# Rug Pull事例の徹底調査、イーサリアムトークンエコシステムの混乱を明らかにするWeb3の世界では、新しいトークンが次々と登場しています。毎日、いったいどれくらいの新しいトークンが発行されているか考えたことはありますか?これらの新しいトークンは安全なのでしょうか?これらの疑問は無意味ではありません。ここ数ヶ月、セキュリティチームは大量のRug Pull取引ケースを捕捉しました。注目すべきは、これらのケースに関与しているトークンは例外なく、ちょうど上チェーンされた新しいトークンであるということです。その後、これらのRug Pullのケースについて詳細な調査を行い、背後に組織化された犯罪グループが存在することを発見し、これらの詐欺のパターン化した特徴をまとめました。これらのグループの手法を深く分析することで、Rug Pullグループの一つの可能性のある詐欺のプロモーション手段を発見しました: Telegramグループ。このグループは、特定のグループ内の「New Token Tracer」機能を利用して、ユーザーに詐欺トークンの購入を促し、最終的にはRug Pullによって利益を得ています。統計によると、2023年11月から2024年8月初めの期間にこれらのTelegramグループは合計93,930種類の新しいトークンをプッシュしました。その中で、Rug Pullに関与するトークンは46,526種類で、割合は49.53%に達します。これらのRug Pullトークンの背後にいるグループの累積投入コストは149,813.72 ETHであり、最大188.7%のリターン率で282,699.96 ETHを利益として得ており、約8億ドルに相当します。Telegramグループがプッシュした新しいトークンのイーサリアムメインネットにおける割合を評価するために、同じ期間内にイーサリアムメインネットで発行された新しいトークンのデータを統計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループがプッシュしたトークンはメインネットの89.99%を占めています。平均して、毎日約370種類の新しいトークンが誕生しており、合理的な期待を大きく超えています。詳細な調査の結果、少なくとも48,265種類のトークンがラグプル詐欺に関与していることが判明し、その割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上の新しいトークンのほぼ2つに1つが詐欺に関与していることになります。さらに、他のブロックチェーンネットワークでも多くのRug Pullの事例が発見されています。これは、イーサリアムのメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味します。したがって、すべてのWeb3メンバーが防止意識を高め、絶え間ない詐欺に直面したときに警戒を保ち、適時必要な予防措置を講じて自分の資産の安全を守る手助けができることを願っています。! [Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする](https://img-cdn.gateio.im/social/moments-a0a59cfa0d101a0dfe9e28654eca11c4)## ERC-20トークン(Token)正式にこのレポートを始める前に、いくつかの基本的な概念を理解しましょう。ERC-20トークンは現在のブロックチェーン上で最も一般的なトークン標準の一つであり、一連の規範を定義しており、トークンが異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用できるようにしています。ERC-20標準はトークンの基本機能を規定しており、例えば送金、残高の照会、第三者のトークン管理の許可などがあります。この標準化されたプロトコルのおかげで、開発者はトークンをより簡単に発行・管理できるため、トークンの作成と使用が簡素化されます。実際、個人または組織はERC-20標準に基づいて自分のトークンを発行でき、プレセールを通じて様々な金融プロジェクトの資金を調達できます。ERC-20トークンの広範な利用により、それは多くのICOや分散型金融プロジェクトの基盤となっています。私たちがよく知っているUSDT、PEPE、DOGEはERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺グループは、コードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させてユーザーに購入を誘導する可能性があります。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-28cc464cbdea7aa32a0d954c27b1f894)## ラグプルトークンの典型的な詐欺ケースここでは、Rug Pullトークンの詐欺事例を借用して、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullとは、プロジェクトチームが分散型金融プロジェクトの中で突然資金を引き抜いたり、プロジェクトを放棄したりすることを指し、投資家に巨大な損失をもたらす詐欺行為です。そして、Rug Pullトークンはこのような詐欺行為を実施するために特別に発行されたトークンです。本文中提到のRug Pullトークンは、時々「ハニーポットトークン」や「出口詐欺トークン」とも呼ばれますが、以下では統一してRug Pullトークンと呼ぶことにします。### ケース攻撃者(Rug Pull団伙)はDeployerアドレス(0x4bAF)でTOMMIトークンを展開し、1.5ETHと100,000,000TOMMIを使って流動性プールを作成し、他のアドレスを通じてTOMMIトークンを積極的に購入して流動性プールの取引量を偽装し、ユーザーとチェーン上の打新ロボットをTOMMIトークン購入に誘導します。一定数の打新ロボットが引っかかると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンで流動性プールを破壊し、約3.95ETHを引き換えます。Rug PullerのトークンはTOMMIトークン契約の悪意のあるApprove権限から来ており、TOMMIトークン契約が展開される際にRug Pullerに流動性プールのapprove権限が付与されているため、Rug Pullerは流動性プールから直接TOMMIトークンを転出し、Rug Pullを実行することができます。### 関連アドレス- デプロイヤー:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7- TOMMIトークン:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F - ラグプーラー:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b- ラグプラーは、(の1つ)ユーザーを偽装しました:0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8- ラグプル:0x1d3970677aa2324E4822b293e500220958d493d0- ラグプル保持アドレス:0x28367D2656434b928a6799E0B091045e2ee84722###関連取引- デプロイヤーは取引所からスタートアップ資本を得る:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457- TOMMIトークンのデプロイ:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8- 流動性プールを作成する:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c- 資金リレーアドレスは、次のいずれかの( )偽装ユーザーに資金を送金します0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff- ユーザーのふりをしてトークンを購入する(、)のいずれか:0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231- ラグプル:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c- ラグプルは得られた資金を中継アドレスに送信します: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523- トランジットアドレス:資金の保持アドレスに資金を送金します:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7### ラグプルプロセス1.資金を攻撃する準備をします。この取引所を通じて、攻撃者はRug Pullの開始資金としてToken Deployer(0x4bAF)に2.47309009ETHを入金しました。2. バックドアを持つラグプルトークンを展開する。DeployerがTOMMIトークンを作成し、1億個のトークンをプレマイニングして自分に配分しました。3. 初期流動性プールを作成します。Deployerは1.5個のETHとプレマイニングされたすべてのトークンを使用して流動性プールを作成し、約0.387個のLPトークンを獲得しました。4. すべてのプレマイニングされたトークンの供給量を廃棄します。Token DeployerはすべてのLPトークンを0アドレスに送信して廃棄します。TOMMIコントラクトにはMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規参入ボットを引き付けるための必要条件の一つでもあり、一部の新規参入ボットは新たにプールに入ったトークンにRug Pullリスクが存在するかどうかを評価します。DeployerはコントラクトのOwnerを0アドレスに設定しており、これは新規参入ボットの詐欺防止プログラムを欺くためです)。5. 取引量の改ざん。攻撃者は複数のアドレスを使用して流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を炒り上げ、さらに新規購入ボットを引き寄せます(。これらのアドレスが攻撃者による偽装であることを判断する根拠:関連アドレスの資金はRug Pullグループの歴史的資金中継アドレスから来ています)。6. 攻撃者はRug Pullerアドレス(0x43A9)を通じてRug Pullを開始し、トークンのバックドアを介して流動性プールから直接38,739,354個のトークンを転送し、その後これらのトークンを使用してプールを攻撃し、約3.95個のETHを引き出しました。7. 攻撃者はRug Pullで得た資金を中継アドレス0xD921に送信します。8. 中継アドレス0xD921は、資金を資金保持アドレス0x2836に送信します。ここから、Rug Pullが完了した後、Rug Pullerが資金をどこかの資金保持アドレスに送信することがわかります。資金保持アドレスは、監視されている多数のRug Pullケースの資金が集まる場所であり、資金保持アドレスは受け取った大部分の資金を分割して新たなRug Pullを開始し、残りの少量の資金は取引所を通じて引き出されます。資金保持アドレスがいくつか発見され、0x2836はそのうちの一つです。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-e5f43d39fa77597ff8f872a1d98cd3ac)### ラグプルコードのバックドア攻撃者はLPトークンを破壊することによって、外部に対してRug Pullができないことを証明しようとしましたが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しました。このバックドアは流動性プールを作成する際に、流動性プールがRug Pullerアドレスにトークンの転送権限をapproveすることを可能にし、Rug Pullerアドレスが流動性プールから直接トークンを移動させることができるようになります。openTrading関数の実装の主な機能は新しい流動性プールを作成することですが、攻撃者はその関数内でバックドア関数onInitを呼び出し、uniswapV2Pairから_chefAddressアドレスに対して数量がtype(uint256)のトークン移転権限を承認しました。ここで、uniswapV2Pairは流動性プールのアドレスであり、_chefAddressはRug Pullerのアドレスで、_chefAddressは契約のデプロイ時に指定されます。! [ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする](https://img-cdn.gateio.im/social/moments-ed67ee56316de1b6a3f2649e45ceeb82)### 事件のパターン化TOMMIのケースを分析することで、以下の4つの特徴をまとめることができます:1. Deployerは取引所から資金を取得します: 攻撃者はまず取引所を通じて、デプロイアーのアドレス(Deployer)に資金源を提供します。2. Deployerが流動性プールを作成し、LPトークンを消去する: デプロイヤーはRug Pullトークンを作成した後、すぐにそのために流動性プールを作成し、LPトークンを消去してプロジェクトの信頼性を高め、より多くの投資家を引き付けます。3. ラグプラーは大量のトークンを使用して流動性プール内のETHを交換します:ラグプルアドレス(ラグプラー)は通常、トークンの総供給量(を大幅に超える大量のトークン)を使用して流動性プール内のETHと交換します。他のケースでは、ラグプラーも流動性を撤去することでプール内のETHを取得することがあります。4. Rug PullerはRug Pullで得たETHを資金留保アドレスに移動させます: Rug Pullerは得たETHを資金留保アドレスに移動させることがあり、時には中間アドレスを介して移行します。上述の特徴は捕獲されたケースに普遍的に存在し、Rug Pull行為には明らかなパターン化された特性があることを示しています。また、Rug Pullが完了した後、資金は通常、資金留保アドレスに集められ、これらの一見独立したRug Pullケースの背後には同じグループまたは同一の詐欺団体が関与している可能性があることを示唆しています。これらの特徴に基づいて、私たちはRug Pullの行動パターンを抽出し、このパターンを利用しました。
イーサリアムトークンエコシステムの混乱:Rug Pullの事例が49%の新トークンに詐欺が関与していることを明らかにする
Rug Pull事例の徹底調査、イーサリアムトークンエコシステムの混乱を明らかにする
Web3の世界では、新しいトークンが次々と登場しています。毎日、いったいどれくらいの新しいトークンが発行されているか考えたことはありますか?これらの新しいトークンは安全なのでしょうか?
これらの疑問は無意味ではありません。ここ数ヶ月、セキュリティチームは大量のRug Pull取引ケースを捕捉しました。注目すべきは、これらのケースに関与しているトークンは例外なく、ちょうど上チェーンされた新しいトークンであるということです。
その後、これらのRug Pullのケースについて詳細な調査を行い、背後に組織化された犯罪グループが存在することを発見し、これらの詐欺のパターン化した特徴をまとめました。これらのグループの手法を深く分析することで、Rug Pullグループの一つの可能性のある詐欺のプロモーション手段を発見しました: Telegramグループ。このグループは、特定のグループ内の「New Token Tracer」機能を利用して、ユーザーに詐欺トークンの購入を促し、最終的にはRug Pullによって利益を得ています。
統計によると、2023年11月から2024年8月初めの期間にこれらのTelegramグループは合計93,930種類の新しいトークンをプッシュしました。その中で、Rug Pullに関与するトークンは46,526種類で、割合は49.53%に達します。これらのRug Pullトークンの背後にいるグループの累積投入コストは149,813.72 ETHであり、最大188.7%のリターン率で282,699.96 ETHを利益として得ており、約8億ドルに相当します。
Telegramグループがプッシュした新しいトークンのイーサリアムメインネットにおける割合を評価するために、同じ期間内にイーサリアムメインネットで発行された新しいトークンのデータを統計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループがプッシュしたトークンはメインネットの89.99%を占めています。平均して、毎日約370種類の新しいトークンが誕生しており、合理的な期待を大きく超えています。詳細な調査の結果、少なくとも48,265種類のトークンがラグプル詐欺に関与していることが判明し、その割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上の新しいトークンのほぼ2つに1つが詐欺に関与していることになります。
さらに、他のブロックチェーンネットワークでも多くのRug Pullの事例が発見されています。これは、イーサリアムのメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味します。したがって、すべてのWeb3メンバーが防止意識を高め、絶え間ない詐欺に直面したときに警戒を保ち、適時必要な予防措置を講じて自分の資産の安全を守る手助けができることを願っています。
! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする
ERC-20トークン(Token)
正式にこのレポートを始める前に、いくつかの基本的な概念を理解しましょう。
ERC-20トークンは現在のブロックチェーン上で最も一般的なトークン標準の一つであり、一連の規範を定義しており、トークンが異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用できるようにしています。ERC-20標準はトークンの基本機能を規定しており、例えば送金、残高の照会、第三者のトークン管理の許可などがあります。この標準化されたプロトコルのおかげで、開発者はトークンをより簡単に発行・管理できるため、トークンの作成と使用が簡素化されます。実際、個人または組織はERC-20標準に基づいて自分のトークンを発行でき、プレセールを通じて様々な金融プロジェクトの資金を調達できます。ERC-20トークンの広範な利用により、それは多くのICOや分散型金融プロジェクトの基盤となっています。
私たちがよく知っているUSDT、PEPE、DOGEはERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺グループは、コードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させてユーザーに購入を誘導する可能性があります。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
ラグプルトークンの典型的な詐欺ケース
ここでは、Rug Pullトークンの詐欺事例を借用して、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullとは、プロジェクトチームが分散型金融プロジェクトの中で突然資金を引き抜いたり、プロジェクトを放棄したりすることを指し、投資家に巨大な損失をもたらす詐欺行為です。そして、Rug Pullトークンはこのような詐欺行為を実施するために特別に発行されたトークンです。
本文中提到のRug Pullトークンは、時々「ハニーポットトークン」や「出口詐欺トークン」とも呼ばれますが、以下では統一してRug Pullトークンと呼ぶことにします。
ケース
攻撃者(Rug Pull団伙)はDeployerアドレス(0x4bAF)でTOMMIトークンを展開し、1.5ETHと100,000,000TOMMIを使って流動性プールを作成し、他のアドレスを通じてTOMMIトークンを積極的に購入して流動性プールの取引量を偽装し、ユーザーとチェーン上の打新ロボットをTOMMIトークン購入に誘導します。一定数の打新ロボットが引っかかると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンで流動性プールを破壊し、約3.95ETHを引き換えます。Rug PullerのトークンはTOMMIトークン契約の悪意のあるApprove権限から来ており、TOMMIトークン契約が展開される際にRug Pullerに流動性プールのapprove権限が付与されているため、Rug Pullerは流動性プールから直接TOMMIトークンを転出し、Rug Pullを実行することができます。
