Enquête approfondie sur les cas de Rug Pull, révélant les anomalies de l'écosystème des jetons Ethereum

Introduction

Dans le monde de Web3, de nouveaux jetons émergent constamment. Avez-vous déjà pensé à combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?

Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé de nombreux cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont, sans exception, de nouveaux jetons qui viennent d'être mis en chaîne.

Ensuite, l'équipe de sécurité a mené une enquête approfondie sur ces cas de Rug Pull, découvrant qu'il existait des gangs organisés derrière eux, et a résumé les caractéristiques schématiques de ces arnaques. En analysant en profondeur les méthodes de ces gangs, une possible voie de promotion de l'escroquerie du Rug Pull a été identifiée : les groupes Telegram. Ces gangs utilisent la fonction "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des bénéfices grâce au Rug Pull.

Des statistiques montrent qu'entre novembre 2023 et début août 2024, ces groupes Telegram ont lancé 93,930 nouveaux jetons, dont 46,526 étaient des jetons associés à des Rug Pull, représentant 49,53 %. Selon les statistiques, le coût total investi par les groupes derrière ces jetons Rug Pull s'élève à 149,813.72 Éther, générant un profit de 282,699.96 Éther avec un taux de retour atteignant 188.7 %, soit environ 800 millions de dollars.

Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram sur le réseau principal Ethereum, l'équipe de sécurité a compilé les données des nouveaux jetons émis sur le réseau principal Ethereum pendant la même période. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont les jetons poussés par les groupes Telegram représentent 89,99 % du réseau principal. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après une enquête approfondie, la vérité trouvée est troublante : au moins 48 265 jetons sont impliqués dans des escroqueries Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.

De plus, d'autres réseaux blockchain ont également révélé davantage de cas de Rug Pull. Cela signifie que non seulement le réseau principal Ethereum, mais la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu. Par conséquent, ce rapport vise à aider tous les membres de Web3 à renforcer leur conscience de prévention, à rester vigilants face aux escroqueries incessantes et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.

Jeton ERC-20

Avant de commencer ce rapport, prenons un moment pour comprendre quelques concepts de base.

Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain actuellement. Ils définissent un ensemble de normes qui permettent aux jetons d'interagir entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctionnalités de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de tiers à gérer les jetons. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En pratique, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers via la prévente de jetons. C'est précisément à cause de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux projets ICO et de finance décentralisée.

Les USDT, PEPE et DOGE que nous connaissons sont des jetons ERC-20, que les utilisateurs peuvent acheter via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les listant sur des échanges décentralisés et incitant les utilisateurs à les acheter.

Cas typique de fraude avec des jetons Rug Pull

Ici, nous empruntons un exemple de fraude avec un jeton Rug Pull pour approfondir notre compréhension des modes opératoires des fraudes par jetons malveillants. Tout d'abord, il convient de préciser que Rug Pull désigne un acte frauduleux où l'équipe du projet retire soudainement des fonds ou abandonne le projet dans le cadre de projets de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton spécialement émis pour mettre en œuvre ce type de fraude.

Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans ce qui suit, nous les appellerons uniformément des jetons Rug Pull.

cas

Les attaquants (le gang Rug Pull) ont déployé le jeton TOMMI avec l'adresse Deployer, puis ont créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et ont acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de prévente sur la chaîne à acheter des jetons TOMMI. Lorsque qu'un certain nombre de robots de prévente sont piégés, les attaquants utilisent l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour détruire le pool de liquidité et échanger environ 3,95 ETH. La source des jetons du Rug Puller provient de l'approbation malveillante du contrat du jeton TOMMI, lorsque le contrat du jeton TOMMI est déployé, il accorde à Rug Puller les droits d'approbation du pool de liquidité, ce qui permet à Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.

processus de Rug Pull

1. Préparez les fonds d'attaque.

L'attaquant a rechargé 2.47309009 Éther vers le Token Deployer via un échange en tant que capital de démarrage pour un Rug Pull.

2. Déployer un jeton Rug Pull avec une porte dérobée.

Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.

3. Créer un pool de liquidité initial.

Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.

4. Détruire l'ensemble de l'approvisionnement en Jetons pré-minés.

Le Déployeur de Jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Déployeur de Jetons a théoriquement perdu sa capacité de Rug Pull à ce stade. (C'est aussi l'une des conditions nécessaires pour attirer les robots de prévente, certains robots de prévente évaluent si les jetons nouvellement ajoutés au pool présentent un risque de Rug Pull. Le Déployeur a également réglé le propriétaire du contrat sur l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de prévente).

5. Volume de transactions falsifié.

Des attaquants achètent activement des jetons TOMMI à partir de plusieurs adresses du pool de liquidité, augmentant le volume des transactions du pool pour attirer davantage les robots de nouvelle émission (la preuve que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent des adresses de transfert de fonds historiques du groupe Rug Pull).

