揭秘以太坊代币生态乱象：近五成新币涉及Rug Pull诈骗

2025-07-12 04:11:29

深入调查Rug Pull案例，揭秘以太坊代币生态乱象

简介

在Web3世界中,新代币不断涌现。每天究竟有多少新代币在发行?这些新代币是否安全?

这些问题并非无故产生。近几个月来,安全团队捕捉到了大量Rug Pull交易案例,涉及的代币无一例外都是刚刚上链的新代币。

经过深入调查,发现背后存在组织化的作案团伙,并总结了这些骗局的模式化特征。通过分析团伙的作案手法,发现了Rug Pull团伙一种可能的诈骗推广途径:Telegram群组。这些团伙利用群组中的"New Token Tracer"功能吸引用户购买诈骗代币并最终通过Rug Pull牟利。

统计显示,从2023年11月至2024年8月初期间Telegram群组共推送93,930种新代币,其中涉及Rug Pull的代币有46,526种,占比49.53%。这些Rug Pull代币背后团伙的累计投入成本为149,813.72 ETH,以188.7%的回报率牟利282,699.96 ETH,折合约8亿美元。

为评估Telegram群组推送的新代币在以太坊主网中的占比,统计了相同时间段内以太坊主网上发行的新代币数据。数据显示,此期间共有100,260种新代币发行,其中通过Telegram群组推送的代币占89.99%。平均每天约有370种新代币诞生,远超合理预期。深入调查后发现,其中至少48,265种代币涉及Rug Pull诈骗,占比48.14%。换言之,以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

此外,在其他区块链网络中也发现了更多Rug Pull案例。这意味着整个Web3新发代币生态的安全状况远比预期更加严峻。因此,撰写了这份调研报告,希望能帮助所有Web3成员提升防范意识,在面对层出不穷的骗局时保持警惕,并及时采取必要的预防措施,保护好自己的资产安全。

ERC-20 代币

ERC-20代币是目前区块链上最常见的代币标准之一,它定义了一组规范,使得代币可以在不同的智能合约和去中心化应用程序之间进行互操作。ERC-20标准规定了代币的基本功能,例如转账、查询余额、授权第三方管理代币等。由于这一标准化的协议,开发者可以更轻松地发行和管理代币,从而简化了代币的创建和使用。实际上,任何个人或组织都可以基于ERC-20标准发行自己的代币,并通过预售代币为各种金融项目筹集启动资金。正因为ERC-20代币的广泛应用,它成为了许多ICO和去中心化金融项目的基础。

我们熟悉的USDT、PEPE、DOGE都属于ERC-20代币,用户可以通过去中心化交易所购买这些代币。然而,某些诈骗团伙也可能自行发行带有代码后门的恶意ERC-20代币,将其上架到去中心化交易所,再诱导用户进行购买。

Rug Pull代币的典型诈骗案例

以下是一个Rug Pull代币的诈骗案例,深入了解恶意代币诈骗的运营模式。首先需要说明,Rug Pull是指项目方在去中心化金融项目中,突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。而Rug Pull代币则是专门为实施这种诈骗行为而发行的代币。

案例

攻击者用Deployer地址部署TOMMI代币,然后用1.5个ETH和100,000,000个TOMMI创建流动性池,并通过其他地址主动购买TOMMI代币来伪造流动性池交易量以吸引用户和链上的打新机器人购买TOMMI代币。当有一定数量的打新机器人上当后,攻击者用Rug Puller地址来执行Rug Pull,Rug Puller用38,739,354TOMMI代币砸流动性池,兑换出约3.95个ETH。Rug Puller的代币来源于TOMMI代币合约的恶意Approve授权,TOMMI代币合约部署时会为Rug Puller授予流动性池的approve权限,这使得Rug Puller可以直接从流动性池里转出TOMMI代币然后进行Rug Pull。

