- Тема
67k Популярність
23k Популярність
7k Популярність
4k Популярність
4k Популярність
29k Популярність
16k Популярність
22k Популярність
12k Популярність
2k Популярність
- Закріпити
67k Популярність
23k Популярність
7k Популярність
4k Популярність
4k Популярність
29k Популярність
16k Популярність
22k Популярність
12k Популярність
2k Популярність
Екосистема токенів Ethereum підводні течії: майже половина нових монет підозрюється у шахрайстві, збитки досягають 800 мільйонів доларів.
Глибоке дослідження випадків Rug Pull, розкриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи є ці нові токени безпечними?
Ці питання не виникають на порожньому місці. Протягом останніх кількох місяців команда з безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що усі токени, залучені в ці випадки, є новими токенами, які лише що з'явилися на ланцюзі.
Потім команда безпеки провела детальне розслідування цих випадків Rug Pull і виявила, що за ними стоїть організована злочинна група, а також підсумувала модульні характеристики цих шахрайств. Проводячи глибокий аналіз методів роботи цих груп, було виявлено можливий шлях просування шахрайських схем Rug Pull: групи в Telegram. Ці групи використовують функцію "New Token Tracer" в деяких групах, щоб привабити користувачів до купівлі шахрайських токенів і зрештою отримати прибуток через Rug Pull.
Статистично проаналізовано інформацію про токени, що надсилалися в цих групах Telegram з листопада 2023 року до початку серпня 2024 року, виявлено, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що складає 49,53%. За статистикою, загальні витрати банд, що стоять за цими токенами Rug Pull, склали 149,813.72 ETH, з прибутковістю до 188.7%, що принесло прибуток у 282,699.96 ETH, що становить приблизно 800 мільйонів доларів.
Для оцінки частки нових токенів, що розсилаються через групи Telegram, у мережі Ethereum, були зібрані дані про нові токени, випущені в мережі Ethereum за той самий період часу. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, що розсилаються через групи Telegram, становлять 89.99% від мережі. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Після поглибленого розслідування було виявлено тривожну правду — принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, практично кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull в інших блокчейн-мережах. Це означає, що безпека нових токенів в екосистемі Web3 є набагато серйознішою, ніж очікувалося, не лише на основній мережі Ethereum. Тому ми сподіваємося допомогти всім учасникам Web3 підвищити обізнаність про захист, залишатися пильними перед безліччю шахрайств і вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим, як розпочати цей звіт, давайте спочатку ознайомимось з деякими базовими поняттями.
ERC-20 Токени є одним із найпоширеніших стандартів токенів на блокчейні, він визначає набір специфікацій, що дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 визначає основні функції токенів, такі як переказ, перевірка балансу, надання дозволу третім особам на управління токенами тощо. Завдяки цій стандартизованій угоді розробникам легше випускати та керувати токенами, що спрощує створення та використання токенів. Насправді будь-яка особа або організація може випустити свій токен на основі стандарту ERC-20 та залучити стартове фінансування для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому застосуванню ERC-20 Токенів вони стали основою багатьох ICO та децентралізованих фінансових проектів.
Ми знайомі з USDT, PEPE, DOGE, які є ERC-20 токенами, користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахрайські групи також можуть випускати шкідливі ERC-20 токени з кодом зворотного зв'язку, розміщуючи їх на децентралізованих біржах, а потім спокушати користувачів на покупку.
Типові шахрайські випадки з Токенами Rug Pull
Тут ми використовуємо приклад шахрайства з токеном Rug Pull, щоб глибше зрозуміти модель діяльності злочинних токенів. По-перше, варто зазначити, що Rug Pull - це шахрайство, коли команда проекту раптово забирає кошти або припиняє проект у децентралізованому фінансовому проекті, що призводить до великих втрат для інвесторів. А токени Rug Pull - це токени, які спеціально випускаються для здійснення такого шахрайства.
У цій статті згадані Rug Pull Токени, які іноді також називають "медовими горщиками (Honey Pot) Токенами" або "схемами виходу (Exit Scam) Токенами", але в наступному тексті ми будемо однозначно називати їх Rug Pull Токенами.
