Analyse approfondie de l'écosystème des jetons Ethereum : Échelle et impact des escroqueries par Rug Pull
Introduction
Dans le monde Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne surgissent pas sans raison. Récemment, de nombreux cas de transactions de Rug Pull ont été découverts, et tous les jetons concernés sont sans exception de nouveaux jetons fraîchement lancés.
Une enquête approfondie révèle qu'il existe des groupes criminels organisés derrière ces cas de Rug Pull, présentant des caractéristiques de modélisation. L'analyse indique que les groupes de Rug Pull pourraient attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser un Rug Pull via la fonction "New Token Tracer" dans les groupes Telegram.
Les statistiques montrent qu'entre novembre 2023 et août 2024, les groupes Telegram concernés ont promu 93 930 nouveaux jetons, dont 46 526 impliquaient des Rug Pull, représentant 49,53 %. Les groupes derrière ces jetons Rug Pull ont investi un coût total de 149 813,72 ETH, réalisant un bénéfice de 282 699,96 ETH avec un taux de retour de 188,7 %, ce qui équivaut à environ 800 millions de dollars.
Au cours de la même période, la blockchain Ethereum a émis 100,260 nouveaux jetons, dont 89,99 % étaient des jetons promus par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant de loin les attentes raisonnables. Une enquête approfondie a révélé qu'au moins 48,265 jetons étaient impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur la blockchain Ethereum est impliqué dans une escroquerie.
D'autres réseaux de blockchain ont également découvert davantage de cas de Rug Pull. Cela signifie que la situation sécuritaire de l'écosystème des nouveaux jetons Web3 est plus grave que prévu. Ce rapport vise à sensibiliser les membres de Web3, appelant à rester vigilants et à prendre les mesures préventives nécessaires.
Jeton ERC-20 (Token)
Le jeton ERC-20 est l'un des standards de jetons les plus courants sur la blockchain, définissant un ensemble de normes permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctionnalités de base des jetons, telles que les transferts, la consultation des soldes, l'autorisation de la gestion par des tiers, etc. Ce protocole standardisé simplifie la création et l'utilisation des jetons. Toute personne ou organisation peut émettre des jetons sur la base de la norme ERC-20 et lever des fonds de démarrage pour divers projets financiers grâce à des préventes.
USDT, PEPE, DOGE, etc. appartiennent tous à des jetons ERC-20, les utilisateurs peuvent les acheter via des échanges décentralisés. Cependant, certains groupes de fraude peuvent également émettre eux-mêmes des jetons ERC-20 malveillants avec des portes dérobées codées, les mettant en ligne sur des échanges décentralisés pour inciter les utilisateurs à les acheter.
Cas typique de fraude par rug pull sur les jetons
Le Rug Pull désigne un acte frauduleux où les responsables d'un projet dans la finance décentralisée retirent soudainement des fonds ou abandonnent le projet, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton spécifiquement émis pour mettre en œuvre ce type de comportement frauduleux.
cas
L'attaquant a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 ETH et 100 millions de TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions afin d'attirer les utilisateurs et les robots de prévente. Lorsque un certain nombre de robots de prévente se sont fait avoir, l'attaquant a exécuté un Rug Pull avec l'adresse Rug Puller, en inondant le pool de liquidité avec 38,73 millions de jetons TOMMI, échangeant environ 3,95 ETH. Les jetons de Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, permettant à Rug Puller de retirer directement des jetons TOMMI du pool de liquidité avant d'effectuer le Rug Pull.
processus de Rug Pull
Préparer des fonds d'attaque : l'attaquant recharge 2,47 ETH vers le Token Deployer via un échange centralisé comme fonds de démarrage.
Déployer un jeton Rug Pull avec porte dérobée : Le déployeur crée le jeton TOMMI, pré-extrait 100 millions de jetons et les attribue à lui-même.
Créer le pool de liquidité initial : Le Deployer utilise 1,5 ETH et tous les jetons pré-minés pour créer le pool de liquidité, obtenant environ 0,387 jetons LP.
Détruire l'ensemble de l'approvisionnement en jetons pré-minés : le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire.
Volume de transactions falsifié : des attaquants achètent activement des jetons TOMMI à partir de plusieurs adresses dans la piscine de liquidités, gonflant ainsi le volume des transactions de la piscine.
