Rug Pull vakalarının derinlemesine incelenmesi, Ethereum Token ekosistemindeki karmaşayı ortaya çıkarıyor

Giriş

Web3 dünyasında yeni Token'lar sürekli ortaya çıkıyor. Her gün ne kadar yeni Token'ın piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni Token'lar güvenli mi?

Bu soruların ortaya çıkması boşuna değil. Son birkaç ayda, güvenlik ekibi çok sayıda Rug Pull işlem vakası tespit etti. Dikkate değer olan, bu vakalarda yer alan Token'ların hepsinin yeni, henüz zincire eklenmiş Token'lar olması.

Daha sonra, güvenlik ekibi bu Rug Pull vakalarını derinlemesine inceledi ve arka planda organize bir suç çetesi olduğunu tespit etti. Bu dolandırıcılıkların kalıplaşmış özelliklerini özetledi. Bu çetelerin saldırı yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolu olarak Telegram gruplarını keşfetti. Bu çeteler, belirli gruplardaki "New Token Tracer" işlevini kullanarak kullanıcıları dolandırıcı token satın almaya çekiyor ve nihayetinde Rug Pull ile kar elde ediyorlar.

2023 Kasım ile 2024 Ağustos başı arasında bu Telegram gruplarının Token gönderim bilgileri istatistikleri tutuldu ve toplamda 93,930 yeni Token gönderildiği tespit edildi. Bu Token'lar arasında Rug Pull ile ilgili olanların sayısı 46,526 olup, bu da %49.53'lük bir orana tekabül etmektedir. İstatistiklere göre, bu Rug Pull Token'larının arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 Eter olup, %188.7'ye varan bir getiri oranıyla 282,699.96 Eter kazanç elde edilmiştir ki bu da yaklaşık 800 milyon dolar etmektedir.

Telegram grubu aracılığıyla tanıtılan yeni tokenlerin Ethereum ana ağındaki oranını değerlendirmek için, aynı zaman diliminde Ethereum ana ağında ihraç edilen yeni token verileri istatistiksel olarak toplandı. Veriler, bu süre zarfında toplam 100.260 yeni tokenin ihraç edildiğini ve bunların %89.99'unun Telegram grubu aracılığıyla tanıtıldığını göstermektedir. Ortalama olarak, günde yaklaşık 370 yeni token doğmakta olup, bu makul beklentiyi çok aşmaktadır. Sürekli derinlemesine yapılan araştırmalar sonucunda ortaya çıkan gerçek rahatsız edici - en az 48.265 token Rug Pull dolandırıcılığı ile ilişkilidir ve bu oran %48.14'e kadar çıkmaktadır. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni token'den biri dolandırıcılıkla ilişkilidir.

Ayrıca, diğer blok zinciri ağlarında daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağının değil, tüm Web3 yeni Token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğunu göstermektedir. Bu nedenle, tüm Web3 üyelerinin dolandırıcılıkla karşılaştıklarında dikkatli olmalarını sağlamak ve gerekli önleyici tedbirleri zamanında alarak varlık güvenliğini korumalarına yardımcı olmayı umuyoruz.

ERC-20 Token

Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.

ERC-20 Token, şu anda blockchain üzerindeki en yaygın token standartlarından biridir ve token'ların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında etkileşimde bulunmasını sağlayan bir dizi kural tanımlar. ERC-20 standardı, token'ların temel işlevlerini, örneğin transfer, bakiye sorgulama, üçüncü tarafların token yönetimini yetkilendirme gibi özellikleri belirler. Bu standart protokol sayesinde, geliştiriciler token'ları daha kolay bir şekilde çıkartabilir ve yönetebilir, böylece token'ların oluşturulması ve kullanımı basitleşir. Aslında, herhangi bir birey veya kuruluş, ERC-20 standardına dayalı kendi token'ını çıkarabilir ve çeşitli finansal projeler için başlangıç sermayesi toplamak amacıyla token'larını ön satış yoluyla satabilir. ERC-20 Token'ın yaygın kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.

