Глибоке розслідування випадків Rug Pull, розкриття безладу в екосистемі токенів Ethereum

Вступ

У світі Web3 постійно з'являються нові токени. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?

Ці питання не виникають безпідставно. Протягом останніх кількох місяців команда з безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що токени, що беруть участь у цих випадках, без винятку є новими токенами, які щойно з'явилися в мережі.

Потім команда безпеки провела поглиблене розслідування цих випадків Rug Pull і виявила організовані злочинні групи, що стоять за ними, а також підсумувала їхні модульні характеристики шахрайств. Завдяки детальному аналізу методів роботи цих груп було виявлено один можливий шлях просування шахрайств групами Rug Pull: групи Telegram. Ці групи використовують функцію "New Token Tracer" у певних групах, щоб залучити користувачів до покупки шахрайських токенів і зрештою отримати прибуток через Rug Pull.

Статистика показує, що з листопада 2023 року до початку серпня 2024 року ці групи в Telegram загалом просунули 93 930 нових токенів, з яких 46 526 токенів мали відношення до Rug Pull, що становить 49,53%. За підрахунками, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149 813,72 ETH, а прибуток становив 282 699,96 ETH з дохідністю до 188,7%, що еквівалентно близько 800 мільйонам доларів.

Щоб оцінити частку нових токенів, які надсилаються в групі Telegram, у мережі Ethereum, команда безпеки зібрала дані про нові токени, випущені в мережі Ethereum за той же період часу. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, що надсилаються через групу Telegram, складають 89,99% від основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення поглибленого розслідування виявлена правда є тривожною — щонайменше 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48,14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.

Крім того, було виявлено більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що не лише основна мережа Ethereum, а й вся екосистема нових токенів Web3 має безпековий стан, який значно серйозніший, ніж очікувалося. Таким чином, цей звіт має на меті допомогти всім членам Web3 підвищити обізнаність про запобігання, залишатися насторожі перед численними шахрайствами та вчасно вживати необхідні запобіжні заходи для захисту своїх активів.

ERC-20 Токен

Перш ніж розпочати цей звіт, давайте спочатку розглянемо деякі базові поняття.

ERC-20 Токен є одним з найбільш поширених стандартів токенів на блокчейні, який визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токенів, такі як перекази, перевірка балансу, авторизація третіх осіб для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробники можуть легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді, будь-яка особа чи організація може випустити свої власні токени на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 Токен став основою для багатьох ICO та децентралізованих фінансових проектів.

Ми знайомі з USDT, PEPE, DOGE, які належать до ERC-20 токенів, користувачі можуть придбати ці токени через децентралізовані біржі. Однак деякі шахрайські групи також можуть випускати шкідливі ERC-20 токени з кодом задніх дверей, виставляти їх на децентралізовані біржі та спонукати користувачів до покупки.

Типові випадки шахрайства з токенами Rug Pull

Тут ми використовуємо випадок шахрайства з токеном Rug Pull, щоб глибше дослідити моделі роботи зловмисних токенів. По-перше, слід зазначити, що Rug Pull - це шахрайська дія, коли команда проекту в децентралізованих фінансових проектах раптово забирає кошти або відмовляється від проекту, що призводить до великих втрат інвесторів. Токени Rug Pull - це токени, випущені спеціально для здійснення таких шахрайських дій.

У цій статті згадуються токени Rug Pull, які іноді також називають "медовими горщиками (Honey Pot) токенами" або "схемами виходу (Exit Scam) токенами", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.

випадок

Атакуюча сторона (група Rug Pull) використовує адресу Deployer для розгортання токену TOMMI, потім за допомогою 1,5 ETH та 100 000 000 токенів TOMMI створює ліквідний пул і активно купує токени TOMMI через інші адреси, щоб підробити обсяг торгів ліквідного пулу, залучаючи користувачів та нових ботів на блокчейні для купівлі токенів TOMMI. Коли певна кількість нових ботів потрапляє в пастку, атакуюча сторона використовує адресу Rug Puller для виконання Rug Pull, Rug Puller використовує 38 739 354 токенів TOMMI, щоб знищити ліквідний пул, обмінюючи їх на приблизно 3,95 ETH. Токени Rug Puller походять з зловмисного дозволу на підтвердження токену TOMMI, під час розгортання контракту токену TOMMI Rug Puller надається дозвіл на ліквідний пул, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідного пулу, а потім здійснювати Rug Pull.

Процес Rug Pull

1. Підготувати кошти для атаки.

Зловмисник через одну з бірж поповнив Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.

2. Розгортання токенів Rug Pull з бекдором.

Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів і розподіляючи їх собі.

3. Створіть початковий ліквідний пул.

Deployer використав 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримавши близько 0.387 LP токенів.

4. Знищити весь обсяг попередньо видобутих Токенів.

Token Deployer надсилає всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей момент Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов, що приваблюють роботи для нового інвестування, деякі роботи оцінюють, чи існує ризик Rug Pull у нових токенах, що надходять у пул, Deployer також встановлює власника контракту на адресу 0, щоб обманути програми протидії шахрайству нових інвесторів).

5. Фальшивий обсяг торгів.

Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, підвищуючи обсяги торгів у пулі, що додатково приваблює нових ботів для торгівлі (підставою для визнання цих адрес зловмисниками є те, що кошти, пов'язані з цими адресами, походять з історичних адрес трансферу коштів групи Rug Pull).