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, retirant 38,730,000 jetons de la réserve de liquidités, puis a utilisé ces jetons pour faire tomber le pool, extrayant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra les fonds à l'adresse de conservation des fonds.
code de backdoor de Rug Pull
L'attaquant a laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI, qui permet à la piscine de liquidités d'approuver le transfert de jetons vers l'adresse Rug Puller lors de la création de la piscine de liquidités, permettant ainsi à l'adresse Rug Puller de retirer directement des jetons de la piscine de liquidités.
mode opératoire
Le déployeur obtient des fonds par le biais des échanges centralisés.
Deployer crée le pool de liquidité et détruit le jeton LP.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité.
Rug Puller transférera l'ETH obtenu vers l'adresse de réserve de fonds.
Ces caractéristiques sont généralement présentes dans les cas capturés, indiquant que le comportement de Rug Pull présente des caractéristiques manifestement schématiques. Après un Rug Pull, les fonds sont généralement regroupés sur une adresse de conservation des fonds, suggérant que ces cas apparemment indépendants pourraient impliquer le même groupe de fraude ou même le même groupe de fraude.
Gang de Rug Pull
adresse de conservation des fonds de minage
7 adresses de conservation de fonds très actives sont associées à 1 124 cas de Rug Pull. Ces adresses vont diviser les fonds stagnants pour créer de nouveaux jetons dans de futures arnaques Rug Pull, manipuler des pools de liquidités, etc. Une petite partie des fonds stagnants est ensuite liquidée via des échanges centralisés ou des plateformes d'échange instantané.
Les trois adresses avec la plus grande part de bénéfice sont respectivement 0x1607, 0xDF1a et 0x2836. L'adresse 0x1607 a réalisé le plus de bénéfice, avec environ 2 668,17 Éther, représentant 27,7 % des bénéfices de toutes les adresses.
lien entre les adresses de conservation des fonds d'exploration
Selon les relations de transfert direct d'Éther, ces adresses de conservation des fonds peuvent être divisées en 3 ensembles d'adresses :
0xDF1a et 0xDEd0
0x1607 et 0x4856
0x2836, 0x0573, 0xF653 et 0x7dd9
Il existe des relations de transfert directes au sein d'un ensemble d'adresses, mais il n'y a pas de comportement de transfert direct entre les ensembles. Cependant, ces 3 ensembles d'adresses ont tous utilisé le même contrat d'infrastructure de base pour diviser l'Éther afin de réaliser des opérations de Rug Pull par la suite, ce qui relie ensemble ces 3 ensembles d'adresses, formant un tout.
Extraction d'infrastructure commune
Deux adresses d'infrastructure principales : 0x1d3970677aa2324E4822b293e500220958d493d0 et 0x634847D6b650B9f442b3B582971f859E6e65eB53.
0x1d39 contient principalement deux fonctions : "multiSendETH" et "0x7a860e7e". La fonction "multiSendETH" est utilisée pour diviser les transferts, les adresses de conservation des fonds utilisent cette fonction pour répartir une partie des fonds vers plusieurs adresses, afin de faussement gonfler le volume des transactions des jetons Rug Pull. La fonction "0x7a860e7e" est utilisée pour acheter des jetons Rug Pull.
La fonction principale de 0x6348 est similaire à celle de 0x1d39, sauf que le nom de la fonction pour acheter des jetons Rug Pull a été changé en "0x3f8a436c".
Les gangs de Rug Pull se caractérisent par l'utilisation d'adresses d'infrastructure : ils laissent des fonds sur une adresse ou une adresse de transit avec peu de capital, mais falsifient le volume des transactions de jetons Rug Pull à travers de nombreuses autres adresses.
origine des fonds de l'exploitation minière
Parmi 1 124 cas de Rug Pull, le nombre de cas où les fonds proviennent de portefeuilles chauds d'échanges centralisés s'élève à 1 069, soit 95,11 %. Cela signifie que pour la grande majorité des cas de Rug Pull, il est possible de retracer le titulaire du compte spécifique grâce aux informations KYC des comptes d'échanges centralisés et à l'historique des retraits.
Les groupes de Rug Pull obtiennent souvent des fonds d'opération simultanément à partir de plusieurs portefeuilles chauds d'échanges, et le degré d'utilisation de chaque portefeuille est à peu près équivalent. Cela indique que les groupes de Rug Pull cherchent à accroître l'indépendance des différents cas de Rug Pull en ce qui concerne le flux de fonds, afin d'augmenter la difficulté de traçage et de complexifier le suivi.
