Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de Tokens do Ethereum

Introdução

No mundo Web3, novos tokens estão constantemente surgindo. Já pensou quantos novos tokens são emitidos todos os dias? Esses novos tokens são seguros?

Essas dúvidas não surgem do nada. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações Rug Pull. Vale a pena notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.

Em seguida, a equipe de segurança realizou uma investigação aprofundada sobre esses casos de Rug Pull e descobriu a existência de uma quadrilha organizada por trás deles, resumindo as características padronizadas desses golpes. Através de uma análise aprofundada das táticas utilizadas por essas quadrilhas, foi descoberta uma possível via de promoção de fraudes dos grupos Rug Pull: grupos do Telegram. Essas quadrilhas utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar com o Rug Pull.

Estatísticas mostram que, entre novembro de 2023 e o início de agosto de 2024, esses grupos do Telegram enviaram um total de 93.930 novos Tokens, dos quais 46.526 Tokens estavam envolvidos em Rug Pull, representando uma alta de 49,53%. Segundo as estatísticas, o custo acumulado investido pelos grupos por trás desses Tokens Rug Pull foi de 149.813,72 ETH, obtendo um lucro de 282.699,96 ETH com uma taxa de retorno de até 188,7%, o que equivale a cerca de 800 milhões de dólares.

Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, a equipe de segurança compilou dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, durante esse período, foram emitidos um total de 100.260 novos tokens, dos quais os tokens promovidos por meio de grupos do Telegram representam 89,99% da rede principal. Em média, cerca de 370 novos tokens surgem diariamente, muito acima das expectativas razoáveis. Após uma investigação aprofundada, a verdade revelada é preocupante — pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma proporção alarmante de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.

Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que, não apenas a mainnet Ethereum, mas a segurança de todo o novo ecossistema de tokens Web3 é muito mais severa do que o esperado. Portanto, este relatório visa ajudar todos os membros do Web3 a aumentar a consciência de prevenção, permanecendo vigilantes diante das inúmeras fraudes e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.

Token ERC-20

Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.

Os tokens ERC-20 são um dos padrões de tokens mais comuns na blockchain atualmente, definindo um conjunto de normas que permite a interoperabilidade entre tokens em diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 estabelece as funções básicas dos tokens, como transferências, consultas de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e uso de tokens. De fato, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos para diversos projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.

Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir Tokens ERC-20 maliciosos com backdoors no código, listá-los em exchanges descentralizadas e depois induzir os usuários a comprá-los.

Casos Típicos de Fraude com Tokens Rug Pull

Aqui, utilizamos um caso de fraude de um token Rug Pull para entender melhor o modelo operacional das fraudes de tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto retira repentinamente os fundos ou abandona o projeto em um projeto de finanças descentralizadas, levando os investidores a sofrerem grandes perdas. E o token Rug Pull é um token especificamente emitido para a realização desse tipo de fraude.

Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas no texto abaixo vamos referir-nos a eles uniformemente como tokens Rug Pull.

caso

Os atacantes (gangue Rug Pull) usam o endereço Deployer para implantar o Token TOMMI, e depois criam um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente Tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez e atrair usuários e robôs de lançamento na cadeia a comprar Tokens TOMMI. Quando um número suficiente de robôs de lançamento cai na armadilha, os atacantes usam o endereço Rug Puller para executar o Rug Pull, e o Rug Puller usa 38.739.354 Tokens TOMMI para atacar o pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos Tokens do Rug Puller vem da autorização maliciosa de Aprovação do contrato do Token TOMMI, onde o contrato do Token TOMMI concede ao Rug Puller a permissão de aprovação do pool de liquidez no momento da implantação, permitindo que o Rug Puller retire diretamente Tokens TOMMI do pool de liquidez e, em seguida, execute o Rug Pull.

processo de Rug Pull

1. Preparar fundos para o ataque.

O atacante recarregou 2.47309009ETH para o Token Deployer através de uma exchange como capital inicial para o Rug Pull.

2. Implantar um Token Rug Pull com backdoor.

Deployer cria o Token TOMMI, pré-minerando 100,000,000 moedas e alocando para si mesmo.

3. Criar o pool de liquidez inicial.

O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.

4. Destruir toda a quantidade de Token pré-minerada.

O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento o Token Deployer perdeu teoricamente a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de lançamento, pois alguns robôs de lançamento avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também configura o Owner do contrato para o endereço 0, tudo para enganar os programas antifraude dos robôs de lançamento).

5. Volume de transações falso.

Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool e atraindo ainda mais robôs de negociação (a base para determinar que esses endereços são disfarçados de atacantes: os fundos relacionados a esses endereços vêm de endereços de transferência de fundos históricos do grupo Rug Pull).