6. Зловмисник ініціює Rug Pull через адресу Rug Puller, безпосередньо виводячи 38,739,354 токена з ліквідного пулу через задні двері токена, а потім використовує ці токени, щоб знищити пул, отримуючи приблизно 3.95 Етер.

7. Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.

8. Проміжна адреса відправляє кошти на адресу зберігання коштів. З цього можна зробити висновок, що після завершення Rug Pull, Rug Puller відправить кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем збору коштів від великої кількості зафіксованих випадків Rug Pull, адреса зберігання коштів розділить більшість отриманих коштів для початку нового раунду Rug Pull, а решту незначну частину коштів буде виведено через певну біржу.

Код для Rug Pull з бекдором

Атакуючи, хоча вони вже намагалися довести зовнішньому світу, що не можуть здійснити Rug Pull, знищивши LP токени, насправді залишили зловмисний бекдор у функції openTrading контракту токена TOMMI. Цей бекдор дозволяє при створенні ліквідного пулу надавати адресу Rug Puller право на переведення токенів, що дозволяє адресі Rug Puller прямо виводити токени з ліквідного пулу.

Моделізація злочинів

Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:

1. Deployer отримує кошти через певну біржу: зловмисник спочатку надає джерело фінансування для адреси розробника (Deployer) через певну біржу.

2. Deployer створює ліквідність пул і знищує LP токени: розробник після створення Rug Pull токена одразу створює ліквідність пул, та знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.

3. Rug Puller використовує велику кількість Токенів для обміну на ETH в ліквіднісному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість Токенів (зазвичай кількість значно перевищує загальну пропозицію Токенів) для обміну на ETH в ліквіднісному пулі. В інших випадках Rug Puller також має можливість отримувати ETH з пулу шляхом видалення ліквідності.

4. Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу зберігання коштів: Rug Puller перенесе отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу.

Ці характеристики широко присутні в захоплених випадках, що свідчить про наявність явно виражених моделей у поведінці Rug Pull. Крім того, після завершення Rug Pull, кошти зазвичай збираються на адресу для зберігання, що натякає на можливу участь однієї групи шахраїв або навіть одного й того ж шахрайського угрупування за цими, на перший погляд, незалежними випадками Rug Pull.

На основі цих характеристик було виділено модель поведінки Rug Pull, і використано цю модель для сканування виявлених випадків з метою створення можливого портрету шахрайських груп.

Злочинна група Rug Pull

Адреса зберігання видобутку коштів

Як зазначено вище, випадки Rug Pull зазвичай в кінці зводять кошти на адресу зберігання коштів. На основі цієї моделі було обрано кілька високоефективних адрес зберігання коштів, які мають очевидні ознаки методів злочинної діяльності, для детального аналізу.

У зоні зору є 7 адрес збереження коштів, які пов'язані з 1 124 випадками Rug Pull, успішно зафіксованими системою моніторингу атак в блокчейні. Після успішного здійснення шахрайства, групи Rug Pull збирають незаконно здобуті кошти на ці адреси збереження. Ці адреси збереження коштів розподіляють накопичені кошти для створення нових токенів у майбутніх схемах Rug Pull, маніпуляції ліквідністю тощо. Крім того, невелика частина накопичених коштів конвертується через певну біржу чи платформу миттєвого обміну.

У повній схемі Rug Pull, група Rug Pull зазвичай використовує одну адресу як розробника (Deployer) токена Rug Pull і отримує стартовий капітал через зняття коштів з певної біржі для створення токена Rug Pull та відповідного пулу ліквідності. Після того, як достатня кількість користувачів або ботів для нових токенів купують токен Rug Pull за ETH, група Rug Pull використовує іншу адресу як виконавця Rug Pull (Rug Puller) для виконання операції, переводячи отримані кошти на адресу зберігання коштів.

Необхідно зазначити, що банда Rug Pull під час здійснення шахрайства також активно використовує ETH для покупки створених нею токенів Rug Pull, щоб імітувати нормальну діяльність ліквідного пулу та залучити нових ботів для покупок. Але ця частина витрат не була врахована в розрахунках, тому фактичний прибуток буде відносно нижчим.

Насправді, навіть якщо в кінцевому підсумку кошти були зібрані на різних адресах для зберігання, все ж існує велика підозра, що ці адреси можуть належати одній і тій же групі, оскільки між випадками, до яких вони пов'язані, є багато спільного (як-от методи реалізації backdoor для Rug Pull, шляхи для виведення коштів тощо).

зв'язок між адресами зберігання коштів для видобутку

Важливим показником для визначення зв'язку між адресами зберігання коштів є перевірка наявності прямих трансакцій між цими адресами. Для перевірки зв'язку між адресами зберігання коштів було зібрано та проаналізовано історичні транзакції цих адрес.

У більшості випадків, проаналізованих у минулому, прибутки від кожного шахрайства Rug Pull врешті-решт потрапляли лише на певну адресу збереження коштів. Спробувати відстежити напрямок прибуткових коштів для пов'язання різних адрес збереження коштів неможливо, тому необхідно перевірити рух коштів між цими адресами збереження, щоб отримати пряме зв'язування між ними.

Потрібно зазначити, що деякі адреси є залишками коштів