تحليل عميق لبيئة عملات إيثريوم: حجم وتأثير تضليل سحب البساط

مقدمة

في عالم Web3، تظهر عملات جديدة باستمرار. هل تساءلت يومًا عن عدد العملات الجديدة التي يتم إصدارها يوميًا؟ هل هذه العملات الجديدة آمنة؟

هذه التساؤلات ليست بلا أساس. مؤخرًا، تم اكتشاف العديد من حالات احتيال السحب المفاجئ، وجميع العملات الرقمية المعنية هي عملات جديدة تم إدراجها مؤخرًا.

أظهرت التحقيقات المتعمقة أن هناك عصابات منظمة وراء هذه الحالات من تضليل Rug Pull، وأنها تُظهر خصائص نمطية. تشير التحليلات إلى أن عصابات Rug Pull قد تجذب المستخدمين لشراء عملات مزيفة من خلال وظيفة "New Token Tracer" في مجموعات Telegram، ثم تنفيذ تضليل Rug Pull في النهاية.

تظهر الإحصائيات أنه خلال الفترة من نوفمبر 2023 إلى أغسطس 2024، قامت مجموعات Telegram ذات الصلة بدفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا تتعلق بتضليل، مما يمثل 49.53%. وقد أنفقت العصابات وراء هذه العملات المتضائلة تكاليف إجمالية قدرها 149,813.72 ايثر، مع تحقيق أرباح تصل إلى 282,699.96 ايثر بمعدل عائد يبلغ 188.7%، مما يعادل حوالي 800 مليون دولار.

في نفس الفترة، أصدرت الشبكة الرئيسية لإثيريوم 100,260 نوعًا جديدًا من العملات، حيث تمثل العملات التي تم دفعها عبر مجموعات تيليجرام 89.99%. يُولد حوالي 370 نوعًا جديدًا من العملات يوميًا، وهو ما يفوق التوقعات المعقولة بكثير. كشفت التحقيقات المتعمقة أن ما لا يقل عن 48,265 نوعًا من العملات متورطة في عمليات احتيال من نوع Rug Pull، مما يشكل 48.14%. بعبارة أخرى، يتورط واحد من كل عملتين جديدتين تقريبًا على الشبكة الرئيسية لإثيريوم في الاحتيال.

تم العثور على المزيد من حالات تضليل في شبكات البلوكشين الأخرى. هذا يعني أن الوضع الأمني ​​لإيكولوجيا العملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا. يهدف هذا التقرير إلى تعزيز الوعي الوقائي لأعضاء Web3، ويدعو إلى اليقظة واتخاذ التدابير الوقائية اللازمة.

رمز ERC-20 (Token)

عملة ERC-20 هي واحدة من أكثر معايير العملات شيوعًا على البلوكشين، حيث تحدد مجموعة من المعايير التي تتيح للعملات التفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، واستعلام الرصيد، وتفويض الأطراف الثالثة للإدارة، وغيرها. تبسط هذه البروتوكولات الموحدة إنشاء واستخدام العملات. يمكن لأي فرد أو منظمة إصدار عملات بناءً على معيار ERC-20، وجمع رأس المال الأولي لمشاريع مالية متنوعة من خلال البيع المسبق.

USDT، PEPE، DOGE وغيرها تنتمي إلى عملة ERC-20، يمكن للمستخدمين شراؤها من خلال بورصات لامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملة ERC-20 خبيثة تحتوي على ثغرات برمجية، وتعرضها في بورصات لامركزية، مما يغري المستخدمين للشراء.

حالات الاحتيال النموذجية لعملة تضليل

تضليل هو سلوك احتيالي حيث يقوم فريق المشروع في مشاريع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر كبيرة. عملة تضليل هي عملة مُصدَرة خصيصًا لتنفيذ هذا السلوك الاحتيالي.

حالة

المهاجم يستخدم عنوان Deployer لنشر عملة TOMMI، ثم يستخدم 1.5 ETH و 100 مليون عملة TOMMI لإنشاء بركة السيولة، ويقوم بنشاط بشراء عملة TOMMI من خلال عناوين أخرى لتزوير حجم التداول لجذب المستخدمين وروبوتات الشراء الجديدة. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يقوم المهاجم باستخدام عنوان Rug Puller لتنفيذ Rug Pull، مستخدماً 38.73 مليون عملة TOMMI لضرب بركة السيولة، واستبدالها بـحوالي 3.95 ETH. مصدر عملات Rug Puller يأتي من تفويض Approve الخبيث لعقد عملة TOMMI، مما يسمح لـRug Puller بسحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ Rug Pull.