Bizim bildiğimiz USDT, PEPE, DOGE ERC-20 Token'larına aittir, kullanıcılar bu Token'ları merkeziyetsiz borsa aracılığıyla satın alabilir. Ancak, bazı dolandırıcılık çeteleri kötü amaçlı kod arka kapısı içeren ERC-20 Token'larını kendileri de çıkarabilir, bunları merkeziyetsiz borsaya koyarak kullanıcıları satın almaya teşvik edebilir.

Rug Pull Token'ların Tipik Dolandırıcılık Vakaları

Burada, bir Rug Pull Token dolandırıcılık vakasını alarak, kötü niyetli Token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. İlk olarak, Rug Pull'un, proje sahiplerinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeden vazgeçmesi sonucunda yatırımcıların büyük kayıplar yaşadığı dolandırıcılık eylemleri olduğunu belirtmek gerekir. Rug Pull Token ise bu tür dolandırıcılık eylemlerini gerçekleştirmek amacıyla ihraç edilen Token'dır.

Bu yazıda bahsedilen Rug Pull Token'ları, bazen "Honey Pot Token" veya "Exit Scam Token" olarak da adlandırılmaktadır, ancak aşağıda bunları tek bir terim olarak Rug Pull Token olarak anacağız.

· örnek

Saldırganlar (Rug Pull çetesi) Deployer adresi (0x4bAF) ile TOMMI Token'ı dağıttı, ardından 1.5 ETH ve 100,000,000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden TOMMI Token'ı aktif olarak satın alarak likidite havuzu işlem hacmini sahte bir şekilde artırarak kullanıcıları ve zincir üzerindeki yeni token'ları satın alan robotları TOMMI Token'ı almaya teşvik etti. Belirli sayıda yeni token alım robotu dolandırıldığında, saldırgan Rug Puller adresi (0x43a9) ile Rug Pull'u gerçekleştirdi. Rug Puller, 38,739,354 TOMMI Token ile likidite havuzunu çökertti ve yaklaşık 3.95 ETH aldı. Rug Puller'ın token kaynakları, TOMMI Token sözleşmesinin kötü niyetli Onaylama yetkisi ile geldi, TOMMI Token sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisi verildi, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI Token'ı çıkarıp Rug Pull gerçekleştirmesine olanak tanıdı.

· İlgili adres

• Deployer：0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Token: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller：0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller olarak gizlenen kullanıcı (biri): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Rug Pull fon transfer adresi: 0x1d3970677aa2324E4822b293e500220958d493d0
• Rug Pull fon saklama adresi: 0x28367D2656434b928a6799E0B091045e2ee84722

· İlgili İşlemler

• Deployer merkezi borsa üzerinden başlatma fonu alıyor: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• TOMMI Token'un dağıtımı: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Likidite havuzu oluşturma: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Fon transfer adresi, sahte kullanıcıya para gönderdi (bunlardan biri): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Kullanıcıların token satın almasını gizleme (biri): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull：0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull, elde edilen fonları aktarma adresine gönderin: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Aktarma adresi, fonları saklama adresine gönderir: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Rug Pull süreci

1. Saldırı fonlarını hazırlayın.

Saldırgan, merkezi borsa aracılığıyla Token Deployer'a (0x4bAF) Rug Pull'un başlangıç sermayesi olarak 2.47309009ETH yükledi.

2. Arka kapılı Rug Pull Token'ı dağıtma.

Deployer, TOMMI Token'ını oluşturdu, 100.000.000 Token ön madencilik yaptı ve kendisine dağıttı.

3. İlk likidite havuzunu oluşturun.

Deployer, 1.5 Eter ve önceden madencilik yapılmış tüm Token'ları kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı kazandı.

4. Tüm ön madencilik Token arzını yok et.

Token Deployer, tüm LP Token'larını 0 adrese gönderip yok eder. TOMMI sözleşmesinde Mint işlevi olmadığından, bu durumda Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. (Bu, yeni token'ların çekiminde robotları çekmek için gerekli koşullardan biridir. Bazı yeni token robotları, yeni havuzda bulunan token'ların Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca sözleşmenin sahibi olarak 0 adresini ayarlamıştır, bu da yeni token robotlarının dolandırıcılık önleme programlarını aşmak içindir).

