تحقيق متعمق في حالات سحب البساط، يكشف عن فوضى نظام العملة في إثيريوم

المقدمة

في عالم Web3، تظهر عملات جديدة باستمرار. هل تساءلت يومًا عن عدد العملات الجديدة التي يتم إصدارها كل يوم؟ هل هذه العملات الجديدة آمنة؟

إن ظهور هذه التساؤلات ليس عبثياً. على مدار الأشهر القليلة الماضية، تمكن فريق الأمان من رصد عدد كبير من حالات عمليات سحب البساط. ومن الجدير بالذكر أن جميع العملات التي تم تضمينها في هذه الحالات هي عملات جديدة تم إدراجها على السلسلة للتو.

بعد ذلك، قامت فرق الأمان بإجراء تحقيقات معمقة حول هذه الحالات من Rug Pull، واكتشفت وجود عصابات منظمة وراءها، وقامت بتلخيص الميزات النمطية لهذه الاحتيالات. من خلال تحليل شامل لأساليب عمل هذه العصابات، تم اكتشاف طريق محتمل للترويج لعمليات الاحتيال من قبل عصابات Rug Pull: مجموعات Telegram. تستغل هذه العصابات ميزة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وتحقيق الأرباح من خلال Rug Pull.

تم إحصاء معلومات دفع العملات من مجموعات Telegram هذه من نوفمبر 2023 حتى أوائل أغسطس 2024، وتم اكتشاف أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا متعلقة بعمليات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. ووفقًا للإحصاءات، فإن إجمالي تكلفة الاستثمارات من العصابات وراء هذه العملات المتورطة في Rug Pull بلغ 149,813.72 إثيريوم، وحققوا أرباحًا تصل إلى 282,699.96 إثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.

لتقييم نسبة العملات الجديدة التي يتم دفعها عبر مجموعات Telegram على شبكة إثيريوم الرئيسية، تم جمع بيانات العملات الجديدة التي تم إصدارها على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، منها 89.99% من العملات المدفوعة عبر مجموعات Telegram. يتم إنشاء حوالي 370 عملة جديدة يوميًا، مما يتجاوز التوقعات المعقولة. بعد إجراء تحقيقات معمقة، كانت الحقيقة مقلقة - حيث أن 48,265 عملة على الأقل تتعلق بعمليات الاحتيال المعروفة باسم Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، هناك عملة واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية تتعلق بالاحتيال.

علاوة على ذلك، تم اكتشاف المزيد من حالات سحب السجادة في شبكات بلوكتشين الأخرى. وهذا يعني أنه ليس فقط شبكة إثيريوم الرئيسية، بل إن حالة أمان النظام البيئي للعملات الجديدة في Web3 أسوأ بكثير مما كان متوقعًا. لذلك، نأمل أن نتمكن من مساعدة جميع أعضاء Web3 في تعزيز الوعي الوقائي، والبقاء متيقظين عند مواجهة الاحتيالات المتكررة، واتخاذ التدابير اللازمة في الوقت المناسب لحماية أمان أصولهم.

رمز ERC-20

قبل البدء الرسمي في هذا التقرير، دعونا نتعرف على بعض المفاهيم الأساسية.

عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تسمح للعملات بالتشغيل المتبادل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، استعلام الرصيد، وتفويض الطرف الثالث لإدارة العملة، وغيرها. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط من عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع رأس المال المبدئي لمشاريع مالية مختلفة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.

تعتبر USDT و PEPE و DOGE من عملات ERC-20 المعروفة، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الشفرة، ثم طرحها في البورصات اللامركزية، ومن ثم إغراء المستخدمين للقيام بالشراء.

حالات الاحتيال النموذجية لعملة Rug Pull

هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم كيفية عمل عمليات الاحتيال المتعلقة بالعملات الخبيثة. أولاً، يجب الإشارة إلى أن Rug Pull تشير إلى سلوك احتيالي حيث يقوم فريق المشروع بسحب الأموال فجأة أو التخلي عن المشروع في مشاريع التمويل اللامركزي، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.

تُعرف الرموز المميزة التي تمت الإشارة إليها في هذه المقالة أحيانًا باسم "رموز فخ العسل (Honey Pot)" أو "رموز الاحتيال على الخروج (Exit Scam)"، ولكن في ما يلي سنشير إليها بشكل موحد برموز فخ العسل.

· حالة

المهاجمون (عصابة سحب السجادة) استخدموا عنوان المطور (0x4bAF) لنشر عملة TOMMI، ثم قاموا بإنشاء حوض سيولة باستخدام 1.5 ETH و100,000,000 من عملة TOMMI، واشتروا عملة TOMMI بنشاط عبر عناوين أخرى لتزوير حجم معاملات حوض السيولة من أجل جذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء في الفخ، يقوم المهاجم باستخدام عنوان سحب السجادة (0x43a9) لتنفيذ سحب السجادة، حيث يقوم ساحب السجادة بضخ 38,739,354 من عملة TOMMI في حوض السيولة، مما يبادل حوالي 3.95 ETH. مصدر عملات ساحب السجادة هو تفويض ضار تم الموافقة عليه من عقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات الموافقة لحوض السيولة لساحب السجادة، مما يسمح لساحب السجادة بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ سحب السجادة.

