Penyelidikan Mendalam Kasus Rug Pull, Mengungkap Kekacauan Ekosistem Token Ethereum

Pendahuluan

Di dunia Web3, token baru terus muncul. Apakah Anda pernah berpikir, berapa banyak token baru yang diterbitkan setiap harinya? Apakah token-token baru ini aman?

Pertanyaan-pertanyaan ini tidak muncul tanpa alasan. Dalam beberapa bulan terakhir, tim keamanan telah menangkap sejumlah besar kasus transaksi Rug Pull. Perlu dicatat bahwa semua token yang terlibat dalam kasus-kasus ini adalah token baru yang baru saja diluncurkan di blockchain.

Kemudian, tim keamanan melakukan penyelidikan mendalam terhadap kasus-kasus Rug Pull ini, dan menemukan adanya organisasi kelompok pelaku di baliknya, serta merangkum ciri-ciri pola dari penipuan ini. Melalui analisis mendalam terhadap cara kerja kelompok ini, ditemukan satu kemungkinan jalur promosi penipuan oleh kelompok Rug Pull: grup Telegram. Kelompok-kelompok ini memanfaatkan fungsi "New Token Tracer" di beberapa grup untuk menarik pengguna membeli koin penipuan dan akhirnya meraup keuntungan melalui Rug Pull.

Statistik telah mengumpulkan informasi pengiriman token dari grup Telegram ini dari November 2023 hingga awal Agustus 2024, ditemukan bahwa total ada 93.930 token baru yang dikirim, di mana terdapat 46.526 token yang terlibat dalam Rug Pull, dengan proporsi mencapai 49,53%. Menurut statistik, total biaya yang dikeluarkan oleh kelompok di balik token Rug Pull ini adalah 149.813,72 Ether, dan mereka memperoleh keuntungan sebesar 282.699,96 Ether dengan tingkat pengembalian yang tinggi hingga 188,7%, setara dengan sekitar 800 juta dolar AS.

Untuk mengevaluasi proporsi token baru yang dipromosikan oleh grup Telegram di jaringan utama Ethereum, data token baru yang diterbitkan di jaringan utama Ethereum selama periode waktu yang sama telah dihitung. Data menunjukkan bahwa selama periode ini, total 100,260 token baru diterbitkan, di mana token yang dipromosikan melalui grup Telegram menyumbang 89,99% dari jaringan utama. Rata-rata, sekitar 370 token baru lahir setiap hari, jauh melampaui ekspektasi yang wajar. Setelah penyelidikan yang mendalam, kebenaran yang ditemukan sangat mengganggu—setidaknya 48,265 token terlibat dalam penipuan Rug Pull, dengan proporsi mencapai 48,14%. Dengan kata lain, hampir setiap dua token baru di jaringan utama Ethereum terlibat dalam penipuan.

Selain itu, lebih banyak kasus Rug Pull ditemukan di jaringan blockchain lainnya. Ini berarti bahwa tidak hanya jaringan utama Ethereum, tetapi keamanan keseluruhan ekosistem token baru Web3 jauh lebih serius dari yang diharapkan. Oleh karena itu, diharapkan dapat membantu semua anggota Web3 untuk meningkatkan kesadaran pencegahan, tetap waspada terhadap berbagai penipuan yang terus bermunculan, dan segera mengambil langkah-langkah pencegahan yang diperlukan untuk melindungi keamanan aset mereka.

ERC-20 Token

Sebelum memulai laporan ini secara resmi, mari kita pelajari beberapa konsep dasar.

Token ERC-20 adalah salah satu standar token yang paling umum di blockchain saat ini, yang mendefinisikan serangkaian spesifikasi sehingga token dapat berinteroperasi di antara berbagai kontrak pintar dan aplikasi terdesentralisasi (dApp). Standar ERC-20 menetapkan fungsi dasar token, seperti transfer, memeriksa saldo, dan memberikan otorisasi kepada pihak ketiga untuk mengelola token. Karena protokol standar ini, pengembang dapat lebih mudah menerbitkan dan mengelola token, sehingga menyederhanakan pembuatan dan penggunaan token. Sebenarnya, individu atau organisasi mana pun dapat menerbitkan token mereka sendiri berdasarkan standar ERC-20 dan mengumpulkan dana awal untuk berbagai proyek keuangan melalui penjualan token awal. Karena penggunaan luas token ERC-20, itu telah menjadi dasar bagi banyak proyek ICO dan keuangan terdesentralisasi.

USDT, PEPE, dan DOGE yang kita kenal merupakan Token ERC-20, pengguna dapat membeli token-token tersebut melalui bursa terdesentralisasi. Namun, beberapa kelompok penipu juga dapat menerbitkan Token ERC-20 jahat yang memiliki backdoor, mengunggahnya ke bursa terdesentralisasi, dan kemudian memancing pengguna untuk melakukan pembelian.

Kasus Penipuan Tipikal Token Rug Pull

Di sini, kami meminjam sebuah kasus penipuan token Rug Pull untuk memahami lebih dalam tentang modus operandi penipuan token jahat. Pertama-tama perlu dijelaskan bahwa Rug Pull merujuk pada tindakan penipuan di mana pihak proyek tiba-tiba menarik dana atau meninggalkan proyek dalam proyek keuangan terdesentralisasi, menyebabkan investor mengalami kerugian besar. Sementara itu, token Rug Pull adalah token yang diterbitkan khusus untuk melaksanakan tindakan penipuan semacam ini.

Token Rug Pull yang disebutkan dalam artikel ini kadang-kadang juga dikenal sebagai "Token Honey Pot" atau "Token Exit Scam", tetapi dalam teks di bawah ini kita akan secara konsisten menyebutnya sebagai token Rug Pull.

· Kasus

Penyerang (geng Rug Pull) menggunakan alamat Deployer (0x4bAF) untuk menerapkan koin TOMMI, kemudian menggunakan 1,5 ETH dan 100.000.000 TOMMI untuk membuat kumpulan likuiditas, dan secara aktif membeli koin TOMMI melalui alamat lain untuk memalsukan volume transaksi kumpulan likuiditas guna menarik pengguna dan robot pembelian baru di blockchain untuk membeli koin TOMMI. Ketika sejumlah robot pembelian baru terjebak, penyerang menggunakan alamat Rug Puller (0x43a9) untuk melaksanakan Rug Pull, Rug Puller menggunakan 38.739.354 TOMMI untuk menghancurkan kumpulan likuiditas, menukarkan sekitar 3,95 ETH. Sumber koin Rug Puller berasal dari otorisasi Approve jahat dari kontrak koin TOMMI, saat kontrak koin TOMMI diterapkan, akan memberikan izin approve dari kumpulan likuiditas kepada Rug Puller, yang memungkinkan Rug Puller untuk langsung menarik koin TOMMI dari kumpulan likuiditas dan kemudian melakukan Rug Pull.

· Alamat terkait

• Deployer：0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Token：0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller：0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Pengguna yang menyamar sebagai Rug Puller (salah satunya): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Alamat transfer dana Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Alamat penyimpanan dana Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

· Transaksi Terkait

• Deployer mendapatkan dana awal dari bursa terpusat: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Meluncurkan Token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Membuat kolam likuiditas: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Alamat transfer dana mengirimkan dana kepada pengguna yang menyamar (salah satunya): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Menyamar pengguna membeli Token (salah satunya): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull：0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull mengirimkan dana yang diperoleh ke alamat perantara: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Alamat perantara mengirimkan dana ke alamat penyimpanan dana: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Proses Rug Pull

1. Siapkan dana untuk menyerang.

Penyerang mengisi ulang 2.47309009ETH ke Token Deployer (0x4bAF) melalui bursa terpusat sebagai modal awal untuk Rug Pull.

2. Meluncurkan Token Rug Pull dengan Backdoor.

Deployer membuat token TOMMI, melakukan pra-penambangan 100.000.000 token dan mendistribusikannya kepada dirinya sendiri.

3. Buat kolam likuiditas awal.

Deployer menggunakan 1,5 Ether dan semua Token yang dipra-gali untuk membuat kolam likuiditas, memperoleh sekitar 0,387 Token LP.

4. Hancurkan semua pasokan Token yang telah ditambang sebelumnya.

Token Deployer mengirimkan semua LP Token ke alamat 0 untuk dihancurkan. Karena kontrak TOMMI tidak memiliki fungsi Mint, maka pada saat ini Token Deployer secara teoritis sudah kehilangan kemampuan Rug Pull. (Ini juga merupakan salah satu syarat penting untuk menarik robot penawaran baru, beberapa robot penawaran baru akan mengevaluasi apakah token yang baru masuk ke dalam pool memiliki risiko Rug Pull. Deployer juga mengatur pemilik kontrak ke alamat 0, semua ini dilakukan untuk menipu program anti-penipuan robot penawaran baru).

