以太坊生態近半新代幣涉嫌Rug Pull 騙局規模達8億美元

2025-07-21 10:21:11

深入調查Rug Pull案例，揭祕以太坊代幣生態亂象

簡介

在Web3世界中，新代幣不斷湧現。你是否想過，每天究竟有多少新代幣在發行？這些新代幣都安全嗎？

這些疑問的產生並非無的放矢。在過去數月裏，安全團隊捕捉到了大量的Rug Pull交易案例。值得注意的是，這些案例中所涉及的代幣無一例外都是剛剛上鏈的新代幣。

隨後，對這些Rug Pull案例進行了深入調查，發現背後存在組織化的作案團夥，並總結了這些騙局的模式化特徵。通過深入分析這些團夥的作案手法，發現了Rug Pull團夥一種可能的詐騙推廣途徑：Telegram羣組。這些團夥利用某些羣組中的"New Token Tracer"功能吸引用戶購買詐騙代幣並最終通過Rug Pull牟利。

統計了從2023年11月至2024年8月初期間這些Telegram羣組的代幣推送信息，發現共推送了93,930種新代幣，其中涉及Rug Pull的代幣共有46,526種，佔比高達49.53%。據統計，這些Rug Pull代幣背後團夥的累計投入成本爲149,813.72 ETH，並以高達188.7%的回報率牟利282,699.96 ETH，折合約8億美元。

爲了評估Telegram羣組推送的新代幣在以太坊主網中的佔比，統計了相同時間段內以太坊主網上發行的新代幣數據。數據顯示，在此期間共有100,260種新代幣發行，其中通過Telegram羣組推送的代幣佔主網的89.99%。平均每天約有370種新代幣誕生，遠超合理預期。在經過不斷深入地調查之後，發現的真相令人不安——其中至少48,265種代幣涉及Rug Pull詐騙，佔比高達48.14%。換句話說，以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外，還在其他區塊鏈網路中發現了更多的Rug Pull案例。這意味着不僅是以太坊主網，整個Web3新發代幣生態的安全狀況遠比預期更加嚴峻。因此，撰寫了這份調研報告，希望能夠幫助所有Web3成員提升防範意識，在面對層出不窮的騙局時保持警惕，並及時採取必要的預防措施，保護好自己的資產安全。

ERC-20 代幣（Token）

在正式開始本報告之前，我們先來了解一些基礎概念。

ERC-20代幣是目前區塊鏈上最常見的代幣標準之一，它定義了一組規範，使得代幣可以在不同的智能合約和去中心化應用程式（dApp）之間進行互操作。ERC-20標準規定了代幣的基本功能，例如轉帳、查詢餘額、授權第三方管理代幣等。由於這一標準化的協議，開發者可以更輕鬆地發行和管理代幣，從而簡化了代幣的創建和使用。實際上，任何個人或組織都可以基於ERC-20標準發行自己的代幣，並通過預售代幣爲各種金融項目籌集啓動資金。正因爲ERC-20代幣的廣泛應用，它成爲了許多ICO和去中心化金融項目的基礎。

我們熟悉的USDT、PEPE、DOGE都屬於ERC-20代幣，用戶可以通過去中心化交易所購買這些代幣。然而，某些詐騙團夥也可能自行發行帶有代碼後門的惡意ERC-20代幣，將其上架到去中心化交易所，再誘導用戶進行購買。

Rug Pull代幣的典型詐騙案例

在這裏，我們借用一個Rug Pull代幣的詐騙案例，深入了解惡意代幣詐騙的運營模式。首先需要說明的是，Rug Pull是指項目方在去中心化金融項目中，突然抽走資金或放棄項目，導致投資者蒙受巨大損失的欺詐行爲。而Rug Pull代幣則是專門爲實施這種詐騙行爲而發行的代幣。

本文中提到的Rug Pull代幣，有時也被稱爲"蜜罐（Honey Pot）代幣"或"退出騙局（Exit Scam）代幣"，但在下文中我們將統一稱其爲Rug Pull代幣。

案例

攻擊者（Rug Pull團夥）用Deployer地址（0x4bAF）部署TOMMI代幣，然後用1.5個ETH和100,000,000個TOMMI創建流動性池，並通過其他地址主動購買TOMMI代幣來僞造流動性池交易量以吸引用戶和鏈上的打新機器人購買TOMMI代幣。當有一定數量的打新機器人上當後，攻擊者用Rug Puller地址（0x43a9）來執行Rug Pull，Rug Puller用38,739,354TOMMI代幣砸流動性池，兌換出約3.95個ETH。Rug Puller的代幣來源於TOMMI代幣合約的惡意Approve授權，TOMMI代幣合約部署時會爲Rug Puller授予流動性池的approve權限，這使得Rug Puller可以直接從流動性池裏轉出TOMMI代幣然後進行Rug Pull。

