Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Огляд
У світі Web3 нові токени постійно з'являються. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають без підстав. Протягом останніх кількох місяців команда з безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, які були залучені в ці випадки, є новими токенами, які тільки-но з'явилися в ланцюгу.
Потім було проведено ґрунтовне розслідування цих випадків Rug Pull, в результаті якого виявлено організовані злочинні групи, а також підсумовано типові характеристики цих шахрайств. Після детального аналізу методів злочинної діяльності цих груп було виявлено один з можливих шляхів шахрайського просування групами Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" у деяких групах, щоб залучити користувачів до покупки шахрайських токенів і в кінцевому підсумку отримати прибуток через Rug Pull.
Статистично проаналізовано інформацію про токени, які були надіслані в цих Telegram-групах з початку листопада 2023 року до початку серпня 2024 року, і виявлено, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. За даними, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток становив 282,699.96 ETH з доходністю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які просуваються в групах Telegram на основній мережі Ethereum, були зібрані дані про нові токени, випущені на основній мережі Ethereum за той же період. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, просунуті через групи Telegram, складають 89.99% основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення глибоких розслідувань виявлена неприємна істина — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, на основній мережі Ethereum практично кожен другий новий токен пов'язаний із шахрайством.
Крім того, було виявлено більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що безпека нових токенів у всьому екосистемі Web3 значно гірша, ніж очікувалося, не лише в основній мережі Ethereum. Тому було написано цей дослідницький звіт, з надією, що він допоможе всім членам Web3 підвищити свою обізнаність про запобігання ризикам, залишатися на чеку перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перш ніж розпочати цей звіт, давайте спочатку ознайомимося з деякими основними поняттями.
ERC-20 Токен є одним з найпоширеніших стандартів токенів у блокчейні, який визначає набір норм, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як переказ, запит балансу, авторизація третіх осіб для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробникам легше випускати та керувати токенами, що спрощує процес створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токен став основою багатьох ICO та децентралізованих фінансових проектів.
USDT, PEPE, DOGE, які ми знаємо, належать до токенів ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати зловмисні токени ERC-20 із кодовими бекдорами, виставляючи їх на децентралізовані біржі та спокушаючи користувачів на покупки.
Типові випадки шахрайства з токенами Rug Pull
Тут ми використовуємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель роботи зловмисних токенних шахрайств. По-перше, слід зазначити, що Rug Pull — це шахрайська дія, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованих фінансових проєктах, внаслідок чого інвестори зазнають величезних збитків. Токени Rug Pull — це токени, які спеціально випускаються для здійснення такого шахрайства.
У статті згадуються токени Rug Pull, які іноді також називають "медова банка (Honey Pot) токени" або "вихідний шахрайство (Exit Scam) токени", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.
випадок
Атакуюча сторона (група Rug Pull) використала адресу Deployer (0x4bAF) для розгортання токена TOMMI, після чого створила ліквіднісну пулу з 1,5 ETH та 100,000,000 токенів TOMMI, а також активно купувала токени TOMMI через інші адреси, щоб сфальсифікувати обсяги торгів ліквідної пулі та залучити користувачів і боти для нових покупок на ланцюгу. Коли певна кількість ботів була обманута, атакуюча сторона використала адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller знищив ліквідну пулу за допомогою 38,739,354 токенів TOMMI, обмінявши їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить від зловмисного дозволу Approve контракту токена TOMMI, який під час розгортання надає Rug Puller права на підтвердження ліквідної пулі, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідної пулі, а потім виконувати Rug Pull.
Rug Pull надішле отримані кошти на проміжну адресу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Проміжна адреса надішле кошти на адресу зберігання коштів: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Процес Rug Pull
1. Підготуйте кошти для атаки.
Зловмисник через біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
2. Розгортання токенів Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
3. Створення початкового ліквідного пулу.
Deployer використав 1.5 Етер та всі попередньо видобуті Токени для створення ліквіднісного пулу, отримавши близько 0.387 LP токенів.
4. Знищити всі попередньо видобуті обсяги Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на цьому етапі Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов для залучення ботів для нових інвестицій, деякі боти оцінюють, чи існує ризик Rug Pull для нових токенів, що потрапляють до пулу, Deployer також встановлює власника контракту на адресу 0, щоб обманути антишахрайські програми ботів).
5. Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, штучно підвищуючи обсяги торгівлі в пулі, що додатково приваблює боти для нових інвестицій (підстави для визначення цих адрес як маскувальних зловмисників: кошти на відповідних адресах походять з історичних адрес переказу коштів групи Rug Pull).
6. Зловмисник здійснив Rug Pull через адресу Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідності через бекдор токена, а потім використавши ці токени для розподілу в池, отримавши близько 3.95 ETH.
7. Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
8. Проміжна адреса 0xD921 відправляє кошти на адреса зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де зібрано великі обсяги коштів з багатьох випадків Rug Pull, адреса зберігання коштів розподілить більшу частину отриманих коштів, щоб розпочати новий раунд Rug Pull, а решту невелику частину коштів буде виведено через біржу.
Код для підриву Rug Pull
Хоча зловмисники вже намагалися довести зовнішньому світу, знищивши LP токени, що не можуть провести Rug Pull, насправді зловмисники залишили зловмисний бекдор у функції openTrading контракту TOMMI токена, який дозволяє бекдору під час створення ліквідного пулу схвалити передачу токенів на адресу Rug Puller, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
Основна функція реалізації функції openTrading полягає у створенні нового пулу ліквідності, але зловмисник викликав у цій функції бекдор-функцію onInit, що дозволяє uniswapV2Pair надати адресу _chefAddress дозвіл на переміщення токена у кількості type(uint256). Серед них uniswapV2Pair є адресою пулу ліквідності, а _chefAddress є адресою Rug Puller, яка вказується під час розгортання контракту.
Моделізація злочину
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує кошти через біржу: зловмисник спочатку надає джерело фінансування для адреси розгортача (Deployer) через біржу.
Deployer створює ліквідний пул і знищує LP токени: після створення токена Rug Pull, розробник негайно створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (зазвичай кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквідному пулі. У інших випадках, Rug Puller також може отримати ETH з пулу шляхом видалення ліквідності.
Rug Puller перенесе ETH, отриманий від Rug Pull, на адресу збереження коштів: Rug Puller перенесе отриманий ETH на адресу збереження коштів, іноді через проміжну адресу.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
2
Поділіться
Прокоментувати
0/400
OnChain_Detective
· 07-21 10:48
аналіз шаблонів показує, що 80% з рогаток підписуються на ідентичні гаманці... але новачки ніколи не вчаться, смх
Переглянути оригіналвідповісти на0
RugPullAlarm
· 07-21 10:42
Знову підтвердило моє попереднє попередження про дані у блокчейні, 90% так званих нових проектів - це схема.
Екосистема Ethereum майже половина нових токенів підозрюється в замилюванні очей, масштаб якого досягає 800 мільйонів доларів.
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Огляд
У світі Web3 нові токени постійно з'являються. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають без підстав. Протягом останніх кількох місяців команда з безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що всі токени, які були залучені в ці випадки, є новими токенами, які тільки-но з'явилися в ланцюгу.
Потім було проведено ґрунтовне розслідування цих випадків Rug Pull, в результаті якого виявлено організовані злочинні групи, а також підсумовано типові характеристики цих шахрайств. Після детального аналізу методів злочинної діяльності цих груп було виявлено один з можливих шляхів шахрайського просування групами Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" у деяких групах, щоб залучити користувачів до покупки шахрайських токенів і в кінцевому підсумку отримати прибуток через Rug Pull.
Статистично проаналізовано інформацію про токени, які були надіслані в цих Telegram-групах з початку листопада 2023 року до початку серпня 2024 року, і виявлено, що було надіслано 93,930 нових токенів, з яких 46,526 токенів були пов'язані з Rug Pull, що становить 49.53%. За даними, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, а прибуток становив 282,699.96 ETH з доходністю до 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які просуваються в групах Telegram на основній мережі Ethereum, були зібрані дані про нові токени, випущені на основній мережі Ethereum за той же період. Дані показують, що за цей час було випущено 100,260 нових токенів, з яких токени, просунуті через групи Telegram, складають 89.99% основної мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після проведення глибоких розслідувань виявлена неприємна істина — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, на основній мережі Ethereum практично кожен другий новий токен пов'язаний із шахрайством.
Крім того, було виявлено більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що безпека нових токенів у всьому екосистемі Web3 значно гірша, ніж очікувалося, не лише в основній мережі Ethereum. Тому було написано цей дослідницький звіт, з надією, що він допоможе всім членам Web3 підвищити свою обізнаність про запобігання ризикам, залишатися на чеку перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перш ніж розпочати цей звіт, давайте спочатку ознайомимося з деякими основними поняттями.
ERC-20 Токен є одним з найпоширеніших стандартів токенів у блокчейні, який визначає набір норм, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токена, такі як переказ, запит балансу, авторизація третіх осіб для управління токенами тощо. Завдяки цьому стандартизованому протоколу розробникам легше випускати та керувати токенами, що спрощує процес створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 та залучити стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токен став основою багатьох ICO та децентралізованих фінансових проектів.
USDT, PEPE, DOGE, які ми знаємо, належать до токенів ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські угрупування також можуть випускати зловмисні токени ERC-20 із кодовими бекдорами, виставляючи їх на децентралізовані біржі та спокушаючи користувачів на покупки.
