Глубокое исследование случаев Rug Pull, раскрывающих хаос экосистемы токенов Ethereum

Введение

В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?

Эти вопросы не возникли на пустом месте. В последние месяцы команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, являются новыми токенами, только что вышедшими в сеть.

Затем команда по безопасности провела глубокое расследование этих случаев Rug Pull и обнаружила наличие организованной преступной группы, а также суммировала характерные признаки этих мошенничеств. Путем глубокого анализа методов работы этих групп были выявлены возможные пути распространения мошенничества со стороны групп Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получить прибыль через Rug Pull.

Статистика показывает, что с ноября 2023 года по начало августа 2024 года эти группы в Telegram推送или 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет целых 49.53%. Согласно статистике, общая стоимость вложений групп, стоящих за этими токенами Rug Pull, составила 149,813.72 Эфир, и они получили прибыль в размере 282,699.96 Эфир с доходностью до 188.7%, что составляет примерно 800 миллионов долларов.

Чтобы оценить долю новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, команда безопасности собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что в этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составили 89,99% от основной сети. В среднем каждый день появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования обнаруженная правда вызывает беспокойство — как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48,14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.

Кроме того, были обнаружены и другие случаи Rug Pull на других блокчейн-сетях. Это означает, что безопасность всего нового экосистемы токенов Web3 гораздо суровее, чем ожидалось, не только в основной сети Ethereum. Таким образом, данный отчет предназначен для того, чтобы помочь всем членам Web3 повысить свою осведомленность о рисках, оставаться бдительными в условиях постоянного появления мошенничества и своевременно принимать необходимые меры предосторожности для защиты своих активов.

ERC-20 Токен

Перед тем как официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.

ERC-20 Токен является одним из самых распространенных стандартов токенов на блокчейне. Он определяет набор спецификаций, которые позволяют токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, запрос баланса, авторизация третьих лиц на управление токенами и т.д. Благодаря этому стандартизированному протоколу разработчикам проще выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои собственные токены на основе стандарта ERC-20 и привлекать стартовый капитал для различных финансовых проектов через предварительную продажу токенов. Именно благодаря широкому применению ERC-20 Токен стал основой для многих ICO и децентрализованных финансовых проектов.

Мы знакомы с USDT, PEPE, DOGE, которые являются токенами ERC-20. Пользователи могут покупать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закодированными бэкдорами, размещая их на децентрализованных биржах и затем подстрекая пользователей к покупке.

Типичные случаи мошенничества с токенами Rug Pull

Здесь мы используем случай мошенничества с Rug Pull Токеном, чтобы глубже понять операционные модели злонамеренного мошенничества с токенами. Сначала нужно пояснить, что Rug Pull относится к мошенническому поведению, при котором команда проекта внезапно изымает средства или abandons проект в децентрализованных финансовых проектах, что приводит к огромным убыткам для инвесторов. Rug Pull токены — это токены, выпущенные специально для осуществления такого мошенничества.

В данной статье упоминаемые токены Rug Pull иногда также называются "медовыми горшками (Honey Pot)" или "схемами ухода (Exit Scam)", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.

пример

Атакующие (группа Rug Pull) использовали адрес Deployer для развертывания токена TOMMI, затем создали ликвидный пул с 1,5 ETH и 100,000,000 токенов TOMMI, а также активно покупали токены TOMMI с других адресов, чтобы подделать объем торгов ликвидного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось, атакующие использовали адрес Rug Puller для выполнения Rug Pull, Rug Puller сбросил 38,739,354 токенов TOMMI в ликвидный пул, обменяв их на примерно 3,95 ETH. Токены Rug Puller поступили от злонамеренного разрешения на approve в контракте токена TOMMI, при развертывании контракта токена TOMMI Rug Puller получает права approve на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем выполнять Rug Pull.

Процесс Rug Pull

1. Подготовьте средства для атаки.

Нападающий через одну из бирж пополнил счет Token Deployer на 2.47309009ETH в качестве стартового капитала для Rug Pull.

2. Развертывание токенов Rug Pull с задней дверцей.

Deployer создает токен TOMMI, предварительно добывая 100,000,000 токенов и распределяя их себе.

3. Создание начального пула ликвидности.

Deployer использовал 1.5 Эфир и все преддобытые токены для создания ликвидного пула, получив примерно 0.387 LP токенов.

4. Уничтожить всё преддобытое количество Токенов.

Token Deployer отправляет все LP токены на адрес 0 для уничтожения, так как в контракте TOMMI нет функции Mint, поэтому в этот момент Token Deployer теоретически уже лишился способности Rug Pull. (Это также одно из необходимых условий для привлечения роботов для участия в новом запуске, некоторые роботы оценивают, существует ли риск Rug Pull у новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антикриптовалютные программы роботов).

5. Фальшивый объем торговли.

Злоумышленник активно покупает токены TOMMI из ликвидного пула с нескольких адресов, чтобы разогнать объемы торгов в пуле и привлечь роботов для участия в первичном размещении (основание для определения этих адресов как поддельных злоумышленниками: средства на связанных адресах поступают из исторических адресов перевода средств группы Rug Pull).