5. Volume transaksi palsu.

Penyerang secara aktif membeli token TOMMI dari kolam likuiditas menggunakan beberapa alamat, meningkatkan volume transaksi kolam tersebut, dan lebih lanjut menarik robot pemula untuk masuk (dasar untuk menilai bahwa alamat-alamat ini adalah penyamaran penyerang: dana dari alamat terkait berasal dari alamat transfer dana sejarah kelompok Rug Pull).

6. Penyerang memulai Rug Pull melalui alamat Rug Puller (0x43A9), mentransfer langsung 38.739.354 koin dari kolam likuiditas melalui pintu belakang token, dan kemudian menggunakan koin ini untuk menjatuhkan kolam, menarik sekitar 3,95 Ether.

7. Penyerang mengirimkan dana yang diperoleh dari Rug Pull ke alamat perantara 0xD921.

8. Alamat transit 0xD921 mengirimkan dana ke alamat penyimpanan dana 0x2836. Dari sini kita dapat melihat bahwa setelah Rug Pull selesai, Rug Puller akan mengirimkan dana ke suatu alamat penyimpanan dana. Alamat penyimpanan dana adalah tempat pengumpulan dana dari sejumlah besar kasus Rug Pull yang terpantau, alamat penyimpanan dana akan membagi sebagian besar dana yang diterima untuk memulai putaran Rug Pull baru, sementara sebagian kecil dana lainnya akan ditarik melalui exchange terpusat. Beberapa alamat penyimpanan dana telah ditemukan, 0x2836 adalah salah satunya.

· Kode Pintu Belakang Rug Pull

Meskipun penyerang telah mencoba membuktikan kepada dunia luar bahwa mereka tidak dapat melakukan Rug Pull dengan menghancurkan LP Token, namun sebenarnya penyerang telah meninggalkan pintu belakang berbahaya pada fungsi openTrading dari kontrak TOMMI Token, yang akan memberikan izin transfer Token kepada alamat Rug Puller saat membuat kolam likuiditas, sehingga alamat Rug Puller dapat langsung menarik Token dari kolam likuiditas.

Implementasi fungsi openTrading memiliki fungsi utama untuk membuat kolam likuiditas baru, tetapi penyerang memanggil fungsi pintu belakang onInit di dalam fungsi tersebut, sehingga uniswapV2Pair memberikan izin untuk mentransfer jumlah koin type(uint256) ke alamat _chefAddress. Di mana uniswapV2Pair adalah alamat kolam likuiditas, _chefAddress adalah alamat Rug Puller, yang ditentukan saat kontrak dideploy.

· Pola Kejahatan

Dengan menganalisis kasus TOMMI, kita dapat merangkum 4 karakteristik berikut:

1. Deployer mendapatkan dana melalui bursa terpusat: Penyerang pertama-tama menyediakan sumber dana untuk alamat Deployer melalui bursa terpusat.

2. Deployer membuat kolam likuiditas dan menghancurkan token LP: Setelah menciptakan token Rug Pull, pengembang segera membuat kolam likuiditas untuknya dan menghancurkan token LP, untuk meningkatkan kredibilitas proyek dan menarik lebih banyak investor.

3. Rug Puller menggunakan banyak Token untuk menukar ETH dalam kolam likuiditas: Alamat Rug Pull (Rug Puller) menggunakan banyak Token (biasanya jumlahnya jauh melebihi total pasokan Token) untuk menukar ETH dalam kolam likuiditas. Dalam kasus lain, Rug Puller juga dapat memperoleh ETH dari kolam dengan menghapus likuiditas.

4. Rug Puller akan mentransfer ETH yang diperoleh dari Rug Pull ke alamat penyimpanan dana: Rug Puller akan mentransfer ETH yang diperoleh ke alamat penyimpanan dana, terkadang melalui alamat perantara sebagai transisi.

Karakteristik di atas umumnya terdapat dalam kasus yang ditangkap, yang menunjukkan bahwa perilaku Rug Pull memiliki ciri khas yang jelas. Selain itu, setelah menyelesaikan Rug Pull, dana biasanya akan