Canaux de promotion des jetons de piège
Deux canaux publicitaires possibles pour les gangs de Rug Pull : Twitter et les groupes Telegram. Ces groupes Twitter et Telegram n'ont pas été créés spécifiquement par les gangs de Rug Pull, mais existent comme composants de base dans l'écosystème des nouvelles introductions. Ils sont gérés par des équipes d'exploitation de robots de sniping sur la chaîne ou des équipes professionnelles de nouvelles introductions, et sont spécialement destinés à informer les nouveaux investisseurs des jetons nouvellement lancés.
Publicité Twitter
Le gang Rug Pull utilise le service de promotion de nouveaux jetons d'organismes tiers pour exposer son jeton Rug Pull au grand public, afin d'attirer davantage de victimes.
Publicité de groupe Telegram
Le groupe Telegram dédié à la promotion des nouveaux jetons, maintenu par l'équipe de robots de ciblage en chaîne, ne se contente pas de transmettre les informations de base sur les nouveaux jetons, mais offre également aux utilisateurs un accès pratique pour les acheter.
Analyse de l'écosystème des jetons Ethereum
Analyser les jetons poussés dans le groupe Telegram
Entre octobre 2023 et août 2024, le groupe Telegram a envoyé un total de 93 930 jetons. En utilisant les règles de détection de Rug Pull pour scanner ces jetons, 46 526 jetons Rug Pull ont été détectés, représentant 49,53 %.
41 801 jetons Rug Pull ont une durée d'activité inférieure à 72 heures, représentant 89,84 %. Le nombre de jetons ayant une durée d'activité inférieure à 3 heures est de 25 622, représentant 55,07 %.
Le nombre de cas de Rug Pull réalisés par des groupes à travers le retrait de liquidité s'élève à 32 131, représentant 69,06 %. Le nombre de cas de Rug Pull exécutés via le contrat Router d'Uniswap est de 40 887, soit 76,35 % du nombre total d'exécutions.
Le profit total des 46 526 cas de Rug Pull s'élève à 282 699,96 Éther, avec une marge bénéficiaire atteignant 188,70 %, soit environ 800 millions de dollars.
Alerte sur l'écosystème des nouveaux jetons Ethereum : près de la moitié concerne des Rug Pull avec une perte annuelle de 800 millions de dollars
Analyse approfondie de l'écosystème des jetons Ethereum : Échelle et impact des escroqueries par Rug Pull
Introduction
Dans le monde Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne surgissent pas sans raison. Récemment, de nombreux cas de transactions de Rug Pull ont été découverts, et tous les jetons concernés sont sans exception de nouveaux jetons fraîchement lancés.
Une enquête approfondie révèle qu'il existe des groupes criminels organisés derrière ces cas de Rug Pull, présentant des caractéristiques de modélisation. L'analyse indique que les groupes de Rug Pull pourraient attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser un Rug Pull via la fonction "New Token Tracer" dans les groupes Telegram.
Les statistiques montrent qu'entre novembre 2023 et août 2024, les groupes Telegram concernés ont promu 93 930 nouveaux jetons, dont 46 526 impliquaient des Rug Pull, représentant 49,53 %. Les groupes derrière ces jetons Rug Pull ont investi un coût total de 149 813,72 ETH, réalisant un bénéfice de 282 699,96 ETH avec un taux de retour de 188,7 %, ce qui équivaut à environ 800 millions de dollars.
Au cours de la même période, la blockchain Ethereum a émis 100,260 nouveaux jetons, dont 89,99 % étaient des jetons promus par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant de loin les attentes raisonnables. Une enquête approfondie a révélé qu'au moins 48,265 jetons étaient impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur la blockchain Ethereum est impliqué dans une escroquerie.
D'autres réseaux de blockchain ont également découvert davantage de cas de Rug Pull. Cela signifie que la situation sécuritaire de l'écosystème des nouveaux jetons Web3 est plus grave que prévu. Ce rapport vise à sensibiliser les membres de Web3, appelant à rester vigilants et à prendre les mesures préventives nécessaires.
Jeton ERC-20 (Token)
Le jeton ERC-20 est l'un des standards de jetons les plus courants sur la blockchain, définissant un ensemble de normes permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctionnalités de base des jetons, telles que les transferts, la consultation des soldes, l'autorisation de la gestion par des tiers, etc. Ce protocole standardisé simplifie la création et l'utilisation des jetons. Toute personne ou organisation peut émettre des jetons sur la base de la norme ERC-20 et lever des fonds de démarrage pour divers projets financiers grâce à des préventes.