6. Атакующий инициирует Rug Pull через адрес Rug Puller, выводя 38,739,354 токенов напрямую из ликвидного пула через бэкдор токена, а затем использует эти токены для раздувания пула, извлекая примерно 3.95 Эфир.

7. Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.

8. Промежуточный адрес отправляет средства на адрес хранения средств. Из этого мы можем видеть, что после завершения Rug Pull, Rug Puller отправляет средства на определенный адрес хранения средств. Адрес хранения средств является местом сбора средств из множества зафиксированных случаев Rug Pull, и этот адрес хранения средств будет делить большую часть полученных средств, чтобы начать новый раунд Rug Pull, в то время как оставшаяся небольшая сумма будет выведена через определенную биржу.

Код задней двери Rug Pull

Хотя злоумышленники попытались доказать окружающим, что они не могут осуществить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили злонамеренную заднюю дверь в функции openTrading контракта токена TOMMI, которая позволяет при создании ликвидного пула разрешить адресам Rug Puller перевод токенов, что дает возможность адресам Rug Puller напрямую выводить токены из ликвидного пула.

Моделирование преступления

Анализируя случай TOMMI, мы можем подвести следующие 4 характеристики:

1. Деплойер получает средства через какую-то биржу: злоумышленник сначала предоставляет источником финансирования для адреса деплойера (Deployer) через какую-то биржу.

2. Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, развертыватель немедленно создает ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.

3. Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно количество значительно превышает общее предложение токенов) для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удалив ликвидность.

4. Rug Puller переводит ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller переводит полученный ETH на адрес хранения средств, иногда через промежуточный адрес.

Указанные выше характеристики широко присутствуют в зафиксированных случаях, что указывает на явные паттернные признаки поведения Rug Pull. Кроме того, после завершения Rug Pull средства обычно собираются на адресе хранения, что подразумевает, что эти, казалось бы, независимые случаи Rug Pull могут быть связаны с одной и той же группой мошенников или даже с одной и той же схемой.

Основываясь на этих характеристиках, была извлечена модель поведения Rug Pull и использована для сканирования и обнаружения зафиксированных случаев, с целью построения возможного портрета мошеннической группы.

Группа мошенников Rug Pull

Адрес для хранения средств от майнинга

Как упоминалось ранее, случаи Rug Pull обычно в конечном итоге сводят средства к адресу хранения средств. На основе этой модели были выбраны несколько высокоактивных адресов хранения средств, у которых явно выражены характерные черты методов совершения преступлений в связанных случаях, для глубокого анализа.

В поле зрения оказалось 7 адресов хранения средств, связанных с 1,124 случаями Rug Pull, успешно зафиксированными системой мониторинга атак на блокчейне. После успешного осуществления мошенничества группировка Rug Pull собирает незаконные доходы на этих адресах хранения средств. Эти адреса хранения средств разделяют накопленные средства для создания новых токенов в будущих схемах Rug Pull, манипуляции ликвидными пулами и других действий. Кроме того, небольшая часть накопленных средств обналичивается через определенную биржу или платформу мгновенного обмена.

В полном мошенничестве Rug Pull группа мошенников обычно использует один адрес в качестве развертывателя (Deployer) токена Rug Pull и получает стартовый капитал через вывод средств на бирже для создания токена Rug Pull и соответствующего пула ликвидности. Когда достаточно большое количество пользователей или ботов по продаже новинок использует ETH для покупки токена Rug Pull, группа мошенников использует другой адрес в качестве исполнителя Rug Pull (Rug Puller) для проведения операции, переводя полученные средства на адрес хранения средств.

Необходимо отметить, что группировки Rug Pull при осуществлении мошенничества также активно используют ETH для покупки токенов Rug Pull, которые они создали, чтобы имитировать нормальную активность ликвидного пула, тем самым привлекая роботов для покупки новых токенов. Однако эта часть затрат не включена в расчет, поэтому фактическая прибыль будет относительно низкой.

На самом деле, даже если финальные средства были собраны на разные адреса хранения средств, все равно существует высокая степень подозрения, что эти адреса хранения могут принадлежать одной и той же группировке, поскольку между связанными случаями существует множество общих черт (таких как способы реализации задних дверей Rug Pull, пути вывода средств и т.д.).

Связь между адресами хранения средств для майнинга

Важным показателем для определения наличия связей между адресами хранения средств является проверка наличия прямых трансакций между этими адресами. Для проверки взаимосвязи между адресами хранения средств были собраны и проанализированы исторические транзакционные записи этих адресов.

В большинстве случаев, проанализированных в прошлом, доходы от каждого мошенничества Rug Pull в конечном итоге направляются только на один адрес хранения средств. Попытка отследить направление доходных средств для связи различных адресов хранения средств невозможна, поэтому необходимо отслеживать движение средств между этими адресами хранения, чтобы получить прямую связь между ними.

Необходимо отметить, что некоторые адреса являются адресами для хранения средств.