Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum
No mundo Web3, novos Tokens surgem constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Essas dúvidas não são infundadas. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os Tokens envolvidos nesses casos são, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, foi realizada uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo que existiam grupos organizados por trás das ações, e foram resumidas as características padronizadas desses golpes. Através da análise aprofundada das táticas desses grupos, foi descoberta uma possível via de promoção de fraude dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar Tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
De acordo com estatísticas, entre novembro de 2023 e o início de agosto de 2024, esses grupos do Telegram enviaram um total de 93.930 novos Tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando uma taxa de 49,53%. O custo total investido pelos grupos por trás desses Tokens Rug Pull foi de 149.813,72 ETH, com um retorno de até 188,7%, lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na mainnet Ethereum, foram estatísticas os dados dos novos tokens emitidos na mainnet Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representam 89,99% da mainnet. Em média, cerca de 370 novos tokens nascem a cada dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, descobriu-se que pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet Ethereum está envolvido em fraudes.
Além disso, também foram encontrados mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Portanto, espera-se poder ajudar todos os membros do Web3 a aumentar a conscientização sobre a prevenção, mantendo-se vigilantes diante de golpes que surgem incessantemente e tomando as medidas preventivas necessárias a tempo, para proteger a segurança de seus ativos.
Token ERC-20 (Token)
Antes de começarmos oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicativos descentralizados (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e o uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token baseado no padrão ERC-20 e arrecadar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente devido à ampla aplicação dos tokens ERC-20 que se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir maliciosos Tokens ERC-20 com códigos de backdoor, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude com um Token Rug Pull para entender melhor o modelo operacional das fraudes de Token malicioso. Primeiro, é necessário esclarecer que Rug Pull refere-se a um comportamento fraudulento em que os desenvolvedores de um projeto retiram repentinamente os fundos ou abandonam o projeto em um projeto de finanças descentralizadas, resultando em grandes perdas para os investidores. O Token Rug Pull, por sua vez, é um Token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também são chamados de "tokens de armadilha" ou "tokens de esquema de saída", mas abaixo referir-nos-emos a eles de forma uniforme como tokens Rug Pull.
caso
Atacantes ( da gangue Rug Pull ) usaram o endereço Deployer (0x4bAF) para implantar o Token TOMMI, e então criaram um pool de liquidez com 1,5 ETH e 100.000.000 Tokens TOMMI, comprando ativamente Tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, atraindo usuários e robôs de lançamento no blockchain a comprar Tokens TOMMI. Quando um certo número de robôs de lançamento cai na armadilha, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, onde o Rug Puller despeja 38.739.354 Tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Approval do contrato do Token TOMMI, que concede permissões de approve do pool de liquidez ao Rug Puller no momento da implantação do contrato do Token TOMMI, permitindo que o Rug Puller retire diretamente Tokens TOMMI do pool de liquidez e então realize o Rug Pull.
Criar pool de liquidez:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
O endereço de transferência de fundos envia fundos para um dos usuários disfarçados (, ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Usuário disfarçado compra Token ( um dos ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull enviar os fundos obtidos para o endereço de transferência:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
O endereço de transferência enviará os fundos para o endereço de retenção de fundos:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
processo de Rug Pull
Preparar fundos para ataque.
O atacante, através da exchange, carregou 2.47309009Éter para o Token Deployer(0x4bAF) como capital inicial para o Rug Pull.
Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 tokens e alocando para si mesmo.
Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
Destruir toda a quantidade de Token pré-minerada.
O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. ( Este também é um dos requisitos necessários para atrair robôs de novas ofertas, alguns robôs de novas ofertas avaliam se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de novas ofertas ).
Volume de transações falso.
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de negociação para o mercado (. A base para julgar que esses endereços são disfarces de atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull ).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desvalorizar o pool, sacando cerca de 3,95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
O endereço de transferência 0xD921 enviará fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é um local onde se concentram grandes quantidades de casos de Rug Pull monitorados; esse endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de uma exchange. Foram encontrados vários endereços de retenção de fundos, 0x2836 é um deles.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull ao destruir os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a pool de liquidez aprove a transferência de tokens para o endereço do Rug Puller ao criar a pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente os tokens da pool de liquidez.
A implementação da função openTrading tem como função principal criar novas pools de liquidez, mas o atacante chamou a função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprova a quantidade de tipo (uint256) para a transferência de tokens para o endereço _chefAddress. Onde uniswapV2Pair é o endereço da pool de liquidez e _chefAddress é o endereço do Rug Puller, que é especificado no momento da implantação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém financiamento através da bolsa: o atacante primeiro fornece uma fonte de financiamento para o endereço do Deployer ( na bolsa.
Deployer cria um pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o implantador imediatamente criará um pool de liquidez para ele e destruirá os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de tokens por ETH no pool de liquidez: Endereço do Rug Pull ) Rug Puller ( utiliza grandes quantidades de tokens ), geralmente em quantidades muito superiores ao fornecimento total de tokens (, para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos, às vezes passando por um endereço intermediário.
As características mencionadas estão amplamente presentes nos casos capturados, o que indica que o comportamento de Rug Pull possui características de padronização evidentes. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de fraudes ou até mesmo ao mesmo esquema.
Com base nessas características, extraímos um padrão de comportamento de Rug Pull e utilizamos esse padrão.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
6
Compartilhar
Comentário
0/400
MemeCoinSavant
· 07-19 22:42
lol estatisticamente falando 49% de novos tokens = gm't certificado
Ver originalResponder0
UnluckyLemur
· 07-18 22:28
Estudar custa muito caro, só se considera iniciado após perder tudo.
Ver originalResponder0
GateUser-954f2c4f
· 07-17 00:17
Empresa HODL💎
Ver originalResponder0
SlowLearnerWang
· 07-16 23:25
Mais uma vez, cheguei tarde. Já estou farto de perdas de corte... Agora, de que serve me dizer rumores?
Ver originalResponder0
LootboxPhobia
· 07-16 23:05
fazer as pessoas de parvas uma vez para lembrar
Ver originalResponder0
HorizonHunter
· 07-16 22:59
Os métodos para fazer as pessoas de parvas estão cada vez mais ousados.
Ecossistema caótico de tokens Ethereum: Casos de Rug Pull revelam que 49% dos novos tokens estão envolvidos em fraudes
Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum
No mundo Web3, novos Tokens surgem constantemente. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Essas dúvidas não são infundadas. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os Tokens envolvidos nesses casos são, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, foi realizada uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo que existiam grupos organizados por trás das ações, e foram resumidas as características padronizadas desses golpes. Através da análise aprofundada das táticas desses grupos, foi descoberta uma possível via de promoção de fraude dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar Tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
De acordo com estatísticas, entre novembro de 2023 e o início de agosto de 2024, esses grupos do Telegram enviaram um total de 93.930 novos Tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando uma taxa de 49,53%. O custo total investido pelos grupos por trás desses Tokens Rug Pull foi de 149.813,72 ETH, com um retorno de até 188,7%, lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na mainnet Ethereum, foram estatísticas os dados dos novos tokens emitidos na mainnet Ethereum durante o mesmo período. Os dados mostram que, nesse período, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representam 89,99% da mainnet. Em média, cerca de 370 novos tokens nascem a cada dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, descobriu-se que pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos tokens na mainnet Ethereum está envolvido em fraudes.
Além disso, também foram encontrados mais casos de Rug Pull em outras redes de blockchain. Isso significa que não apenas a mainnet do Ethereum, mas a segurança de todo o novo ecossistema de tokens do Web3 é muito mais grave do que o esperado. Portanto, espera-se poder ajudar todos os membros do Web3 a aumentar a conscientização sobre a prevenção, mantendo-se vigilantes diante de golpes que surgem incessantemente e tomando as medidas preventivas necessárias a tempo, para proteger a segurança de seus ativos.