5. Sahte işlem hacmi.

Saldırganlar, likidite havuzundan TOMMI Token satın almak için birden fazla adres kullanarak havuzun işlem hacmini artırıyorlar ve bu durum yeni yatırımcı robotlarını çekiyor (bu adreslerin saldırganlar tarafından gizlendiği tespitinin nedeni: ilgili adreslere gelen fonlar, Rug Pull çetelerinin geçmişteki fon aktarım adreslerinden gelmektedir).

6. Saldırgan, Rug Puller adresi (0x43A9) aracılığıyla Rug Pull başlattı, token'in arka kapısından doğrudan likidite havuzundan 38,739,354 adet Token transfer etti ve ardından bu Token'ları havuza vurup yaklaşık 3.95 Eter çıkardı.

7. Saldırgan, Rug Pull'dan elde edilen fonları 0xD921 transfer adresine gönderiyor.

8. Transfer adresi 0xD921, fonları saklama adresi 0x2836'ya gönderdi. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları belirli bir saklama adresine gönderdiğini görebiliriz. Saklama adresi, gözlemlenen birçok Rug Pull vakasının fonlarının toplandığı yerdir, saklama adresi aldığı fonların çoğunu yeni bir Rug Pull başlatmak için bölmeye tabi tutarken, geri kalan az miktardaki fonlar merkezi borsa aracılığıyla çekilir. Birkaç saklama adresi tespit edildi, 0x2836 bunlardan biridir.

· Rug Pull kod arka kapısı

Saldırganlar, LP tokenlerini yok ederek dış dünyaya Rug Pull gerçekleştiremeyeceklerini kanıtlamaya çalışsalar da, aslında TOMMI token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir onay arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzu oluşturulurken likidite havuzunun Rug Puller adresine token transferi için onay vermesine neden olur; böylece Rug Puller adresi doğrudan likidite havuzundan token çekebilir.

openTrading fonksiyonunun gerçekleştirilmesinin ana işlevi yeni bir likidite havuzu yaratmaktır, ancak saldırgan bu fonksiyon içinde onInit arka kapı fonksiyonunu çağırdı ve uniswapV2Pair'i _chefAddress adresine type(uint256) miktarında Token transfer yetkisi vermesi için onaylattı. Burada uniswapV2Pair likidite havuzu adresi, _chefAddress ise Rug Puller adresidir; _chefAddress sözleşmenin dağıtımı sırasında belirlenmiştir.

· Suç işleme şekli

TOMMI vakasını analiz ederek aşağıdaki 4 özelliği özetleyebiliriz:

1. Deployer, merkezi borsa aracılığıyla fon elde ediyor: Saldırganlar önce merkezi borsa aracılığıyla dağıtıcı adresine (Deployer) fon kaynağı sağlıyor.

2. Deployer, likidite havuzunu oluşturur ve LP tokenlerini yok eder: Rug Pull tokeni oluşturduktan sonra, deployer hemen onun için bir likidite havuzu oluşturur ve LP tokenlerini yok eder, bu da projenin güvenilirliğini artırır ve daha fazla yatırımcı çekmeyi sağlar.

3. Rug Puller, likidite havuzundaki ETH'yi büyük miktarda token ile değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda token (genellikle toplam token arzını çok aşan miktarlar) kullanır. Diğer durumlarda, Rug Puller, havuzdaki ETH'yi almak için likiditeyi kaldırma yoluna da gidebilir.

4. Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine aktarır: Rug Puller, elde ettiği ETH'yi fon saklama adresine aktarır ve bazen geçiş için ara adresler kullanır.

Yukarıda belirtilen özellikler, ele geçirilen vakalarda yaygın olarak bulunmaktadır ve bu, Rug Pull davranışının belirgin bir kalıplaşmış niteliğe sahip olduğunu göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle