Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum

Introdução

No mundo Web3, novos Tokens estão surgindo constantemente. Você já pensou em quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?

Estas dúvidas não surgem por acaso. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. Vale a pena notar que todos os tokens envolvidos nesses casos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.

Em seguida, a equipe de segurança realizou uma investigação aprofundada sobre esses casos de Rug Pull, descobrindo a existência de grupos organizados por trás das ações criminosas e resumindo as características padronizadas dessas fraudes. Através da análise detalhada das táticas utilizadas por esses grupos, foi descoberto um possível caminho de promoção de fraudes pelos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.

Estatísticas sobre as informações de envio de tokens desses grupos do Telegram entre novembro de 2023 e o início de agosto de 2024 revelaram que foram enviados um total de 93.930 novos tokens, dos quais 46.526 tokens estavam relacionados a Rug Pull, representando uma alta de 49,53%. Segundo os dados, o custo acumulado investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.

Para avaliar a proporção de novos Tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram estatísticas dos dados de novos Tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, foram emitidos um total de 100.260 novos Tokens, dos quais os Tokens promovidos por grupos do Telegram representam 89,99% da rede principal. Em média, cerca de 370 novos Tokens nascem por dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é inquietante - pelo menos 48.265 Tokens estão envolvidos em fraudes de Rug Pull, representando uma proporção alarmante de 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.

Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que, não apenas na mainnet do Ethereum, a situação de segurança de todo o ecossistema de novos tokens da Web3 é muito mais grave do que o esperado. Portanto, espera-se ajudar todos os membros da Web3 a aumentar a consciência de prevenção, mantendo-se atentos diante de fraudes que surgem sem parar e tomando as medidas preventivas necessárias para proteger a segurança de seus ativos.

Token ERC-20

Antes de começar oficialmente este relatório, vamos primeiro entender alguns conceitos básicos.

Os Tokens ERC-20 são um dos padrões de token mais comuns atualmente na blockchain, definindo um conjunto de normas que permitem que os tokens operem de forma interoperável entre diferentes contratos inteligentes e aplicações descentralizadas (dApps). O padrão ERC-20 estabelece as funções básicas dos tokens, como transferências, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens mais facilmente, simplificando a criação e uso dos mesmos. Na verdade, qualquer pessoa ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos Tokens ERC-20, eles se tornaram a base de muitos ICOs e projetos de finanças descentralizadas.

Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir Tokens ERC-20 maliciosos com backdoors, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.

Casos típicos de fraude com Tokens Rug Pull

Aqui, usamos um caso de fraude com um Token Rug Pull para entender melhor o modelo operacional das fraudes com tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma fraude em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em um projeto de finanças descentralizadas, causando enormes perdas aos investidores. O Token Rug Pull é um token emitido especificamente para realizar esse tipo de fraude.

Os tokens Rug Pull mencionados neste artigo, às vezes também são chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas no texto a seguir, iremos nos referir a eles uniformemente como tokens Rug Pull.

· caso

Os atacantes (gangue Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o token TOMMI, depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, e compraram ativamente tokens TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez para atrair usuários e robôs de lançamento de novos tokens na blockchain para comprar tokens TOMMI. Quando um certo número de robôs de lançamento de novos tokens é enganado, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, o Rug Puller despeja 38.739.354 tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vêm da autorização maliciosa de Approve do contrato do token TOMMI; quando o contrato do token TOMMI é implantado, ele concede ao Rug Puller a permissão de approve do pool de liquidez, permitindo que o Rug Puller retire diretamente tokens TOMMI do pool de liquidez e execute o Rug Pull.

· endereço relacionado

• Deployer：0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Token: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller：0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Utilizador disfarçado de Rug Puller (um deles): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Endereço de transferência de fundos Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Endereço de retenção de fundos Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

· Transações relacionadas

• Deployer obtém capital inicial de uma exchange centralizada: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Implantar Token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Criar um pool de liquidez: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Endereço de transferência de fundos envia fundos para usuários disfarçados (um deles): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Disfarçar a compra de Token pelo usuário (um deles): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull：0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull envia os fundos obtidos para o endereço intermediário: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• O endereço de transferência enviará os fundos para o endereço de retenção de fundos: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Processo de Rug Pull

1. Preparar fundos para o ataque.

O atacante recarregou 2.47309009ETH para o Token Deployer (0x4bAF) através de uma exchange centralizada como capital inicial para o Rug Pull.

2. Implantar Token Rug Pull com backdoor.

Deployer cria o Token TOMMI, pré-minerando 100.000.000 tokens e atribuindo-os a si mesmo.

3. Criar um pool de liquidez inicial.

O Deployer criou um pool de liquidez com 1,5 ETH e todos os Tokens pré-minerados, obtendo cerca de 0,387 Tokens LP.

4. Destruir toda a oferta de Token pré-minerado.

O Token Deployer envia todos os tokens LP para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de pré-venda, alguns robôs de pré-venda avaliam se os tokens recém-adicionados à piscina apresentam risco de Rug Pull. O Deployer também define o proprietário do contrato para o endereço 0, tudo isso para enganar os programas de detecção de fraudes dos robôs de pré-venda).

5. Volume de transações falsificado.

Os atacantes usam vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, inflacionando o volume de transações do pool e atraindo ainda mais robôs de novos investimentos para o local (a base para determinar que esses endereços são disfarces dos atacantes: os fundos dos endereços relevantes vêm de endereços de transferência de fundos históricos do grupo Rug Pull).

6. O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 Tokens do fundo de liquidez pela porta dos fundos do token, e depois usou esses Tokens para destruir o fundo, retirando cerca de 3.95 ETH.

7. O atacante enviou os fundos obtidos com o Rug Pull para o endereço de transferência 0xD921.

8. O endereço de transferência 0xD921 enviará fundos para o endereço de retenção de fundos 0x2836. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para algum endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se concentra uma grande quantidade de casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma quantidade menor de fundos será retirada através de exchanges centralizadas. Vários endereços de retenção de fundos foram descobertos, e 0x2836 é um deles.

· Código de backdoor de Rug Pull

Embora os atacantes tenham tentado provar ao mundo que não conseguem fazer um Rug Pull ao destruir os Tokens LP, na verdade, deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI, que permite que, ao criar um pool de liquidez, o pool aprove a transferência de Tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os Tokens do pool de liquidez.

A implementação da função openTrading tem como principal função criar um novo pool de liquidez, mas o atacante chamou a função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprovesse o endereço _chefAddress para a transferência de uma quantidade de tipo (uint256) de moeda. Onde uniswapV2Pair é o endereço do pool de liquidez, e _chefAddress é o endereço do Rug Puller, que é especificado no momento da implantação do contrato.

· Modo de operação

Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:

1. O Deployer obtém fundos através de uma exchange centralizada: o atacante primeiro fornece uma fonte de fundos para o endereço do Deployer através de uma exchange centralizada.

2. O Deployer cria um pool de liquidez e destrói os tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP para aumentar a credibilidade do projeto e atrair mais investidores.

3. Rug Puller troca uma grande quantidade de Token por ETH no pool de liquidez: O endereço Rug Pull (Rug Puller) utiliza uma grande quantidade de Token (normalmente um valor muito superior ao fornecimento total de Token) para trocar ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter ETH do pool removendo a liquidez.

4. Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de reserva de fundos: o Rug Puller transfere o ETH obtido para o endereço de reserva de fundos, às vezes passando por um endereço intermediário.

As características mencionadas são comuns nos casos capturados, o que indica que as ações de Rug Pull apresentam características de padronização. Além disso, após a conclusão do Rug Pull, os fundos geralmente são