Token ERC-20 (Token)
Antes de começarmos oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, definindo um conjunto de normas que permitem que os tokens sejam interoperáveis entre diferentes contratos inteligentes e aplicativos descentralizados (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e o uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token baseado no padrão ERC-20 e arrecadar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente devido à ampla aplicação dos tokens ERC-20 que se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir maliciosos Tokens ERC-20 com códigos de backdoor, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Token Rug Pull
Aqui, usamos um caso de fraude com um Token Rug Pull para entender melhor o modelo operacional das fraudes de Token malicioso. Primeiro, é necessário esclarecer que Rug Pull refere-se a um comportamento fraudulento em que os desenvolvedores de um projeto retiram repentinamente os fundos ou abandonam o projeto em um projeto de finanças descentralizadas, resultando em grandes perdas para os investidores. O Token Rug Pull, por sua vez, é um Token emitido especificamente para implementar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo, às vezes também são chamados de "tokens de armadilha" ou "tokens de esquema de saída", mas abaixo referir-nos-emos a eles de forma uniforme como tokens Rug Pull.
caso
Atacantes ( da gangue Rug Pull ) usaram o endereço Deployer (0x4bAF) para implantar o Token TOMMI, e então criaram um pool de liquidez com 1,5 ETH e 100.000.000 Tokens TOMMI, comprando ativamente Tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, atraindo usuários e robôs de lançamento no blockchain a comprar Tokens TOMMI. Quando um certo número de robôs de lançamento cai na armadilha, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, onde o Rug Puller despeja 38.739.354 Tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Approval do contrato do Token TOMMI, que concede permissões de approve do pool de liquidez ao Rug Puller no momento da implantação do contrato do Token TOMMI, permitindo que o Rug Puller retire diretamente Tokens TOMMI do pool de liquidez e então realize o Rug Pull.
endereço relacionado
transações relacionadas
processo de Rug Pull
O atacante, através da exchange, carregou 2.47309009Éter para o Token Deployer(0x4bAF) como capital inicial para o Rug Pull.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 tokens e alocando para si mesmo.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. ( Este também é um dos requisitos necessários para atrair robôs de novas ofertas, alguns robôs de novas ofertas avaliam se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também define o Owner do contrato como endereço 0, tudo para enganar os programas de prevenção a fraudes dos robôs de novas ofertas ).
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de negociação para o mercado (. A base para julgar que esses endereços são disfarces de atacantes: os fundos dos endereços relacionados vêm de endereços de transferência de fundos históricos do grupo Rug Pull ).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para desvalorizar o pool, sacando cerca de 3,95 ETH.
O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.
O endereço de transferência 0xD921 enviará fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é um local onde se concentram grandes quantidades de casos de Rug Pull monitorados; esse endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de uma exchange. Foram encontrados vários endereços de retenção de fundos, 0x2836 é um deles.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull ao destruir os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a pool de liquidez aprove a transferência de tokens para o endereço do Rug Puller ao criar a pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente os tokens da pool de liquidez.
A implementação da função openTrading tem como função principal criar novas pools de liquidez, mas o atacante chamou a função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprova a quantidade de tipo (uint256) para a transferência de tokens para o endereço _chefAddress. Onde uniswapV2Pair é o endereço da pool de liquidez e _chefAddress é o endereço do Rug Puller, que é especificado no momento da implantação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém financiamento através da bolsa: o atacante primeiro fornece uma fonte de financiamento para o endereço do Deployer ( na bolsa.
Deployer cria um pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o implantador imediatamente criará um pool de liquidez para ele e destruirá os tokens LP, a fim de aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca grandes quantidades de tokens por ETH no pool de liquidez: Endereço do Rug Pull ) Rug Puller ( utiliza grandes quantidades de tokens ), geralmente em quantidades muito superiores ao fornecimento total de tokens (, para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos, às vezes passando por um endereço intermediário.
As características mencionadas estão amplamente presentes nos casos capturados, o que indica que o comportamento de Rug Pull possui características de padronização evidentes. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de fraudes ou até mesmo ao mesmo esquema.
Com base nessas características, extraímos um padrão de comportamento de Rug Pull e utilizamos esse padrão.