徵。通過分析團夥的作案手法,發現了Rug Pull團夥一種可能的詐騙推廣途徑:Telegram羣組。這些團夥利用羣組中的"New Token Tracer"功能吸引用戶購買詐騙代幣並最終通過Rug Pull牟利。

統計顯示,從2023年11月至2024年8月初期間Telegram羣組共推送93,930種新代幣,其中涉及Rug Pull的代幣有46,526種,佔比49.53%。這些Rug Pull代幣背後團夥的累計投入成本爲149,813.72 ETH,以188.7%的回報率牟利282,699.96 ETH,折合約8億美元。

爲評估Telegram羣組推送的新代幣在以太坊主網中的佔比,統計了相同時間段內以太坊主網上發行的新代幣數據。數據顯示,此期間共有100,260種新代幣發行,其中通過Telegram羣組推送的代幣佔89.99%。平均每天約有370種新代幣誕生,遠超合理預期。深入調查後發現,其中至少48,265種代幣涉及Rug Pull詐騙,佔比48.14%。換言之,以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外,在其他區塊鏈網路中也發現了更多Rug Pull案例。這意味着整個Web3新發代幣生態的安全狀況遠比預期更加嚴峻。因此,撰寫了這份調研報告,希望能幫助所有Web3成員提升防範意識,在面對層出不窮的騙局時保持警惕,並及時採取必要的預防措施,保護好自己的資產安全。

ERC-20 代幣

ERC-20代幣是目前區塊鏈上最常見的代幣標準之一,它定義了一組規範,使得代幣可以在不同的智能合約和去中心化應用程式之間進行互操作。ERC-20標準規定了代幣的基本功能,例如轉帳、查詢餘額、授權第三方管理代幣等。由於這一標準化的協議,開發者可以更輕鬆地發行和管理代幣,從而簡化了代幣的創建和使用。實際上,任何個人或組織都可以基於ERC-20標準發行自己的代幣,並通過預售代幣爲各種金融項目籌集啓動資金。正因爲ERC-20代幣的廣泛應用,它成爲了許多ICO和去中心化金融項目的基礎。

我們熟悉的USDT、PEPE、DOGE都屬於ERC-20代幣,用戶可以通過去中心化交易所購買這些代幣。然而,某些詐騙團夥也可能自行發行帶有代碼後門的惡意ERC-20代幣,將其上架到去中心化交易所,再誘導用戶進行購買。

Rug Pull代幣的典型詐騙案例

以下是一個Rug Pull代幣的詐騙案例,深入了解惡意代幣詐騙的運營模式。首先需要說明,Rug Pull是指項目方在去中心化金融項目中,突然抽走資金或放棄項目,導致投資者蒙受巨大損失的欺詐行爲。而Rug Pull代幣則是專門爲實施這種詐騙行爲而發行的代幣。

案例

攻擊者用Deployer地址部署TOMMI代幣,然後用1.5個ETH和100,000,000個TOMMI創建流動性池,並通過其他地址主動購買TOMMI代幣來僞造流動性池交易量以吸引用戶和鏈上的打新機器人購買TOMMI代幣。當有一定數量的打新機器人上當後,攻擊者用Rug Puller地址來執行Rug Pull,Rug Puller用38,739,354TOMMI代幣砸流動性池,兌換出約3.95個ETH。Rug Puller的代幣來源於TOMMI代幣合約的惡意Approve授權,TOMMI代幣合約部署時會爲Rug Puller授予流動性池的approve權限,這使得Rug Puller可以直接從流動性池裏轉出TOMMI代幣然後進行Rug Pull。