عملية سحب السجادة

1. إعداد أموال الهجوم: يقوم المهاجم بإيداع 2.47 ايثر إلى منشئ العملة من خلال بورصة مركزية كأموال بدء.

2. نشر عملة Rug Pull مع باب خلفي: يقوم Deployer بإنشاء عملة TOMMI، ويقوم باستخراج 100 مليون عملة وتوزيعها على نفسه.

3. إنشاء بركة السيولة الأولية: يقوم المطور باستخدام 1.5 إثيريوم وجميع عملات ما قبل التعدين لإنشاء بركة السيولة، والحصول على حوالي 0.387 من رموز LP.

4. تدمير جميع إمدادات الرموز المميزة المدفوعة مسبقًا: سيقوم مطور الرموز بإرسال جميع عملات LP إلى عنوان 0 للتدمير.

5. حجم المعاملات المزيف: يقوم المهاجمون باستخدام عدة عناوين لشراء عملة TOMMI بشكل نشط من حوض السيولة، مما يؤدي إلى رفع حجم المعاملات في الحوض.

6. قام المهاجمون بشن هجوم Rug Pull من خلال عنوان Rug Puller، حيث تم نقل 38,730,000 عملة من مسبح السيولة، ثم تم استخدام هذه العملات لتدمير المسبح، وسحب حوالي 3.95 ايثر.

7. يقوم المهاجم بإرسال الأموال التي حصل عليها من سحب السجادة إلى عنوان وسيط.

8. ستقوم عنوان التحويل بإرسال الأموال إلى عنوان الاحتفاظ بالأموال.

كود سحب السجادة ثغرة خلفية

ترك المهاجمون باب خلفي خبيث في وظيفة openTrading لعقد عملة TOMMI، سيسمح هذا الباب الخلفي عند إنشاء حوض السيولة بأن يمنح حوض السيولة إذن نقل العملة إلى عنوان Rug Puller، مما يمكن عنوان Rug Puller من سحب العملة مباشرة من حوض السيولة.

نمط الجريمة

1. يقوم Deployer بالحصول على الأموال من خلال البورصات المركزية.

2. يقوم Deployer بإنشاء حوض السيولة وإتلاف عملات LP.

3. Rug Puller يستخدم كمية كبيرة من عملة لتبادل في تجمع السيولة من ETH.

4. سيقوم ساحب السجادة بنقل ETH الذي حصل عليه إلى عنوان الاحتفاظ بالأموال.

توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يدل على أن سلوك سحب البساط له سمات نمطية واضحة. بعد اكتمال سحب البساط، يتم عادة تجميع الأموال في عنوان احتفاظ بالأموال، مما يشير إلى أن هذه الحالات التي تبدو مستقلة قد تتعلق بنفس المجموعة أو حتى نفس عصابة الاحتيال.

عصابة سحب السجادة

عنوان احتفاظ أموال التعدين

سبع عناوين نشطة للغاية تتعلق بـ 1,124 حالة تضليل. ستقوم هذه العناوين بتقسيم الأموال المودعة لاستخدامها في إنشاء عملات جديدة في عمليات تضليل جديدة، والتلاعب بحمامات السيولة، وغيرها من الأنشطة. يتم تحويل جزء صغير من الأموال المودعة إلى نقد من خلال البورصات المركزية أو منصات التحويل السريع.

تحتل العناوين الثلاثة الأولى من حيث نسبة الأرباح 0x1607 و0xDF1a و0x2836. العنوان 0x1607 حقق أعلى أرباح، حوالي 2,668.17 ايثر، ما يشكل 27.7% من إجمالي أرباح جميع العناوين.

ارتباط عنوان احتفاظ أموال التعدين

وفقًا لعلاقة التحويل المباشر لعملة الإيثريوم، يمكن تقسيم عناوين الاحتفاظ بهذه الأموال إلى 3 مجموعات من العناوين:

1. 0xDF1a و 0xDEd0
2. 0x1607 و 0x4856
3. 0x2836 ، 0x0573 ، 0xF653 و 0x7dd9

توجد علاقات تحويل مباشرة داخل مجموعة العناوين، ولكن لا توجد سلوكيات تحويل مباشرة بين المجموعات. ومع ذلك، فإن هذه المجموعات الثلاث من العناوين قد قامت جميعها بتقسيم ETH من خلال نفس عقد البنية التحتية لتنفيذ عمليات تضليل لاحقة، مما يجعل المجموعات الثلاث التي تبدو فضفاضة مرتبطة معاً، لتشكل كياناً واحداً.

تعدين البنية التحتية المشتركة

عنواني البنية التحتية الرئيسيين: 0x1d3970677aa2324E4822b293e500220958d493d0 و 0x634847D6b650B9f442b3B582971f859E6e65eB53.

0x1d39 يحتوي بشكل رئيسي على وظيفتين:"multiSendETH" و"0x7a860e7e". "multiSendETH" تستخدم لتقسيم التحويلات، حيث يتم من خلال هذه الوظيفة تقسيم جزء من الأموال إلى عدة عناوين، بهدف تزوير حجم معاملات عملة تضليل. وظيفة "0x7a860e7e" تستخدم لشراء عملة تضليل.

تتشابه الوظائف الرئيسية لـ 0x6348 مع 0x1d39، فقط تم تغيير اسم دالة شراء عملة Rug Pull إلى "0x3f8a436c".

تتميز عصابات تضليل باستخدام عناوين البنية التحتية بخصائص واضحة: تترك عنوانًا أو عنوان تحويل مع القليل من الأموال فقط لتقسيم الأموال، ولكنها تزوّر حجم تداول عملات التضليل من خلال عدد كبير من العناوين الأخرى.

استخراج مصادر تمويل الجريمة

في 1,124 حالة من حالات تضليل ، وصل عدد الحالات التي كانت فيها الأموال مصدرها محفظة ساخنة في بورصات مركزية إلى 1,069 حالة ، وهو ما يمثل 95.11٪. وهذا يعني أنه بالنسبة لأغلبية حالات التضليل ، يمكن تتبعها إلى مالكي الحسابات المحددين من خلال معلومات KYC لحسابات البورصات المركزية وسجلات سحب الأموال.

تتلقى عصابات تضليل الأموال من محافظ ساخنة من عدة بورصات في نفس الوقت، حيث أن درجة استخدام كل محفظة تقريبًا متساوية. هذا يشير إلى أن عصابات التضليل تهدف إلى زيادة استقلالية كل حالة تضليل في تدفق الأموال، مما يزيد من صعوبة تتبعها من قبل الخارج، ويزيد من تعقيد عمليات التتبع.

قنوات الترويج لعملة تضليل

قناتا إعلانات محتملة لعصابات التضليل: تويتر ومجموعات تلغرام. ليست هذه المجموعات على تويتر وتلغرام التي أنشأتها عصابات التضليل بشكل خاص، بل توجد كأحد المكونات الأساسية في بيئة إطلاق العملات الجديدة. يتم تشغيلها بواسطة فرق تشغيل روبوتات الصيد على السلسلة أو فرق إطلاق العملات المهنية، وتستهدف بشكل خاص المبتدئين في مجال إطلاق العملات الجديدة.

إعلانات تويتر

تستخدم عصابات سحب البساط خدمات دفع العملات الجديدة من المؤسسات الخارجية لكشف عملات سحب البساط الخاصة بها لجذب المزيد من الضحايا.

إعلان مجموعة تيليجرام

مجموعة تلغرام التي تديرها فريق روبوتات القنص على السلسلة، والمخصصة لدفع العملات الجديدة التي تم إطلاقها، لا تدفع فقط المعلومات الأساسية عن العملات الجديدة، بل توفر أيضًا للمستخدمين مدخلًا سهلاً للشراء.

تحليل بيئة عملة إثيريوم

تحليل العملات المرسلة في مجموعة Telegram

خلال الفترة من أكتوبر 2023 إلى أغسطس 2024، أرسل مجموعة Telegram ما مجموعه 93,930 عملة. باستخدام قواعد كشف Rug Pull لفحص هذه العملات، تم الكشف عن 46,526 عملة Rug Pull، مما يمثل 49.53%.

41,801 عملة تضليل نشطة لأقل من 72 ساعة، بنسبة 89.84%. عدد العملات التي نشطت لأقل من 3 ساعات هو 25,622، بنسبة 55.07%.

عدد حالات سحب السجادة التي قامت بها العصابات عن طريق إزالة السيولة هو 32,131، تمثل 69.06%. عدد حالات تنفيذ عمليات سحب السجادة عبر عقد روتر Uniswap هو 40,887، تمثل 76.35% من إجمالي عدد التنفيذ.

46,526 حالة تضليل حققت إجمالي أرباح قدرها 282,699.96 ايثر، بمعدل ربح وصل إلى 188.70%، ما يعادل حوالي 8 مليارات دولار.

![تحقيق عميق في حالات التضليل، كشف إثير