Раскрытие беспорядка в экосистеме токенов Ethereum: углубленное расследование случаев Rug Pull
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не безосновательны. За последние несколько месяцев одна команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, которые только что вышли на цепь.
Затем команда безопасности провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоит организованная преступная группа, а также обобщила схемы этих мошенничеств. Проведя углубленный анализ методов работы этих групп, была выявлена одна из возможных схем мошеннического продвижения группы Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получить прибыль через Rug Pull.
Команда безопасности собрала статистику о токенах, отправленных в этих Telegram группах с начала ноября 2023 года до начала августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. По статистике, общая сумма вложений групп, стоящих за этими Rug Pull токенами, составила 149,813.72 Эфир, и они получили прибыль в размере 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно примерно 800 миллионов долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, команда безопасности собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89,99% основной сети. В среднем каждый день появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования была обнаружена тревожная правда — как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48,14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, в других блокчейн-сетях было обнаружено больше случаев Rug Pull. Это означает, что безопасность не только основной сети Ethereum, но и всей экосистемы новых токенов Web3 гораздо более серьезна, чем ожидалось. Поэтому данный отчет надеется помочь всем членам Web3 повысить осведомленность о мерах предосторожности, оставаться бдительными в условиях множества мошенничеств и своевременно принимать необходимые меры для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать данный отчет, давайте сначала познакомимся с некоторыми базовыми понятиями.
ERC-20 Токен является одним из самых распространенных стандартов токенов в блокчейне. Он определяет набор норм, которые позволяют токенам взаимодействовать между различными умными контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц для управления токенами и т.д. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои собственные токены на основе стандарта ERC-20 и привлечь стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению ERC-20 токенов они стали основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые относятся к токенам ERC-20. Пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладными кодами, размещая их на децентрализованных биржах и затем под诱дая пользователей к покупке.
Типичный случай мошенничества с токеном Rug Pull
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы глубже понять операционные модели злонамеренных токенов. Прежде всего, необходимо пояснить, что Rug Pull – это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull – это токены, выпущенные специально для реализации такого мошенничества.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "蜜罐(Honey Pot) токенами" или "退出骗局(Exit Scam) токенами", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.
пример
Атакующий (Rug Pull группа ) использовал адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создал ликвидный пул с 1,5 ETH и 100,000,000 токенов TOMMI и активно покупал токены TOMMI через другие адреса, чтобы подделать объем торгов в ликвидном пуле, чтобы привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось, атакующий использовал адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токенов TOMMI для удара по ликвидному пулу, обменяв их на около 3,95 ETH. Токены Rug Puller были получены через злонамеренное разрешение на одобрение контракта токена TOMMI. При развертывании контракта токена TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.
Создать ликвидный пул:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
Адрес для перевода средств отправляет средства одному из замаскированных пользователей ( ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Маскировка пользователя при покупке токена (, один из ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull отправить полученные средства на промежуточный адрес:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Промежуточный адрес отправляет средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процесс Rug Pull
Подготовьте средства для атаки.
Атакующий через биржу пополнил Token Deployer(0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.
Развертывание токена Rug Pull с задней дверцей.
Deployer создал токен TOMMI, предпродажа 100,000,000 токенов и распределил их себе.
Создайте начальный пул ликвидности.
Деплоер использовал 1.5 Эфира и все преддобытые токены для создания ликвидного пула, получив примерно 0.387 LP токенов.
Уничтожить все преддобытые запасы Токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI нет функции Mint, на данном этапе Token Deployer теоретически утратил способность Rug Pull. ( это также одно из необходимых условий для привлечения роботов для первичных размещений токенов. Некоторые роботы для первичных размещений оценивают, существует ли риск Rug Pull у новых токенов в пуле, а Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть программы противодействия мошенничеству роботов для первичных размещений ).
Фальсификация объема торгов.
Атакующий активно покупает токены TOMMI из ликвидного пула с нескольких адресов, тем самым раздувая объем торгов в пуле и привлекая роботов для новых инвестиций. ( основание для определения этих адресов как замаскированных атакующих: средства на соответствующих адресах поступают из исторических адресов перевода средств группировки Rug Pull ).
Атакующий инициирует Rug Pull через адрес Rug Puller (0x43A9), выведя 38,739,354 токенов напрямую из ликвидного пула через бэкдор токена, а затем использует эти токены для разрушения пула, получая около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Промежуточный адрес 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что когда Rug Pull завершен, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора большого количества случаев Rug Pull, которые были зафиксированы, адрес хранения средств будет делить большую часть полученных средств для начала нового раунда Rug Pull, в то время как оставшаяся небольшая часть средств будет выведена через биржу. Обнаружено несколько адресов хранения средств, 0x2836 - один из них.
Код задней двери Rug Pull
Хотя злоумышленники уже попытались доказать внешнему миру, что они не могут провести Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили вредоносную лазейку в функции openTrading контракта токена TOMMI, которая позволит при создании ликвидного пула предоставить адресу Rug Puller разрешение на перевод токенов, позволяя адресу Rug Puller напрямую выводить токены из ликвидного пула.
Реализация функции openTrading показана на рисунке 9, ее основная функция заключается в создании нового пула ликвидности, но злоумышленник вызывает в этой функции бэкдор onInit(, как показано на рисунке 10, позволяя uniswapV2Pair одобрить адресу _chefAddress количество, равное type)uint256(, на перевод токенов. При этом uniswapV2Pair — это адрес пула ликвидности, а _chefAddress — это адрес Rug Puller, который указывается при развертывании контракта), как показано на рисунке 11.
( Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает资金 через биржу: атакующий сначала предоставляет источники资金 для адреса )Deployer### через биржу.
Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, разработчик сразу же создает для него ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно количество которых значительно превышает общее предложение токенов ), для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес резервирования средств: Rug Puller будет переводить полученный ETH на адрес резервирования средств, иногда через
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
6
Поделиться
комментарий
0/400
MoneyBurner
· 14ч назад
Самая низкая цена被薅完了才知道в блокчейне全是坑...这波心态崩了,下次赌狠ордер в лонгВсе вОкупаемость инвестиций!
Посмотреть ОригиналОтветить0
BearMarketBro
· 14ч назад
неудачники一茬一茬的 разыгрывайте людей как лохов...
Посмотреть ОригиналОтветить0
ZkProofPudding
· 14ч назад
неудачники еще продолжают безумно зарабатывать новые токены
Посмотреть ОригиналОтветить0
AlwaysAnon
· 14ч назад
Привет, все еще мечтаешь о покупайте падения?
Посмотреть ОригиналОтветить0
ContractHunter
· 14ч назад
Раньше разоблачил(а) те ловушки в tg-группе.
Посмотреть ОригиналОтветить0
MetaDreamer
· 14ч назад
неудачники еще не вырасли полностью, как их уже выдернули.
Близко к полумиллиону новых токенов подозреваются в мошенничестве: глубокий анализ случаев Rug Pull на 800 миллионов долларов в экосистеме Ethereum
Раскрытие беспорядка в экосистеме токенов Ethereum: углубленное расследование случаев Rug Pull
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?
Эти вопросы не безосновательны. За последние несколько месяцев одна команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, которые только что вышли на цепь.
Затем команда безопасности провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоит организованная преступная группа, а также обобщила схемы этих мошенничеств. Проведя углубленный анализ методов работы этих групп, была выявлена одна из возможных схем мошеннического продвижения группы Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге получить прибыль через Rug Pull.
Команда безопасности собрала статистику о токенах, отправленных в этих Telegram группах с начала ноября 2023 года до начала августа 2024 года, и обнаружила, что было отправлено 93,930 новых токенов, из которых 46,526 токенов были связаны с Rug Pull, что составляет 49.53%. По статистике, общая сумма вложений групп, стоящих за этими Rug Pull токенами, составила 149,813.72 Эфир, и они получили прибыль в размере 282,699.96 Эфир с доходностью до 188.7%, что эквивалентно примерно 800 миллионов долларов.
Чтобы оценить долю новых токенов, продвигаемых в группах Telegram, в основной сети Ethereum, команда безопасности собрала данные о новых токенах, выпущенных в основной сети Ethereum за тот же период. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89,99% основной сети. В среднем каждый день появляется около 370 новых токенов, что значительно превышает разумные ожидания. После глубокого расследования была обнаружена тревожная правда — как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48,14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.
Кроме того, в других блокчейн-сетях было обнаружено больше случаев Rug Pull. Это означает, что безопасность не только основной сети Ethereum, но и всей экосистемы новых токенов Web3 гораздо более серьезна, чем ожидалось. Поэтому данный отчет надеется помочь всем членам Web3 повысить осведомленность о мерах предосторожности, оставаться бдительными в условиях множества мошенничеств и своевременно принимать необходимые меры для защиты своих активов.
ERC-20 Токен
Перед тем как официально начать данный отчет, давайте сначала познакомимся с некоторыми базовыми понятиями.
ERC-20 Токен является одним из самых распространенных стандартов токенов в блокчейне. Он определяет набор норм, которые позволяют токенам взаимодействовать между различными умными контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токенов, такие как перевод, проверка баланса, авторизация третьих лиц для управления токенами и т.д. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает создание и использование токенов. На самом деле, любой человек или организация могут выпустить свои собственные токены на основе стандарта ERC-20 и привлечь стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению ERC-20 токенов они стали основой для многих ICO и децентрализованных финансовых проектов.
Мы знакомы с USDT, PEPE, DOGE, которые относятся к токенам ERC-20. Пользователи могут приобретать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с закладными кодами, размещая их на децентрализованных биржах и затем под诱дая пользователей к покупке.
Типичный случай мошенничества с токеном Rug Pull
Здесь мы используем случай мошенничества с токеном Rug Pull, чтобы глубже понять операционные модели злонамеренных токенов. Прежде всего, необходимо пояснить, что Rug Pull – это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к огромным потерям для инвесторов. Токены Rug Pull – это токены, выпущенные специально для реализации такого мошенничества.
В данной статье упоминаются токены Rug Pull, которые иногда также называют "蜜罐(Honey Pot) токенами" или "退出骗局(Exit Scam) токенами", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.
пример
Атакующий (Rug Pull группа ) использовал адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создал ликвидный пул с 1,5 ETH и 100,000,000 токенов TOMMI и активно покупал токены TOMMI через другие адреса, чтобы подделать объем торгов в ликвидном пуле, чтобы привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось, атакующий использовал адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токенов TOMMI для удара по ликвидному пулу, обменяв их на около 3,95 ETH. Токены Rug Puller были получены через злонамеренное разрешение на одобрение контракта токена TOMMI. При развертывании контракта токена TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.
связанный адрес
связанные сделки
Процесс Rug Pull
Атакующий через биржу пополнил Token Deployer(0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.
Deployer создал токен TOMMI, предпродажа 100,000,000 токенов и распределил их себе.
Деплоер использовал 1.5 Эфира и все преддобытые токены для создания ликвидного пула, получив примерно 0.387 LP токенов.
Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI нет функции Mint, на данном этапе Token Deployer теоретически утратил способность Rug Pull. ( это также одно из необходимых условий для привлечения роботов для первичных размещений токенов. Некоторые роботы для первичных размещений оценивают, существует ли риск Rug Pull у новых токенов в пуле, а Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть программы противодействия мошенничеству роботов для первичных размещений ).
Атакующий активно покупает токены TOMMI из ликвидного пула с нескольких адресов, тем самым раздувая объем торгов в пуле и привлекая роботов для новых инвестиций. ( основание для определения этих адресов как замаскированных атакующих: средства на соответствующих адресах поступают из исторических адресов перевода средств группировки Rug Pull ).
Атакующий инициирует Rug Pull через адрес Rug Puller (0x43A9), выведя 38,739,354 токенов напрямую из ликвидного пула через бэкдор токена, а затем использует эти токены для разрушения пула, получая около 3.95 Эфир.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.
Промежуточный адрес 0xD921 отправляет средства на адрес хранения средств 0x2836. Из этого мы можем увидеть, что когда Rug Pull завершен, Rug Puller отправляет средства на какой-то адрес хранения средств. Адрес хранения средств является местом сбора большого количества случаев Rug Pull, которые были зафиксированы, адрес хранения средств будет делить большую часть полученных средств для начала нового раунда Rug Pull, в то время как оставшаяся небольшая часть средств будет выведена через биржу. Обнаружено несколько адресов хранения средств, 0x2836 - один из них.
Код задней двери Rug Pull
Хотя злоумышленники уже попытались доказать внешнему миру, что они не могут провести Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили вредоносную лазейку в функции openTrading контракта токена TOMMI, которая позволит при создании ликвидного пула предоставить адресу Rug Puller разрешение на перевод токенов, позволяя адресу Rug Puller напрямую выводить токены из ликвидного пула.
Реализация функции openTrading показана на рисунке 9, ее основная функция заключается в создании нового пула ликвидности, но злоумышленник вызывает в этой функции бэкдор onInit(, как показано на рисунке 10, позволяя uniswapV2Pair одобрить адресу _chefAddress количество, равное type)uint256(, на перевод токенов. При этом uniswapV2Pair — это адрес пула ликвидности, а _chefAddress — это адрес Rug Puller, который указывается при развертывании контракта), как показано на рисунке 11.
( Моделирование преступления
Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:
Deployer получает资金 через биржу: атакующий сначала предоставляет источники资金 для адреса )Deployer### через биржу.
Deployer создает ликвидный пул и уничтожает LP токены: после создания токена Rug Pull, разработчик сразу же создает для него ликвидный пул и уничтожает LP токены, чтобы повысить доверие к проекту и привлечь больше инвесторов.
Rug Puller использует большое количество токенов для обмена на ETH в ликвидностном пуле: адрес Rug Pull ( Rug Puller ) использует большое количество токенов (, обычно количество которых значительно превышает общее предложение токенов ), для обмена на ETH в ликвидностном пуле. В других случаях Rug Puller также может получить ETH из пула, удаляя ликвидность.
Rug Puller переводит ETH, полученный от Rug Pull, на адрес резервирования средств: Rug Puller будет переводить полученный ETH на адрес резервирования средств, иногда через