· випадок
Атакуюча група (Rug Pull) використовує адресу Deployer (0x4bAF) для розгортання токена TOMMI, потім з 1,5 ETH та 100,000,000 токенів TOMMI створює ліквіднісний пул та за допомогою інших адрес активно купує токени TOMMI, щоб підробити обсяг транзакцій ліквіднісного пулу, аби залучити користувачів і боти для купівлі нових токенів на ланцюгу. Коли певна кількість ботів потрапляє в пастку, атакуюча група використовує адресу Rug Puller (0x43a9) для виконання Rug Pull, Rug Puller скидає 38,739,354 токенів TOMMI в ліквіднісний пул, обмінюючи їх на приблизно 3,95 ETH. Джерело токенів Rug Puller походить від злочинного дозволу на Approve токена TOMMI, який під час розгортання надає Rug Puller права на підтвердження ліквіднісного пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквіднісного пулу і здійснювати Rug Pull.
· Відповідна адреса
· Пов'язані торги
· Процес Раг Пул
1. Підготовка атакувальних коштів.
Зловмисник через централізовану біржу поповнив Token Deployer (0x4bAF) на 2.47309009ETH як стартовий капітал для Rug Pull.
2. Розгортання токена Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
3. Створити початковий ліквідний пул.
Deployer використовує 1.5 ETH та всі попередньо видобуті токени для створення ліквіднісного пулу, отримавши приблизно 0.387 LP токенів.
4. Знищити всі попередньо видобуті обсяги Токенів.
Token Deployer надсилає всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому на даний момент Token Deployer теоретично втратив здатність до Rug Pull. (Це також одна з необхідних умов для залучення ботів для первинного розміщення, частина ботів оцінює, чи існує ризик Rug Pull у нових токенах, що надходять у пул, Deployer також встановлює власника контракту на адресу 0, щоб обманути програми протидії шахрайству ботів для первинного розміщення).
5. Підробка обсягу торгів.
Зловмисники активно купують токени TOMMI з ліквіднісних пулів з кількох адрес, штучно підвищуючи обсяги торгівлі в пулі, що далі приваблює роботів для участі в нових токенах (підстави для визначення цих адрес як адрес зловмисників: кошти на відповідних адресах походять з історичних адрес передачі коштів групи Rug Pull).
Зловмисник здійснив Rug Pull через адресу Rug Puller (0x43A9), безпосередньо перевівши 38,739,354 токени з ліквідного пулу через бекдор токена, а потім використав ці токени для знищення пулу, витягнувши приблизно 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу 0xD921.
Адреса пересилки 0xD921 відправляє кошти на адресу зберігання коштів 0x2836. З цього ми можемо бачити, що після завершення Rug Pull, Rug Puller відправить кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем збору коштів в багатьох випадках Rug Pull, і адреса зберігання коштів поділить більшість отриманих коштів, щоб почати новий раунд Rug Pull, тоді як залишок невеликої суми коштів буде виведений через централізовану біржу. Виявлено кілька адрес зберігання коштів, 0x2836 є однією з них.
· Код для Rug Pull
Хоча зловмисники вже намагалися довести зовнішньому світу, що не можуть здійснити Rug Pull, знищивши LP токени, насправді зловмисники залишили зловмисний бекдор у функції openTrading контракту TOMMI токена, цей бекдор дозволяє під час створення ліквіднісного пулу давати адресу Rug Puller дозвіл на переказ токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквіднісного пулу.
Реалізація функції openTrading має на меті створення нових пулів ліквідності, але зловмисник викликав у цій функції функцію заднього ходи onInit, що дозволяє uniswapV2Pair надати адресі _chefAddress дозвіл на переміщення токенів у кількості type(uint256). При цьому uniswapV2Pair є адресою пулу ліквідності, а _chefAddress - це адреса Rug Puller, зазначена під час розгортання контракту.
· Моделі злочинів
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує кошти через централізовану біржу: зловмисник спочатку надає джерело фінансування для адреси розгортача (Deployer) через централізовану біржу.
Deployer створює ліквідність пул і знищує LP токени: розробник, після створення токенів Rug Pull, негайно створює ліквідність пул для них і знищує LP токени, щоб підвищити довіру до проекту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквіднісному пулі: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (зазвичай кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквіднісному пулі. У інших випадках Rug Puller також отримує ETH із пулу через видалення ліквідності.
Rug Puller перенесе ETH, отриманий від Rug Pull, на адресу для збереження коштів: Rug Puller перенесе отриманий ETH на адресу для збереження коштів, іноді через проміжну адресу.
Ці характеристики загалом присутні в захоплених випадках, що свідчить про очевидні патерни поведінки Rug Pull. Крім того, після завершення Rug Pull кошти зазвичай