إثيريوم جديدة عملة بيئة تحقيق: ما يقرب من نصف تتعلق بعمليات الاحتيال Rug Pull بمبلغ 8 مليار دولار

تحقيق عميق في حالات سحب البساط، كشف عن الفوضى في نظام عملات إثيريوم

مقدمة

في عالم Web3، تظهر عملات جديدة باستمرار. هل تساءلت يومًا عن عدد العملات الجديدة التي تُصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟

هذه الأسئلة ليست بلا أساس. على مدار الأشهر القليلة الماضية، قامت فرق الأمان بالتقاط عدد كبير من حالات عمليات السحب الاحتيالية. ومن الجدير بالذكر أن جميع العملات التي تم التعامل معها في هذه الحالات هي عملات جديدة تم إدراجها على السلسلة للتو.

بعد ذلك، قام فريق الأمان بإجراء تحقيقات معمقة حول حالات السحب rug pull هذه، واكتشفوا وجود عصابات منظمة وراءها، وقاموا بتلخيص الخصائص النموذجية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات، تم اكتشاف طريقة محتملة للترويج للاحتيال من قبل عصابات السحب rug pull: مجموعات تلغرام. تستغل هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الربح من خلال السحب rug pull.

تشير الإحصائيات إلى أنه خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، قامت هذه المجموعات على تيليجرام بدفع 93,930 عملة جديدة، حيث بلغ عدد العملات التي تتعلق بـ Rug Pull 46,526، مما يمثل نسبة تصل إلى 49.53%. وفقًا للإحصاءات، فإن التكلفة الإجمالية المستثمرة من قبل العصابات وراء هذه العملات الـ Rug Pull بلغت 149,813.72 ايثر، وحققت أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد يصل إلى 188.7%، وهو ما يعادل حوالي 800 مليون دولار.

تحقيق عميق في حالات السحب المفاجئ، كشف عن الفوضى في نظام عملات إثيريوم

لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعات تليجرام في شبكة إثيريوم الرئيسية، قامت الفرق الأمنية بإحصاء بيانات العملات الجديدة التي أصدرت على شبكة إثيريوم الرئيسية خلال نفس الفترة. تظهر البيانات أنه خلال هذه الفترة تم إصدار إجمالي 100,260 عملة جديدة، حيث تمثل العملات المدفوعة عبر مجموعات تليجرام 89.99% من الشبكة الرئيسية. وُلدت حوالي 370 عملة جديدة في المتوسط يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيقات متعمقة مستمرة، كانت الحقيقة مقلقة - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن واحدًا من كل عملتين جديدتين على شبكة إثيريوم الرئيسية تقريبًا متورط في الاحتيال.

تحقيق متعمق في حالات سحب البساط، يكشف عن فوضى بيئة عملات إثيريوم

بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني ​​لإيكولوجيا الرموز الجديدة في Web3 أكثر خطورة مما كان متوقعًا، وليس فقط في شبكة إثيريوم الرئيسية. لذلك، يهدف هذا التقرير إلى مساعدة جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء يقظين في مواجهة الفخاخ المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.

رموز ERC-20 (عملة)

قبل أن نبدأ هذا التقرير رسميًا، دعونا نفهم بعض المفاهيم الأساسية.

تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على blockchain حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملات، مثل التحويل، واستعلام الرصيد، وتفويض الطرف الثالث لإدارة العملة، وما إلى ذلك. وبفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20 وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.

تعتبر USDT و PEPE و DOGE التي نعرفها جميعًا عملات ERC-20، حيث يمكن للمستخدمين شراء هذه العملات عبر بورصات لامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، ثم إدراجها في بورصات لامركزية، مما يغري المستخدمين للشراء.

حالات الاحتيال النموذجية لعملات السحب المفاجئ

هنا، نستخدم حالة احتيال لعملة Rug Pull للتعمق في نمط تشغيل الاحتيال بالعملات الخبيثة. أولاً، من المهم توضيح أن Rug Pull تشير إلى تصرف احتيالي حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما تُعتبر عملة Rug Pull عملة مُصدَرة خصيصًا لتنفيذ هذا النوع من الاحتيال.

العملات المذكورة في هذه المقالة، تُعرف أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة خدعة الخروج (Exit Scam)"، لكن في النص أدناه سنسميها موحدة عملة Rug Pull.

حالة

المهاجمون (عصابة السحب rug pull) قاموا بنشر عملة TOMMI باستخدام عنوان Deployer، ثم أنشأوا حوض السيولة باستخدام 1.5 من ايثر و 100,000,000 من TOMMI، وشراء عملة TOMMI بنشاط من عناوين أخرى لتزيف حجم معاملات حوض السيولة لجذب المستخدمين وروبوتات الضخ على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الضخ في الفخ، يقوم المهاجم بتنفيذ السحب rug pull باستخدام عنوان Rug Puller، حيث يقوم Rug Puller بطرح 38,739,354 من عملة TOMMI في حوض السيولة، مما يستبدل حوالي 3.95 من ايثر. مصدر عملات Rug Puller يأتي من تفويض approve الخبيث لعقد عملة TOMMI، حيث يتم منح Rug Puller إذن approve لحوض السيولة عند نشر عقد عملة TOMMI، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ السحب rug pull.