USDT, PEPE, DOGE, etc. appartiennent tous à des jetons ERC-20, les utilisateurs peuvent les acheter via des échanges décentralisés. Cependant, certains groupes de fraude peuvent également émettre eux-mêmes des jetons ERC-20 malveillants avec des portes dérobées codées, les mettant en ligne sur des échanges décentralisés pour inciter les utilisateurs à les acheter.
Cas typique de fraude par rug pull sur les jetons
Le Rug Pull désigne un acte frauduleux où les responsables d'un projet dans la finance décentralisée retirent soudainement des fonds ou abandonnent le projet, entraînant d'énormes pertes pour les investisseurs. Le jeton Rug Pull est un jeton spécifiquement émis pour mettre en œuvre ce type de comportement frauduleux.
cas
L'attaquant a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 ETH et 100 millions de TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions afin d'attirer les utilisateurs et les robots de prévente. Lorsque un certain nombre de robots de prévente se sont fait avoir, l'attaquant a exécuté un Rug Pull avec l'adresse Rug Puller, en inondant le pool de liquidité avec 38,73 millions de jetons TOMMI, échangeant environ 3,95 ETH. Les jetons de Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat du jeton TOMMI, permettant à Rug Puller de retirer directement des jetons TOMMI du pool de liquidité avant d'effectuer le Rug Pull.
processus de Rug Pull
Préparer des fonds d'attaque : l'attaquant recharge 2,47 ETH vers le Token Deployer via un échange centralisé comme fonds de démarrage.
Déployer un jeton Rug Pull avec porte dérobée : Le déployeur crée le jeton TOMMI, pré-extrait 100 millions de jetons et les attribue à lui-même.
Créer le pool de liquidité initial : Le Deployer utilise 1,5 ETH et tous les jetons pré-minés pour créer le pool de liquidité, obtenant environ 0,387 jetons LP.
Détruire l'ensemble de l'approvisionnement en jetons pré-minés : le déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire.
Volume de transactions falsifié : des attaquants achètent activement des jetons TOMMI à partir de plusieurs adresses dans la piscine de liquidités, gonflant ainsi le volume des transactions de la piscine.
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, retirant 38,730,000 jetons de la réserve de liquidités, puis a utilisé ces jetons pour faire tomber le pool, extrayant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra les fonds à l'adresse de conservation des fonds.
code de backdoor de Rug Pull
L'attaquant a laissé une porte dérobée malveillante dans la fonction openTrading du contrat du jeton TOMMI, qui permet à la piscine de liquidités d'approuver le transfert de jetons vers l'adresse Rug Puller lors de la création de la piscine de liquidités, permettant ainsi à l'adresse Rug Puller de retirer directement des jetons de la piscine de liquidités.
mode opératoire
Le déployeur obtient des fonds par le biais des échanges centralisés.
Deployer crée le pool de liquidité et détruit le jeton LP.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité.
Rug Puller transférera l'ETH obtenu vers l'adresse de réserve de fonds.
Ces caractéristiques sont généralement présentes dans les cas capturés, indiquant que le comportement de Rug Pull présente des caractéristiques manifestement schématiques. Après un Rug Pull, les fonds sont généralement regroupés sur une adresse de conservation des fonds, suggérant que ces cas apparemment indépendants pourraient impliquer le même groupe de fraude ou même le même groupe de fraude.
Gang de Rug Pull
adresse de conservation des fonds de minage
7 adresses de conservation de fonds très actives sont associées à 1 124 cas de Rug Pull. Ces adresses vont diviser les fonds stagnants pour créer de nouveaux jetons dans de futures arnaques Rug Pull, manipuler des pools de liquidités, etc. Une petite partie des fonds stagnants est ensuite liquidée via des échanges centralisés ou des plateformes d'échange instantané.
Les trois adresses avec la plus grande part de bénéfice sont respectivement 0x1607, 0xDF1a et 0x2836. L'adresse 0x1607 a réalisé le plus de bénéfice, avec environ 2 668,17 Éther, représentant 27,7 % des bénéfices de toutes les adresses.
lien entre les adresses de conservation des fonds d'exploration
Selon les relations de transfert direct d'Éther, ces adresses de conservation des fonds peuvent être divisées en 3 ensembles d'adresses :
Il existe des relations de transfert directes au sein d'un ensemble d'adresses, mais il n'y a pas de comportement de transfert direct entre les ensembles. Cependant, ces 3 ensembles d'adresses ont tous utilisé le même contrat d'infrastructure de base pour diviser l'Éther afin de réaliser des opérations de Rug Pull par la suite, ce qui relie ensemble ces 3 ensembles d'adresses, formant un tout.