6. L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, en transférant directement 38,739,354 jetons du pool de liquidité par la porte dérobée du token, puis a utilisé ces jetons pour frapper le pool, retirant environ 3,95 Éther.

7. L'attaquant envoie les fonds obtenus par le Rug Pull à l'adresse de transit.

8. L'adresse de transit enverra les fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après qu'un Rug Pull soit terminé, le Rug Puller enverra les fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds d'un grand nombre de cas de Rug Pull détectés, cette adresse de conservation des fonds divisera la majeure partie des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite quantité de fonds sera retirée via une certaine plateforme d'échange.

code de porte dérobée Rug Pull

Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant les jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI, cette porte dérobée permettra, lors de la création du pool de liquidités, d'approuver le transfert des jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidités.

Mode opératoire

En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :

1. Le Deployer obtient des fonds par l'intermédiaire d'un échange : l'attaquant fournit d'abord une source de financement à l'adresse du Deployer via un échange.

2. Le déployeur crée un pool de liquidités et détruit les jetons LP : Après avoir créé le jeton Rug Pull, le déployeur créera immédiatement un pool de liquidités pour celui-ci et détruira les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.

3. Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidités : l'adresse Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger de l'ETH dans le pool de liquidités. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.

4. Rug Puller transfère l'ETH obtenu par Rug Pull vers l'adresse de conservation des fonds : le Rug Puller transférera l'ETH acquis vers l'adresse de conservation des fonds, parfois en utilisant une adresse intermédiaire pour la transition.

Les caractéristiques mentionnées ci-dessus sont généralement présentes dans les cas capturés, ce qui indique que les comportements de Rug Pull présentent des caractéristiques de modélisation évidentes. De plus, après la réalisation d'un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.

Sur la base de ces caractéristiques, un modèle de comportement de Rug Pull a été extrait et ce modèle a été utilisé pour scanner les cas détectés, dans le but de construire un profil potentiel des groupes de fraude.

Gang de Rug Pull

adresse de conservation des fonds de minage

Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement des fonds à la fin sur des adresses de conservation des fonds. Sur la base de ce modèle, plusieurs adresses de conservation des fonds, très actives et présentant clairement des caractéristiques de méthode d'infraction, ont été sélectionnées pour une analyse approfondie.

Il y a 7 adresses de conservation de fonds qui sont apparues, associées à 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques en chaîne. Après avoir réussi à mettre en œuvre une escroquerie, les gangsters du Rug Pull rassemblent les bénéfices illégaux sur ces adresses de conservation de fonds. Ces adresses de conservation de fonds vont diviser les fonds accumulés pour créer de nouveaux jetons dans de futures escroqueries de Rug Pull, manipuler des pools de liquidités et d'autres activités. De plus, une petite partie des fonds accumulés est liquidée via une certaine plateforme d'échange ou de conversion instantanée.

Dans une escroquerie complète de Rug Pull, le gang de Rug Pull utilise généralement une adresse comme déployeur (Deployer) du jeton Rug Pull et retire des fonds d'un échange pour créer le jeton Rug Pull et le pool de liquidité correspondant. Une fois qu'un nombre suffisant d'utilisateurs ou de bots d'achat utilise de l'Éther pour acheter le jeton Rug Pull, le gang de Rug Pull utilise une autre adresse comme exécuteur de Rug Pull (Rug Puller) pour transférer les fonds obtenus vers une adresse de conservation des fonds.

Il convient de noter que les groupes de Rug Pull, lorsqu'ils mettent en œuvre une arnaque, achètent également activement des jetons Rug Pull qu'ils ont créés avec de l'ETH pour simuler des activités normales de pool de liquidités, afin d'attirer les robots d'achat. Cependant, ce coût n'est pas pris en compte dans les calculs, donc le profit réel sera relativement faible.

En réalité, même si les fonds finissent par être regroupés dans différentes adresses de conservation des fonds, en raison des nombreuses similarités entre les cas associés à ces adresses (comme les méthodes d'implémentation de backdoor pour Rug Pull, les chemins de cash-out, etc.), il est toujours fortement suspecté que ces adresses de conservation des fonds pourraient appartenir au même groupe.

lien entre l'adresse de conservation des fonds de minage

Un indicateur important pour déterminer s'il existe une corrélation entre les adresses de conservation des fonds est de vérifier s'il existe une relation de transfert directe entre ces adresses. Pour valider la corrélation entre les adresses de conservation des fonds, des enregistrements de transactions historiques de ces adresses ont été récupérés et analysés.

Dans la plupart des cas analysés dans le passé, les bénéfices de chaque escroquerie de Rug Pull finissent par ne couler que vers un seul adresse de conservation des fonds. Il est impossible d'établir un lien entre différentes adresses de conservation des fonds en suivant le flux des fonds de bénéfice. Par conséquent, il est nécessaire de détecter les mouvements de fonds entre ces adresses de conservation pour obtenir une association directe entre elles.

Il convient de préciser que certaines adresses sont des fonds laissés.