Типові випадки шахрайства з токенами Rug Pull
Тут ми використовуємо випадок шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель роботи зловмисних токенних шахрайств. По-перше, слід зазначити, що Rug Pull — це шахрайська дія, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованих фінансових проєктах, внаслідок чого інвестори зазнають величезних збитків. Токени Rug Pull — це токени, які спеціально випускаються для здійснення такого шахрайства.
У статті згадуються токени Rug Pull, які іноді також називають "медова банка (Honey Pot) токени" або "вихідний шахрайство (Exit Scam) токени", але в подальшому ми будемо однозначно називати їх токенами Rug Pull.
випадок
Атакуюча сторона (група Rug Pull) використала адресу Deployer (0x4bAF) для розгортання токена TOMMI, після чого створила ліквіднісну пулу з 1,5 ETH та 100,000,000 токенів TOMMI, а також активно купувала токени TOMMI через інші адреси, щоб сфальсифікувати обсяги торгів ліквідної пулі та залучити користувачів і боти для нових покупок на ланцюгу. Коли певна кількість ботів була обманута, атакуюча сторона використала адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller знищив ліквідну пулу за допомогою 38,739,354 токенів TOMMI, обмінявши їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить від зловмисного дозволу Approve контракту токена TOMMI, який під час розгортання надає Rug Puller права на підтвердження ліквідної пулі, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідної пулі, а потім виконувати Rug Pull.
відповідна адреса
відповідні угоди
Процес Rug Pull
1. Підготуйте кошти для атаки.
Зловмисник через біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
2. Розгортання токенів Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
3. Створення початкового ліквідного пулу.
Deployer використав 1.5 Етер та всі попередньо видобуті Токени для створення ліквіднісного пулу, отримавши близько 0.387 LP токенів.
4. Знищити всі попередньо видобуті обсяги Токенів.
Token Deployer відправляє всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на цьому етапі Token Deployer теоретично вже втратив можливість Rug Pull. (Це також є однією з необхідних умов для залучення ботів для нових інвестицій, деякі боти оцінюють, чи існує ризик Rug Pull для нових токенів, що потрапляють до пулу, Deployer також встановлює власника контракту на адресу 0, щоб обманути антишахрайські програми ботів).
5. Фальшивий обсяг торгів.
Зловмисники активно купують токени TOMMI з ліквіднісного пулу з кількох адрес, штучно підвищуючи обсяги торгівлі в пулі, що додатково приваблює боти для нових інвестицій (підстави для визначення цих адрес як маскувальних зловмисників: кошти на відповідних адресах походять з історичних адрес переказу коштів групи Rug Pull).
6. Зловмисник здійснив Rug Pull через адресу Rug Puller (0x43A9), безпосередньо вивівши 38,739,354 токенів з ліквідності через бекдор токена, а потім використавши ці токени для розподілу в池, отримавши близько 3.95 ETH.
7. Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
8. Проміжна адреса 0xD921 відправляє кошти на адреса зберігання коштів 0x2836. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де зібрано великі обсяги коштів з багатьох випадків Rug Pull, адреса зберігання коштів розподілить більшу частину отриманих коштів, щоб розпочати новий раунд Rug Pull, а решту невелику частину коштів буде виведено через біржу.
Код для підриву Rug Pull
Хоча зловмисники вже намагалися довести зовнішньому світу, знищивши LP токени, що не можуть провести Rug Pull, насправді зловмисники залишили зловмисний бекдор у функції openTrading контракту TOMMI токена, який дозволяє бекдору під час створення ліквідного пулу схвалити передачу токенів на адресу Rug Puller, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідного пулу.
Основна функція реалізації функції openTrading полягає у створенні нового пулу ліквідності, але зловмисник викликав у цій функції бекдор-функцію onInit, що дозволяє uniswapV2Pair надати адресу _chefAddress дозвіл на переміщення токена у кількості type(uint256). Серед них uniswapV2Pair є адресою пулу ліквідності, а _chefAddress є адресою Rug Puller, яка вказується під час розгортання контракту.
Моделізація злочину
Аналізуючи випадок TOMMI, ми можемо підсумувати наступні 4 характеристики:
Deployer отримує кошти через біржу: зловмисник спочатку надає джерело фінансування для адреси розгортача (Deployer) через біржу.
Deployer створює ліквідний пул і знищує LP токени: після створення токена Rug Pull, розробник негайно створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (зазвичай кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквідному пулі. У інших випадках, Rug Puller також може отримати ETH з пулу шляхом видалення ліквідності.
Rug Puller перенесе ETH, отриманий від Rug Pull, на адресу збереження коштів: Rug Puller перенесе отриманий ETH на адресу збереження коштів, іноді через проміжну адресу.
Ці характеристики є загальними.