Rug Pull過程

準備攻擊資金。攻擊者通過某交易所,向Token Deployer充值2.47309009ETH作爲Rug Pull的啓動資金。
部署帶後門的Rug Pull代幣。Deployer創建TOMMI代幣,預挖100,000,000個代幣並分配給自身。
創建初始流動性池。Deployer用1.5個ETH和預挖的所有代幣創建流動性池,獲得了約0.387個LP代幣。
銷毀所有預挖的Token供應量。Token Deployer將所有LP代幣發送至0地址銷毀,由於TOMMI合約中沒有Mint功能,因此此時Token Deployer理論上已經失去了Rug Pull能力。
僞造交易量。攻擊者用多個地址主動從流動性池中購買TOMMI代幣,炒高池子的交易量,進一步吸引打新機器人入場。
攻擊者通過Rug Puller地址發起Rug Pull,通過token的後門直接從流動性池中轉出38,739,354個代幣,然後再用這些代幣砸池子,套出約3.95個ETH。
攻擊者將Rug Pull所得資金發送至中轉地址。
中轉地址將資金發送至資金留存地址。

Rug Pull代碼後門

攻擊者雖然已經通過銷毀LP代幣來試圖向外界證明他們沒辦法進行Rug Pull,但是實際上攻擊者卻在TOMMI代幣合約的openTrading函數中留下一個惡意approve的後門,這個後門會在創建流動性池時讓流動性池向Rug Puller地址approve代幣的轉移權限,使得Rug Puller地址可以直接從流動性池中轉走代幣。

作案模式化

通過分析TOMMI案例,我們可以總結出以下4個特點:

Deployer通過交易所獲取資金。
Deployer創建流動性池並銷毀LP代幣。
Rug Puller用大量代幣兌換流動性池中的ETH。
Rug Puller將Rug Pull獲得的ETH轉移至資金留存地址。

這些特點普遍存在於捕獲的案例中,表明Rug Pull行爲有着明顯的模式化特徵。此外,在完成Rug Pull後,資金通常會被匯集到一個資金留存地址,這暗示這些看似獨立的Rug Pull案例背後可能涉及同一批甚至同一個詐騙團夥。

Rug Pull作案團夥

挖掘資金留存地址

共有7個資金留存地址,這些地址關聯的Rug Pull案例共有1,124個。Rug Pull團夥在成功實施騙局後,會將非法獲利匯集至這些資金留存地址。而這些資金留存地址會將沉澱資金進行拆分,用於未來新的Rug Pull騙局中創建新代幣、操縱流動性池等活動。此外,一小部分沉澱資金則通過交易所或閃兌平台進行套現。

這些資金留存地址關聯案例的累計投入成本爲149,813.72 ETH,以188.7%的回報率牟利282,699.96 ETH,折合約8億美元。

挖掘資金留存地址間關聯

通過分析資金留存地址之間的資金流動情況,可以將這些地址劃分爲3個地址集合。但這3個地址集合卻都通過同樣的基礎設施合約拆分ETH進行後續的Rug Pull操作,這使得原本看似松散的3個地址集合聯繫在一起,形成一個整體。這可能表明這些資金留存地址背後實際上屬於同一個團夥。

挖掘共用基礎設施

資金留存地址共用的基礎設施地址主要有兩個。其中一個包含"multiSendETH"和"0x7a860e7e"兩個主要功能函數,用於進行拆分轉帳和購買Rug Pull代幣。另一個基礎設施地址的功能類似。

這些基礎設施的使用具有明顯特點:僅用少量的資金留存地址或中轉地址來拆分資金,但通過大量其他地址僞造Rug Pull代幣的交易量。

挖掘作案資金來源

在分析的所有1,124個Rug Pull案例中,資金來源於交易所熱錢包的案例數量達到了1,069個,佔比95.11%。這些Rug Pull團夥往往同時從多個交易所熱錢包獲取作案資金,且各錢包的使用程度大致相當。

挖掘受害者地址

在分析的Rug Pull案例中,平均每個案例的受害地址數量爲26.82個。在受害地址購買Rug Pull代幣的合約調用情況中,除了通過Uniswap和MetaMask Swap等較爲常規的購買方式外,還有30.40%的Rug Pull代幣是通過Maestro和Banana Gun等鏈上狙擊機器人平台進行購買的。