Extraction d'infrastructure commune
Deux adresses d'infrastructure principales : 0x1d3970677aa2324E4822b293e500220958d493d0 et 0x634847D6b650B9f442b3B582971f859E6e65eB53.
0x1d39 contient principalement deux fonctions : "multiSendETH" et "0x7a860e7e". La fonction "multiSendETH" est utilisée pour diviser les transferts, les adresses de conservation des fonds utilisent cette fonction pour répartir une partie des fonds vers plusieurs adresses, afin de faussement gonfler le volume des transactions des jetons Rug Pull. La fonction "0x7a860e7e" est utilisée pour acheter des jetons Rug Pull.
La fonction principale de 0x6348 est similaire à celle de 0x1d39, sauf que le nom de la fonction pour acheter des jetons Rug Pull a été changé en "0x3f8a436c".
Les gangs de Rug Pull se caractérisent par l'utilisation d'adresses d'infrastructure : ils laissent des fonds sur une adresse ou une adresse de transit avec peu de capital, mais falsifient le volume des transactions de jetons Rug Pull à travers de nombreuses autres adresses.
origine des fonds de l'exploitation minière
Parmi 1 124 cas de Rug Pull, le nombre de cas où les fonds proviennent de portefeuilles chauds d'échanges centralisés s'élève à 1 069, soit 95,11 %. Cela signifie que pour la grande majorité des cas de Rug Pull, il est possible de retracer le titulaire du compte spécifique grâce aux informations KYC des comptes d'échanges centralisés et à l'historique des retraits.
Les groupes de Rug Pull obtiennent souvent des fonds d'opération simultanément à partir de plusieurs portefeuilles chauds d'échanges, et le degré d'utilisation de chaque portefeuille est à peu près équivalent. Cela indique que les groupes de Rug Pull cherchent à accroître l'indépendance des différents cas de Rug Pull en ce qui concerne le flux de fonds, afin d'augmenter la difficulté de traçage et de complexifier le suivi.
Canaux de promotion des jetons de piège
Deux canaux publicitaires possibles pour les gangs de Rug Pull : Twitter et les groupes Telegram. Ces groupes Twitter et Telegram n'ont pas été créés spécifiquement par les gangs de Rug Pull, mais existent comme composants de base dans l'écosystème des nouvelles introductions. Ils sont gérés par des équipes d'exploitation de robots de sniping sur la chaîne ou des équipes professionnelles de nouvelles introductions, et sont spécialement destinés à informer les nouveaux investisseurs des jetons nouvellement lancés.
Publicité Twitter
Le gang Rug Pull utilise le service de promotion de nouveaux jetons d'organismes tiers pour exposer son jeton Rug Pull au grand public, afin d'attirer davantage de victimes.
Publicité de groupe Telegram
Le groupe Telegram dédié à la promotion des nouveaux jetons, maintenu par l'équipe de robots de ciblage en chaîne, ne se contente pas de transmettre les informations de base sur les nouveaux jetons, mais offre également aux utilisateurs un accès pratique pour les acheter.
Analyse de l'écosystème des jetons Ethereum
Analyser les jetons poussés dans le groupe Telegram
Entre octobre 2023 et août 2024, le groupe Telegram a envoyé un total de 93 930 jetons. En utilisant les règles de détection de Rug Pull pour scanner ces jetons, 46 526 jetons Rug Pull ont été détectés, représentant 49,53 %.
41 801 jetons Rug Pull ont une durée d'activité inférieure à 72 heures, représentant 89,84 %. Le nombre de jetons ayant une durée d'activité inférieure à 3 heures est de 25 622, représentant 55,07 %.
Le nombre de cas de Rug Pull réalisés par des groupes à travers le retrait de liquidité s'élève à 32 131, représentant 69,06 %. Le nombre de cas de Rug Pull exécutés via le contrat Router d'Uniswap est de 40 887, soit 76,35 % du nombre total d'exécutions.
Le profit total des 46 526 cas de Rug Pull s'élève à 282 699,96 Éther, avec une marge bénéficiaire atteignant 188,70 %, soit environ 800 millions de dollars.
![Enquête approfondie sur les cas de Rug Pull, dévoilant l'Éther