6. O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando diretamente 38,739,354 tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desvalorizar o pool, extraindo cerca de 3.95 ETH.

7. O atacante envia os fundos obtidos com o Rug Pull para o endereço de transferência.

8. O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local de agregação dos fundos de muitos casos de Rug Pull monitorados, onde a maioria dos fundos recebidos será dividida para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de uma determinada exchange.

Código de backdoor de Rug Pull

Embora os atacantes tenham tentado provar ao público que não podiam realizar um Rug Pull ao destruir os LP Tokens, na verdade, os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que, ao criar um pool de liquidez, o pool aprove a transferência de tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.

padrão de crime

Através da análise do caso TOMMI, podemos resumir os seguintes 4 características:

1. O Deployer obtém fundos através de uma certa exchange: o atacante primeiro fornece uma fonte de fundos para o endereço do deployer (Deployer) através de uma certa exchange.

2. O Deployer cria o pool de liquidez e destrói os tokens LP: após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez para ele e destrói os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.

3. Rug Puller troca grandes quantidades de Token por ETH no pool de liquidez: O endereço Rug Pull (Rug Puller) utiliza uma quantidade significativa de Token (geralmente muito superior ao fornecimento total de Token) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também remove a liquidez para obter ETH do pool.

4. Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos, às vezes através de um endereço intermediário como transição.

As características mencionadas são comuns em casos capturados, o que indica que as ações de Rug Pull têm características de padronização evidentes. Além disso, após a conclusão do Rug Pull, os fundos normalmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de fraude ou até mesmo ao mesmo esquema.

Com base nessas características, foi extraído um padrão de comportamento de Rug Pull e, utilizando esse padrão, foram escaneados os casos monitorizados, com o objetivo de construir um possível retrato de grupos de fraude.

Gangue de Rug Pull

Endereço de retenção de fundos de mineração

Como mencionado anteriormente, os casos de Rug Pull costumam concentrar os fundos em endereços de retenção de fundos no final. Com base nesse padrão, foram selecionados alguns endereços de retenção de fundos altamente ativos e cujas características de métodos de operação associadas são claramente evidentes para uma análise aprofundada.

Entram em cena 7 endereços de retenção de fundos, associados a 1.124 casos de Rug Pull, que foram capturados com sucesso pelo sistema de monitoramento de ataques em cadeia. Após a implementação bem-sucedida do golpe, o grupo de Rug Pull reúne os lucros ilegais nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos Tokens em futuros golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida através de alguma corretora ou plataforma de troca instantânea.

Em um golpe completo de Rug Pull, o grupo de Rug Pull geralmente usa um endereço como o Implantador (Deployer) do token Rug Pull e retira fundos de uma bolsa para criar o token Rug Pull e o respectivo pool de liquidez. Quando atraem um número suficiente de usuários ou bots de lançamento para comprar o token Rug Pull com ETH, o grupo de Rug Pull usa outro endereço como o Executor do Rug Pull (Rug Puller) para operar, transferindo os fundos obtidos para um endereço de retenção de fundos.

É importante notar que os grupos de Rug Pull, ao executarem fraudes, também usam ativamente ETH para comprar os Tokens de Rug Pull que criaram, a fim de simular atividades normais de pools de liquidez, atraindo assim bots de novos lançamentos para comprar. No entanto, esse custo não é incluído nos cálculos, portanto, o lucro real será relativamente baixo.

Na verdade, mesmo que os fundos finais sejam agrupados em diferentes endereços de retenção de fundos, ainda há uma grande suspeita de que esses endereços de retenção de fundos possam pertencer ao mesmo grupo, devido às muitas semelhanças entre os casos associados a esses endereços (como a forma de implementação do backdoor do Rug Pull, caminhos de cash-out, etc.).

ligação entre o endereço de retenção de fundos de mineração

Um indicador importante para determinar se existem relações de associação entre os endereços de retenção de fundos é verificar se existem relações de transferência direta entre esses endereços. Para validar a associação entre os endereços de retenção de fundos, foram recolhidos e analisados os registros de transações históricas desses endereços.

Na maioria dos casos analisados no passado, os lucros de cada golpe de Rug Pull acabam por fluir apenas para um determinado endereço de retenção de fundos. Tentar associar diferentes endereços de retenção de fundos através do rastreamento do fluxo de fundos é impossível. Portanto, é necessário detectar a movimentação de fundos entre esses endereços de retenção para obter uma associação direta entre eles.

É importante esclarecer que certos endereços são deixados para os fundos.