· العنوان ذات الصلة

• الناشر: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• رمز تومي: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• ساحب السجادة：0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• مستخدم مزيف من نوع Rug Puller (واحد منهم): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• عنوان تحويل أموال Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• عنوان الاحتفاظ بأموال السحب المفاجئ: 0x28367D2656434b928a6799E0B091045e2ee84722

· المعاملات ذات الصلة

• Deployer يحصل على رأس المال من البورصة المركزية: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• نشر رموز TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• إنشاء مجمع سيولة: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• عنوان تحويل الأموال يرسل الأموال إلى مستخدم مزيف (أحدهم): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• تظاهر المستخدم بشراء عملة (واحدة منها): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• سحب البساطة: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• تم إرسال الأموال الناتجة عن عملية السحب المفاجئ إلى عنوان التحويل: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• عنوان النقل سيقوم بإرسال الأموال إلى عنوان الاحتفاظ بالأموال: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· عملية سحب السجادة

1. إعداد أموال الهجوم.

المهاجمون قاموا بشحن 2.47309009ETH إلى Token Deployer (0x4bAF) عبر بورصة مركزية كأموال لبدء Rug Pull.

2. نشر عملة Rug Pull بها باب خلفي.

قام Deployer بإنشاء عملة TOMMI، وقام باستخراج مسبق لـ 100,000,000 عملة وتوزيعها على نفسه.

3. إنشاء حوض السيولة الأولي.

قام المُنشئ بإنشاء تجمع السيولة باستخدام 1.5 ايثر وجميع العملات المُستخرجة مسبقًا، وحصل على حوالي 0.387 من عملة LP.

4. تدمير جميع كميات العرض من العملة المسبقة التعدين.

يتم إرسال جميع عملات LP بواسطة Token Deployer إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن Token Deployer قد فقدت نظريًا القدرة على السحب المفاجئ. (هذه أيضًا واحدة من الشروط اللازمة لجذب روبوتات الإدخال، حيث تقوم بعض روبوتات الإدخال بتقييم ما إذا كانت العملة الجديدة في التجمع تحتوي على مخاطر السحب المفاجئ، وقد قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، وذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الإدخال).

5. حجم المعاملات المزيفة.

المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بشكل نشط من حوض السيولة، مما يؤدي إلى رفع حجم التداول في الحوض، وجذب روبوتات التداول الجديدة لدخول السوق (الأدلة على أن هذه العناوين هي للمتسللين: الأموال المتعلقة بهذه العناوين تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).

6. قام المهاجم ببدء عملية Rug Pull من خلال عنوان Rug Puller (0x43A9) ، وسحب 38,739,354 عملة مباشرة من حوض السيولة عبر ثغرة في الرمز ، ثم استخدم هذه العملات لتفريغ الحوض وسحب حوالي 3.95 ايثر.

7. قام المهاجم بإرسال الأموال الناتجة عن سحب البساط إلى عنوان التحويل 0xD921.

8. عنوان التحويل 0xD921 يرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما اكتمل السحب المفاجئ، يقوم الساحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال ما. عنوان احتفاظ بالأموال هو مكان تجميع الأموال الذي تم مراقبته من العديد من حالات السحب المفاجئ. سيقوم عنوان احتفاظ بالأموال بتقسيم معظم الأموال التي تم استلامها لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب باقي الأموال القليلة عبر البورصات المركزية. تم اكتشاف عدة عناوين للاحتفاظ بالأموال، و 0x2836 هو واحد منها.

· ثغرة سحب السجادة

على الرغم من أن المهاجمين حاولوا إثبات أنهم غير قادرين على تنفيذ Rug Pull من خلال تدمير رموز LP، إلا أن المهاجمين في الواقع تركوا باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، حيث سيسمح هذا الباب الخلفي عند إنشاء حوض السيولة لحوض السيولة بالموافقة على نقل الرموز إلى عنوان Rug Puller، مما يتيح لعوان Rug Puller سحب الرموز مباشرة من حوض السيولة.

تتمثل الوظيفة الرئيسية لتطبيق دالة openTrading في إنشاء برك السيولة الجديدة، لكن المهاجم قام باستدعاء دالة الباب الخلفي onInit داخل هذه الدالة، مما سمح لـ uniswapV2Pair بالموافقة على تحويل كمية من العملة تعادل type(uint256) إلى عنوان _chefAddress. حيث أن uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان السارق، الذي تم تحديده عند نشر العقد.

· نمط الجريمة

من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:

1. يقوم المُنشئ بالحصول على الأموال من خلال البورصات المركزية: يقوم المهاجم أولاً بتوفير مصدر الأموال لعنوان المُنشئ (Deployer) من خلال البورصات المركزية.

2. يقوم المطور بإنشاء تجمع السيولة وإتلاف رموز LP: بعد إنشاء رمز Rug Pull، يقوم المطور على الفور بإنشاء تجمع السيولة له، وإتلاف رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.

3. Rug Puller يستخدم كمية كبيرة من العملة لتبادل ETH في حوض السيولة: عنوان Rug Pull (Rug Puller) يستخدم كمية كبيرة من العملة (عادة ما تكون الكمية أكبر بكثير من إجمالي المعروض من العملة) لتبادل ETH في حوض السيولة. في حالات أخرى، يكون لدى Rug Puller حالات أيضًا للحصول على ETH من الحوض عن طريق إزالة السيولة.

4. يقوم الساحب بسحب ETH المكتسبة من عملية السحب إلى عنوان احتياطي: يقوم الساحب بنقل ETH الذي تم الحصول عليه إلى عنوان احتياطي، وأحيانًا من خلال عنوان وسيط.

توجد هذه الخصائص بشكل شائع في الحالات التي تم التقاطها، مما يدل على أن سلوك سحب البساط له خصائص نمطية واضحة. بالإضافة إلى ذلك، بعد الانتهاء من سحب البساط، عادة ما يتم نقل الأموال.