Rug Pull過程

1. 準備攻擊資金。

攻擊者通過交易所，向Token Deployer（0x4bAF）充值2.47309009ETH作爲Rug Pull的啓動資金。

2. 部署帶後門的Rug Pull代幣。

Deployer創建TOMMI代幣，預挖100,000,000個代幣並分配給自身。

3. 創建初始流動性池。

Deployer用1.5個ETH和預挖的所有代幣創建流動性池，獲得了約0.387個LP代幣。

4. 銷毀所有預挖的Token供應量。

Token Deployer將所有LP代幣發送至0地址銷毀，由於TOMMI合約中沒有Mint功能，因此此時Token Deployer理論上已經失去了Rug Pull能力。（這也是吸引打新機器人入場的必要條件之一，部分打新機器人會評估新入池的代幣是否存在Rug Pull風險，Deployer還將合約的Owner設置爲0地址，都是爲了騙過打新機器人的反詐程序）。

5. 僞造交易量。

攻擊者用多個地址主動從流動性池中購買TOMMI代幣，炒高池子的交易量，進一步吸引打新機器人入場（判斷這些地址是攻擊者僞裝的依據：相關地址的資金來自Rug Pull團夥的歷史資金中轉地址）。

6. 攻擊者通過Rug Puller地址（0x43A9）發起Rug Pull，通過token的後門直接從流動性池中轉出38,739,354個代幣，然後再用這些代幣砸池子，套出約3.95個ETH。

7. 攻擊者將Rug Pull所得資金發送至中轉地址0xD921。

8. 中轉地址0xD921將資金發送至資金留存地址0x2836。從這裏我們可以看出，當Rug Pull完成後，Rug Puller會將資金發送至某個資金留存地址。資金留存地址是監控到的大量Rug Pull案例的資金歸集處，資金留存地址會將收到的大部分資金進行拆分以開始新一輪的Rug Pull，而其餘少量資金會經由交易所提現。

Rug Pull代碼後門

攻擊者雖然已經通過銷毀LP代幣來試圖向外界證明他們沒辦法進行Rug Pull，但是實際上攻擊者卻在TOMMI代幣合約的openTrading函數中留下一個惡意approve的後門，這個後門會在創建流動性池時讓流動性池向Rug Puller地址approve代幣的轉移權限，使得Rug Puller地址可以直接從流動性池中轉走代幣。

openTrading函數的實現主要功能是創建新的流動性池，但攻擊者卻在該函數內調用了後門函數onInit，讓uniswapV2Pair向_chefAddress地址approve數量爲type(uint256)的代幣轉移權限。其中uniswapV2Pair爲流動性池地址，_chefAddress爲Rug Puller地址，_chefAddress在合約部署時指定。

作案模式化

通過分析TOMMI案例，我們可以總結出以下4個特點：

Deployer通過交易所獲取資金：攻擊者首先通過交易所爲部署者地址（Deployer）提供資金來源。
Deployer創建流動性池並銷毀LP代幣：部署者在創建完Rug Pull代幣後，會立刻爲其創建流動性池，並銷毀LP代幣，以增加項目的可信度，吸引更多投資者。
Rug Puller用大量代幣兌換流動性池中的ETH：Rug Pull地址（Rug Puller）使用大量代幣（通常數量遠超代幣總供應量）來兌換流動性池中的ETH。其他案例中，Rug Puller也有通過移除流動性來獲取池中ETH的情況。
Rug Puller將Rug Pull獲得的ETH轉移至資金留存地址：Rug Puller會將獲取到的ETH轉移到資金留存地址，有時通過中間地址進行過渡。

上述這些特點普遍存

ETH-1.24%

查看原文

此頁面可能包含第三方內容，僅供參考（非陳述或保證），不應被視為 Gate 認可其觀點表述，也不得被視為財務或專業建議。詳見聲明。

7人點讚了這條動態

讚賞
7
2
分享

留言

0/400

OnChain_Detective

· 07-21 10:48

模式分析表明80%的拉盘骗局关注相同的钱包群体……但新手永远不会吸取教训，唉

查看原文回復0

RugPull预警机

· 07-21 10:42

又验证了我之前的链上数据预警 90%所谓新项目都是盘

回復0

話題
1/3
1山寨季來了？
27263 熱度
2穩定幣監管風暴
11864 熱度
3Gate 6月透明度報告
25961 熱度
4以太坊突破3800
29634 熱度
5Strategy增持比特幣
16207 熱度