عملية سحب السجادة

  1. إعداد أموال الهجوم.

المهاجم قام بإعادة شحن 2.47309009 ايثر إلى مُنشئ العملة من خلال بورصة معينة كأموال بدء لعملية السحب.

  1. نشر عملة Rug Pull بها ثغرات.

قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة مسبقًا وتوزيعها على نفسه.

  1. إنشاء حوض السيولة الأولي.

قام المطور بإنشاء صندوق سيولة باستخدام 1.5 ايثر وجميع العملات المستخرجة مسبقًا، وحصل على حوالي 0.387 من عملة LP.

  1. تدمير جميع إمدادات العملة المسبقة.

سيقوم Token Deployer بإرسال جميع LP عملات إلى العنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (هذا هو أيضًا واحد من الشروط الضرورية لجذب روبوتات الاستثمار، حيث ستقوم بعض روبوتات الاستثمار بتقييم ما إذا كانت العملات الجديدة في المسبح تواجه خطر Rug Pull، كما أن Deployer قد قام بتعيين مالك العقد إلى العنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاستثمار).

  1. حجم المعاملات المزيف.

المهاجمون يقومون بنشاط شراء عملة TOMMI من بركة السيولة باستخدام عدة عناوين، مما يرفع من حجم التداول في البركة، ويجذب المزيد من روبوتات الاستثمار (الأساس في تحديد أن هذه العناوين هي للمهاجمين هو أن الأموال المرتبطة بهذه العناوين تأتي من العناوين التاريخية لتحويل الأموال الخاصة بعصابة Rug Pull).

  1. قام المهاجم بشن هجوم Rug Pull عبر عنوان Rug Puller، حيث قام بسحب 38,739,354 عملة مباشرة من حوض السيولة من خلال ثغرة في الرمز، ثم استخدم هذه العملات لضرب الحوض وسحب حوالي 3.95 إيثر.

  2. المهاجم يرسل الأموال التي حصل عليها من سحب البساط إلى عنوان وسيط.

  3. عنوان التحويل سيقوم بإرسال الأموال إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه عندما تكتمل عملية السحب المفاجئ، سيقوم الساحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو نقطة تجميع الأموال للعديد من حالات السحب المفاجئ التي تم رصدها، حيث سيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب باقي الأموال الصغيرة عبر أحد البورصات.

تحقيق عميق في حالات سحب البساط، كشف الفوضى في نظام عملات إثيريوم

كود ثغرة سحب السجادة

على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ سحب بساط من خلال تدمير عملات LP، إلا أن المهاجمين تركوا في الواقع باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء تجمع السيولة بتفويض نقل العملات إلى عنوان ساحب البساط، مما يمكن عنوان ساحب البساط من سحب العملات مباشرة من تجمع السيولة.

نمط الجريمة

من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:

  1. يقوم المهاجم أولاً بتوفير مصدر الأموال لعنوان المنشئ (Deployer) من خلال إحدى البورصات.

  2. يقوم المنشئ بإنشاء حوض السيولة وحرق عملات LP: بعد أن يقوم المنشئ بإنشاء عملة Rug Pull، يقوم على الفور بإنشاء حوض السيولة لها، وحرق عملات LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.

  3. Rug Puller يقوم بتبادل كمية كبيرة من العملات في صندوق السيولة للحصول على ETH: عنوان Rug Pull (Rug Puller) يستخدم كمية كبيرة من العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي المعروض من العملات) لتبادلها مع ETH في صندوق السيولة. في حالات أخرى، قد يقوم Rug Puller أيضًا بإزالة السيولة للحصول على ETH من الصندوق.

  4. يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا من خلال عنوان وسيط كوسيلة انتقال.

توجد هذه الخصائص بشكل عام في الحالات الملتقطة، مما يشير إلى أن سلوك سحب السجادة لديه خصائص نمطية واضحة. بالإضافة إلى ذلك، بعد إكمال سحب السجادة، يتم عادة تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات المستقلة الظاهرة من سحب السجادة قد تتضمن نفس المجموعة أو حتى نفس العصابة المحتالة.

استنادًا إلى هذه الخصائص، تم استخراج نمط سلوك لسحب السجادة، وتم استخدام هذا النمط لفحص الحالات التي تم رصدها، على أمل بناء صورة محتملة لعصابات الاحتيال.

