Глубокое расследование случаев Rug Pull, разоблачение хаоса экосистемы токенов Ethereum

Введение

В мире Web3 постоянно появляются новые токены. Ты когда-нибудь задумывался, сколько новых токенов выпускается каждый день? Насколько безопасны эти новые токены?

Появление этих вопросов не является безосновательным. За последние несколько месяцев команда безопасности зафиксировала множество случаев Rug Pull. Примечательно, что все токены, вовлеченные в эти случаи, без исключения являются новыми токенами, которые только что вышли на цепь.

Затем команда безопасности провела глубокое расследование этих случаев Rug Pull и обнаружила, что за ними стоят организованные преступные группы, а также обобщила модельные характеристики этих мошенничеств. Путем глубокого анализа методов работы этих групп было выявлено возможное направление мошеннического продвижения группами Rug Pull: группы в Telegram. Эти группы используют функцию "New Token Tracer" в некоторых группах, чтобы привлечь пользователей к покупке мошеннических токенов и в конечном итоге извлечь прибыль через Rug Pull.

Собраны данные о сообщениях о токенах в этих Telegram-группах с ноября 2023 года по начало августа 2024 года, и было обнаружено, что было отправлено 93,930 новых токенов, из которых 46,526 токенов связаны с Rug Pull, что составляет целых 49.53%. Согласно статистике, общий объем инвестиций групп, стоящих за этими токенами Rug Pull, составил 149,813.72 Эфир, с доходностью до 188.7%, что принесло прибыль в 282,699.96 Эфир, что эквивалентно примерно 800 миллионов долларов.

Чтобы оценить долю новых токенов, продвигаемых через группы Telegram, в основной сети Ethereum, были собраны данные о новых токенах, выпущенных в основной сети Ethereum за тот же период времени. Данные показывают, что за этот период было выпущено 100,260 новых токенов, из которых токены, продвигаемые через группы Telegram, составляют 89.99% от всей основной сети. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. После дальнейшего глубокого расследования было обнаружено тревожное истинное положение дел — как минимум 48,265 токенов связаны с мошенничеством Rug Pull, что составляет 48.14%. Другими словами, почти каждый второй новый токен в основной сети Ethereum связан с мошенничеством.

Кроме того, было обнаружено больше случаев Rug Pull на других блокчейн-сетях. Это означает, что безопасность всей экосистемы новых токенов Web3 гораздо серьезнее, чем ожидалось, не только на основной сети Ethereum. Таким образом, надеемся помочь всем членам Web3 повысить свою осведомленность о мерах предосторожности, оставаться настороженными перед лицом множества мошенничеств и своевременно принимать необходимые меры предосторожности для защиты своей безопасности активов.

ERC-20 токен

Перед тем как официально начать этот отчет, давайте сначала ознакомимся с некоторыми основными концепциями.

ERC-20 Токены являются одним из самых распространенных стандартов токенов в настоящее время на блокчейне. Он определяет набор спецификаций, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 устанавливает основные функции токена, такие как перевод, проверка баланса, авторизация третьих лиц на управление токенами и другие. Благодаря этому стандартизированному протоколу разработчики могут легче выпускать и управлять токенами, что упрощает их создание и использование. На самом деле, любой человек или организация могут выпускать свои токены на основе стандарта ERC-20 и привлекать стартовый капитал для различных финансовых проектов через предпродажу токенов. Именно благодаря широкому применению ERC-20 Токенов они стали основой для многих ICO и децентрализованных финансовых проектов.

USDT, PEPE и DOGE, с которыми мы знакомы, относятся к токенам ERC-20, и пользователи могут покупать эти токены через децентрализованные биржи. Однако некоторые мошеннические группы также могут самостоятельно выпускать вредоносные токены ERC-20 с кодовыми уязвимостями, размещая их на децентрализованных биржах и затем вводя пользователей в заблуждение, чтобы они их купили.

Типичные случаи мошенничества с Rug Pull Токенами

Здесь мы заимствуем случай мошенничества с токеном Rug Pull, чтобы глубже понять операционные модели злонамеренных токенов. Прежде всего, необходимо уточнить, что Rug Pull - это мошенническое действие, при котором команда проекта в децентрализованном финансовом проекте внезапно выводит средства или abandons проект, что приводит к значительным потерям для инвесторов. А токены Rug Pull - это токены, выпущенные специально для реализации такого мошенничества.

В данной статье упоминаются токены Rug Pull, которые иногда также называются "медовой банкой (Honey Pot) токены" или "схемой выхода (Exit Scam) токены", но в дальнейшем мы будем единообразно называть их токенами Rug Pull.

· Пример

Атакующие (группа Rug Pull) использовали адрес Deployer (0x4bAF) для развертывания токена TOMMI, затем создали ликвидный пул с 1,5 ETH и 100,000,000 токенов TOMMI и активно покупали токены TOMMI через другие адреса, чтобы подделать объем торгов ликвидного пула и привлечь пользователей и ботов для покупки токенов TOMMI. Когда определенное количество ботов попалось на удочку, атакующие использовали адрес Rug Puller (0x43a9) для выполнения Rug Pull, Rug Puller использовал 38,739,354 токена TOMMI, чтобы обрушить ликвидный пул, обменяв его на примерно 3,95 ETH. Токены Rug Puller происходят от злонамеренного разрешения на одобрение контракта токена TOMMI; при развертывании контракта токена TOMMI Rug Puller получает разрешение на ликвидный пул, что позволяет Rug Puller напрямую выводить токены TOMMI из ликвидного пула и затем проводить Rug Pull.

· связанные адреса

• Развертыватель:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• Токен TOMMI: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Пуллер для ковров: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Замаскированный пользователь Rug Puller (один из них): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Адрес трансфера средств Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Адрес хранения средств Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

· Связанные сделки

• Deployer получает стартовый капитал от централизованной биржи: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Развертывание токенов TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Создание ликвидного пула: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Адрес для перевода средств отправляет средства маскированному пользователю (один из них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Маскировка пользователя для покупки токенов (один из них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Вытягивание ковра: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull отправляет полученные средства на промежуточный адрес: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Промежуточный адрес отправляет средства на адрес хранения средств: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Процесс Раг Пулла

1. Подготовьте средства для атаки.

Атакующий через централизованную биржу пополнил Token Deployer (0x4bAF) на 2.47309009ETH в качестве стартового капитала для Rug Pull.

2. Развертывание токена Rug Pull с задней дверью.

Deployer создает токен TOMMI, предварительно добывает 100,000,000 токенов и распределяет их себе.

3. Создание первоначального пула ликвидности.

Deployer использовал 1,5 ETH и все предварительно добытые токены для создания ликвидного пула, получив около 0,387 LP токенов.

4. Уничтожить все запасы преддобытых Токенов.

Token Deployer отправляет все LP токены на адрес 0 для уничтожения. Поскольку в контракте TOMMI нет функции Mint, на данный момент Token Deployer теоретически уже лишился возможности Rug Pull. (Это также одно из необходимых условий для привлечения роботов для первичного размещения, некоторые роботы будут оценивать, существует ли риск Rug Pull для новых токенов в пуле, Deployer также устанавливает владельца контракта на адрес 0, чтобы обмануть антифрод-программы роботов для первичного размещения).

5. Подделка объемов сделок.

Злоумышленники активно покупают токены TOMMI из ликвидностного пула с помощью нескольких адресов, разгоняя объем торгов в пуле и привлекая тем самым роботов для участия в новых торгах (основываясь на том, что эти адреса являются маскировкой злоумышленников: средства на соответствующих адресах поступают из исторических адресов трансфера средств группы Rug Pull).

6. Злоумышленник инициировал Rug Pull через адрес Rug Puller (0x43A9), напрямую переведя 38,739,354 токенов из ликвидного пула через бэкдор токена, а затем использовал эти токены, чтобы обрушить пул и вывести около 3.95 Эфир.

7. Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес 0xD921.

8. Промежуточный адрес 0xD921 отправляет средства на адрес удержания средств 0x2836. Из этого мы можем увидеть, что после завершения Rug Pull, Rug Puller отправляет средства на какой-то адрес удержания средств. Адрес удержания средств является местом аккумулирования средств из множества зафиксированных случаев Rug Pull, адрес удержания средств будет делить большую часть полученных средств для начала нового раунда Rug Pull, в то время как оставшаяся небольшая сумма средств будет выведена через централизованные биржи. Обнаружено несколько адресов удержания средств, 0x2836 является одним из них.

· Код бэкдора Rug Pull

Хотя злоумышленники попытались доказать внешнему миру, что они не могут совершить Rug Pull, уничтожив LP токены, на самом деле злоумышленники оставили в функции openTrading контракта токена TOMMI злонамеренный бэкдор approve. Этот бэкдор позволит при создании ликвидного пула разрешить перенаправление токенов на адрес Rug Puller, что позволит адресату Rug Puller напрямую выводить токены из ликвидного пула.

Основная функция реализации функции openTrading заключается в создании нового пула ликвидности, но злоумышленник вызвал в этой функции бэкдор-функцию onInit, что позволило uniswapV2Pair одобрить количеству type(uint256) токенов на адресе _chefAddress. При этом uniswapV2Pair является адресом пула ликвидности, а _chefAddress — адресом Rug Puller, который указывается при развертывании контракта.

· Моделирование преступления

Анализируя случай TOMMI, мы можем выделить следующие 4 характеристики:

1. Деплойер получает средства через централизованную биржу: злоумышленник сначала предоставляет источник финансирования для адреса деплойера (Deployer) через централизованную биржу.

2. Deployer создает ликвидностный пул и уничтожает LP токены: после создания токена Rug Pull, деплойер немедленно создает ликвидностный пул и уничтожает LP токены, чтобы увеличить доверие к проекту и привлечь больше инвесторов.

3. Rug Puller использует большое количество токенов для обмена на ETH в ликвидном пуле: адрес Rug Pull (Rug Puller) использует большое количество токенов (обычно число значительно превышает общее предложение токенов) для обмена на ETH в ликвидном пуле. В других случаях Rug Puller также получает ETH из пула, удаляя ликвидность.

4. Rug Puller переводит ETH, полученный от Rug Pull, на адрес хранения средств: Rug Puller переводит полученный ETH на адрес хранения средств, иногда через промежуточный адрес.

Указанные выше характеристики широко встречаются в захваченных случаях, что указывает на наличие четких паттернов поведения при Rug Pull. Кроме того, после завершения Rug Pull средства обычно будут