Rug Pull过程

准备攻击资金。攻击者通过某交易所,向Token Deployer充值2.47309009ETH作为Rug Pull的启动资金。
部署带后门的Rug Pull代币。Deployer创建TOMMI代币,预挖100,000,000个代币并分配给自身。
创建初始流动性池。Deployer用1.5个ETH和预挖的所有代币创建流动性池,获得了约0.387个LP代币。
销毁所有预挖的Token供应量。Token Deployer将所有LP代币发送至0地址销毁,由于TOMMI合约中没有Mint功能,因此此时Token Deployer理论上已经失去了Rug Pull能力。
伪造交易量。攻击者用多个地址主动从流动性池中购买TOMMI代币,炒高池子的交易量,进一步吸引打新机器人入场。
攻击者通过Rug Puller地址发起Rug Pull,通过token的后门直接从流动性池中转出38,739,354个代币,然后再用这些代币砸池子,套出约3.95个ETH。
攻击者将Rug Pull所得资金发送至中转地址。
中转地址将资金发送至资金留存地址。

Rug Pull代码后门

攻击者虽然已经通过销毁LP代币来试图向外界证明他们没办法进行Rug Pull,但是实际上攻击者却在TOMMI代币合约的openTrading函数中留下一个恶意approve的后门,这个后门会在创建流动性池时让流动性池向Rug Puller地址approve代币的转移权限,使得Rug Puller地址可以直接从流动性池中转走代币。

作案模式化

通过分析TOMMI案例,我们可以总结出以下4个特点:

Deployer通过交易所获取资金。
Deployer创建流动性池并销毁LP代币。
Rug Puller用大量代币兑换流动性池中的ETH。
Rug Puller将Rug Pull获得的ETH转移至资金留存地址。

这些特点普遍存在于捕获的案例中,表明Rug Pull行为有着明显的模式化特征。此外,在完成Rug Pull后,资金通常会被汇集到一个资金留存地址,这暗示这些看似独立的Rug Pull案例背后可能涉及同一批甚至同一个诈骗团伙。

Rug Pull作案团伙

挖掘资金留存地址

共有7个资金留存地址,这些地址关联的Rug Pull案例共有1,124个。Rug Pull团伙在成功实施骗局后,会将非法获利汇集至这些资金留存地址。而这些资金留存地址会将沉淀资金进行拆分,用于未来新的Rug Pull骗局中创建新代币、操纵流动性池等活动。此外,一小部分沉淀资金则通过交易所或闪兑平台进行套现。

这些资金留存地址关联案例的累计投入成本为149,813.72 ETH,以188.7%的回报率牟利282,699.96 ETH,折合约8亿美元。

挖掘资金留存地址间关联

通过分析资金留存地址之间的资金流动情况,可以将这些地址划分为3个地址集合。但这3个地址集合却都通过同样的基础设施合约拆分ETH进行后续的Rug Pull操作,这使得原本看似松散的3个地址集合联系在一起,形成一个整体。这可能表明这些资金留存地址背后实际上属于同一个团伙。

挖掘共用基础设施

资金留存地址共用的基础设施地址主要有两个。其中一个包含"multiSendETH"和"0x7a860e7e"两个主要功能函数,用于进行拆分转账和购买Rug Pull代币。另一个基础设施地址的功能类似。

这些基础设施的使用具有明显特点:仅用少量的资金留存地址或中转地址来拆分资金,但通过大量其他地址伪造Rug Pull代币的交易量。

挖掘作案资金来源

在分析的所有1,124个Rug Pull案例中,资金来源于交易所热钱包的案例数量达到了1,069个,占比95.11%。这些Rug Pull团伙往往同时从多个交易所热钱包获取作案资金,且各钱包的使用程度大致相当。

挖掘受害者地址

在分析的Rug Pull案例中,平均每个案例的受害地址数量为26.82个。在受害地址购买Rug Pull代币的合约调用情况中,除了通过Uniswap和MetaMask Swap等较为常规的购买方式外,还有30.40%的Rug Pull代币是通过Maestro和Banana Gun等链上狙击机器人平台进行购买的。