関連アドレス
###関連取引
ラグプルプロセス
1.資金を攻撃する準備をします。
この取引所を通じて、攻撃者はRug Pullの開始資金としてToken Deployer(0x4bAF)に2.47309009ETHを入金しました。
DeployerがTOMMIトークンを作成し、1億個のトークンをプレマイニングして自分に配分しました。
Deployerは1.5個のETHとプレマイニングされたすべてのトークンを使用して流動性プールを作成し、約0.387個のLPトークンを獲得しました。
Token DeployerはすべてのLPトークンを0アドレスに送信して廃棄します。TOMMIコントラクトにはMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規参入ボットを引き付けるための必要条件の一つでもあり、一部の新規参入ボットは新たにプールに入ったトークンにRug Pullリスクが存在するかどうかを評価します。DeployerはコントラクトのOwnerを0アドレスに設定しており、これは新規参入ボットの詐欺防止プログラムを欺くためです)。
攻撃者は複数のアドレスを使用して流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を炒り上げ、さらに新規購入ボットを引き寄せます(。これらのアドレスが攻撃者による偽装であることを判断する根拠:関連アドレスの資金はRug Pullグループの歴史的資金中継アドレスから来ています)。
攻撃者はRug Pullerアドレス(0x43A9)を通じてRug Pullを開始し、トークンのバックドアを介して流動性プールから直接38,739,354個のトークンを転送し、その後これらのトークンを使用してプールを攻撃し、約3.95個のETHを引き出しました。
攻撃者はRug Pullで得た資金を中継アドレス0xD921に送信します。
中継アドレス0xD921は、資金を資金保持アドレス0x2836に送信します。ここから、Rug Pullが完了した後、Rug Pullerが資金をどこかの資金保持アドレスに送信することがわかります。資金保持アドレスは、監視されている多数のRug Pullケースの資金が集まる場所であり、資金保持アドレスは受け取った大部分の資金を分割して新たなRug Pullを開始し、残りの少量の資金は取引所を通じて引き出されます。資金保持アドレスがいくつか発見され、0x2836はそのうちの一つです。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
ラグプルコードのバックドア
攻撃者はLPトークンを破壊することによって、外部に対してRug Pullができないことを証明しようとしましたが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しました。このバックドアは流動性プールを作成する際に、流動性プールがRug Pullerアドレスにトークンの転送権限をapproveすることを可能にし、Rug Pullerアドレスが流動性プールから直接トークンを移動させることができるようになります。
openTrading関数の実装の主な機能は新しい流動性プールを作成することですが、攻撃者はその関数内でバックドア関数onInitを呼び出し、uniswapV2Pairから_chefAddressアドレスに対して数量がtype(uint256)のトークン移転権限を承認しました。ここで、uniswapV2Pairは流動性プールのアドレスであり、_chefAddressはRug Pullerのアドレスで、_chefAddressは契約のデプロイ時に指定されます。
! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする
事件のパターン化
TOMMIのケースを分析することで、以下の4つの特徴をまとめることができます:
Deployerは取引所から資金を取得します: 攻撃者はまず取引所を通じて、デプロイアーのアドレス(Deployer)に資金源を提供します。
Deployerが流動性プールを作成し、LPトークンを消去する: デプロイヤーはRug Pullトークンを作成した後、すぐにそのために流動性プールを作成し、LPトークンを消去してプロジェクトの信頼性を高め、より多くの投資家を引き付けます。
ラグプラーは大量のトークンを使用して流動性プール内のETHを交換します:ラグプルアドレス(ラグプラー)は通常、トークンの総供給量(を大幅に超える大量のトークン)を使用して流動性プール内のETHと交換します。他のケースでは、ラグプラーも流動性を撤去することでプール内のETHを取得することがあります。
Rug PullerはRug Pullで得たETHを資金留保アドレスに移動させます: Rug Pullerは得たETHを資金留保アドレスに移動させることがあり、時には中間アドレスを介して移行します。
上述の特徴は捕獲されたケースに普遍的に存在し、Rug Pull行為には明らかなパターン化された特性があることを示しています。また、Rug Pullが完了した後、資金は通常、資金留保アドレスに集められ、これらの一見独立したRug Pullケースの背後には同じグループまたは同一の詐欺団体が関与している可能性があることを示唆しています。
これらの特徴に基づいて、私たちはRug Pullの行動パターンを抽出し、このパターンを利用しました。