عصابة سحب السجادة

عنوان احتفاظ أموال التعدين

كما هو مذكور سابقًا، عادةً ما تجمع حالات الغش (Rug Pull) الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. بناءً على هذا النموذج، تم اختيار عدد من عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بخصائص أسلوب الجريمة المرتبطة بها، لإجراء تحليل متعمق.

هناك سبعة عناوين محتفظ بها للأموال ظهرت في الأفق، وارتبطت هذه العناوين بـ 1,124 حالة من حالات الاحتيال المتعلقة بسحب البساط، والتي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ الاحتيال بنجاح، تقوم عصابة سحب البساط بتجميع الأرباح غير القانونية في هذه العناوين المحتفظ بها للأموال. وستقوم هذه العناوين بتقسيم الأموال المحتفظ بها لاستخدامها في إنشاء عملات جديدة في عمليات الاحتيال المستقبلية، والتلاعب في برك السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتفظ بها إلى نقد من خلال بورصة أو منصة تبادل سريع.

في عملية احتيال Rug Pull كاملة، عادة ما يستخدم عصابة Rug Pull عنواناً واحداً كمنشئ لعملة Rug Pull، ويقومون بسحب الأموال من خلال تبادل للحصول على رأس المال اللازم لإنشاء عملة Rug Pull وحوض السيولة المناسب. عندما يجذبون عددًا كافيًا من المستخدمين أو روبوتات الشراء الجديدة التي تستخدم ETH لشراء عملة Rug Pull، ستقوم عصابة Rug Pull باستخدام عنوان آخر كمنفذ لعملية Rug Pull لنقل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.

يجب الإشارة إلى أن عصابة سحب البساط عند تنفيذ الاحتيال، تقوم أيضًا بشكل نشط بشراء عملة سحب البساط التي أنشأتها باستخدام ايثر، لمحاكاة أنشطة تجميع السيولة الطبيعية، وبالتالي جذب روبوتات الشراء الجديدة. لكن هذه التكلفة لم تُدرج في الحساب، لذا ستكون الأرباح الفعلية منخفضة نسبيًا.

في الواقع، حتى لو تم تجميع الأموال في عناوين احتفاظ مختلفة، فإنه لا يزال هناك شك كبير بأن هذه العناوين المرتبطة بحالات مختلفة تشترك في الكثير من القواسم المشتركة (مثل طريقة تنفيذ ثغرة Rug Pull، ومسارات تحويل الأموال، وغيرها)، مما يشير إلى أن هذه العناوين قد تنتمي إلى نفس المجموعة.

ارتباط عنوان احتفاظ أموال التعدين

مؤشر هام لتحديد ما إذا كانت هناك علاقة بين عناوين الاحتفاظ بالأموال هو فحص ما إذا كانت هناك علاقات تحويل مباشرة بين هذه العناوين. للتحقق من العلاقة بين عناوين الاحتفاظ بالأموال، تم الزحف وتحليل سجلات المعاملات التاريخية لهذه العناوين.

في معظم الحالات التي تم تحليلها في الماضي، فإن عائدات كل عملية احتيال من نوع Rug Pull ستتجه في النهاية فقط إلى عنوان محتفظ بالتمويل واحد، ومن المستحيل محاولة ربط عناوين المحتفظ بالتمويل المختلفة من خلال تتبع اتجاهات عائدات الأموال، لذلك، يجب فحص حركة الأموال بين هذه العناوين المحتفظ بها حتى يمكن الحصول على الارتباط المباشر بينها.

يجب الإشارة إلى أن بعض العناوين هي أموال متروكة.

شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • 6
  • مشاركة
تعليق
0/400
MondayYoloFridayCryvip
· منذ 7 س
حمقى حمقى خداع الناس لتحقيق الربح واحدة تلو الأخرى
شاهد النسخة الأصليةرد0
CryptoGoldminevip
· منذ 9 س
راقب التغيرات بصمت، العوائد أفضل من الأولوية، يجب أن تكون حذرًا في الاستثمار
شاهد النسخة الأصليةرد0
OnchainHolmesvip
· منذ 9 س
فخ قديم لا زال هناك من يصدق.
شاهد النسخة الأصليةرد0
DefiSecurityGuardvip
· منذ 9 س
*sigh* يوم آخر، ووعاء العسل آخر لتحليله... أكره أن أقول "قلت لكم ذلك" لكن ماسحات وعاء العسل الخاصة بنا حذرت من 73% من هذه "التوكنات الجديدة" في الشهر الماضي فقط. DYOR يا أناس، بجد.
شاهد النسخة الأصليةرد0
TokenAlchemistvip
· منذ 9 س
لول، يوم آخر، سحب آخر... المخاطر غير المتماثلة تظهر في كل مكان بصراحة
شاهد النسخة الأصليةرد0
GhostChainLoyalistvip
· منذ 9 س
لقد خسرت كل شيء مرة أخرى.
شاهد النسخة الأصليةرد0
  • تثبيت