# Rug Pullのケースを深く調査し、イーサリアムトークンエコシステムの混乱を暴露する## イントロダクションWeb3の世界では、新しいトークンが次々と登場しています。毎日、いったいどれだけの新しいトークンが発行されているのか考えたことはありますか?これらの新しいトークンは安全なのでしょうか?これらの疑問が生じるのは無意味ではありません。過去数ヶ月間、安全チームは大量のRug Pull取引のケースを捉えました。特に注目すべきは、これらのケースに関与するトークンは例外なく、ちょうど上にチェーンされた新しいトークンであるということです。その後、安全チームはこれらのRug Pullケースについて徹底的な調査を行い、背後に組織化された犯行グループが存在することを発見し、これらの詐欺のパターン化した特徴をまとめました。これらのグループの犯行手法を深く分析することで、Rug Pullグループの1つの可能な詐欺プロモーション経路を発見しました:Telegramグループです。これらのグループは、特定のグループにある"New Token Tracer"機能を利用して、ユーザーに詐欺トークンを購入させ、最終的にRug Pullで利益を得ています。2023年11月から2024年8月初めまでの間にこれらのTelegramグループのトークンプッシュ情報を統計したところ、合計で93,930種類の新しいトークンがプッシュされ、その中でRug Pullに関与するトークンは46,526種類で、割合は49.53%に達しました。統計によると、これらのRug Pullトークンの背後にあるグループの累積投資コストは149,813.72 ETHで、最大188.7%のリターン率で282,699.96 ETHの利益を上げ、約8億ドルに相当します。Telegramグループでプッシュされた新しいトークンがイーサリアムメインネットにおいて占める割合を評価するために、同じ期間にイーサリアムメインネット上で発行された新しいトークンのデータを統計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループでプッシュされたトークンはメインネットの89.99%を占めています。平均して毎日約370種類の新しいトークンが誕生しており、合理的な予想を大きく上回っています。継続的に深く調査を行った結果、発見された真実は不安を引き起こすものでした——その中で少なくとも48,265種類のトークンがRug Pull詐欺に関与しており、割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上のほぼ2つの新しいトークンのうち1つは詐欺に関与しているのです。さらに、他のブロックチェーンネットワークでも多くのRug Pullの事例が発見されました。これは、イーサリアムのメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味しています。そのため、すべてのWeb3メンバーが詐欺の数々に直面した際に警戒を保ち、必要な予防策を適時講じて自分の資産を守るための意識を高める手助けができればと思います。! [Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする](https://img-cdn.gateio.im/social/moments-a0a59cfa0d101a0dfe9e28654eca11c4)## ERC-20 トークン正式にこの報告を始める前に、いくつかの基本的な概念を理解しましょう。ERC-20トークンは現在ブロックチェーン上で最も一般的なトークン標準の一つであり、一連の規範を定義して、トークンが異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用できるようにします。ERC-20標準は、トークンの基本機能、例えば転送、残高の照会、第三者によるトークンの管理の承認などを規定しています。この標準化されたプロトコルのおかげで、開発者はトークンの発行と管理をより簡単に行うことができ、トークンの作成と使用が簡素化されました。実際には、個人または組織がERC-20標準に基づいて独自のトークンを発行し、トークンのプレセールを通じてさまざまな金融プロジェクトのためにスタートアップ資金を調達することができます。ERC-20トークンの広範な利用により、これは多くのICOや分散型金融プロジェクトの基盤となっています。私たちが知っているUSDT、PEPE、DOGEはすべてERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺団体はコードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させ、ユーザーを購入させるように誘導する可能性もあります。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-28cc464cbdea7aa32a0d954c27b1f894)## ラグプルトークンの典型的な詐欺事例ここでは、Rug Pullトークンの詐欺ケースを借用して、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullとは、プロジェクトサイドが分散型金融プロジェクトにおいて突然資金を引き上げたりプロジェクトを放棄したりすることを指し、これにより投資家が巨額の損失を被る詐欺行為です。そして、Rug Pullトークンはこのような詐欺行為を実行するために発行されたトークンです。**本文中提到のRug Pullトークンは、時々「ハニーポット(Honey Pot)トークン」や「出口詐欺(Exit Scam)トークン」とも呼ばれますが、以下ではこれをRug Pullトークンと統一して呼ぶことにします。**### · ケース攻撃者(Rug Pullグループ)はDeployerアドレス(0x4bAF)を使用してTOMMIトークンを展開し、1.5ETHと100,000,000TOMMIを使用して流動性プールを作成し、他のアドレスを通じてTOMMIトークンを積極的に購入して流動性プールの取引量を偽装し、ユーザーとチェーン上の新規ロボットにTOMMIトークンを購入させます。一定数の新規ロボットが騙されると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンを流動性プールに投げ込み、約3.95ETHを引き出します。Rug PullerのトークンはTOMMIトークン契約の悪意のあるApprove権限から来ており、TOMMIトークン契約が展開されると、Rug Pullerに流動性プールのapprove権限が付与されます。これにより、Rug Pullerは流動性プールから直接TOMMIトークンを引き出し、Rug Pullを実行することができます。### · 関連アドレス* デプロイヤー:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7* TOMMIトークン:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F*ラグプーラー:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b*ラグプーラー変装ユーザー(そのうちの1人):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8* Rug Pullの資金振込先住所:0x1d3970677aa2324E4822b293e500220958d493d0*ラグプル保持アドレス:0x28367D2656434b928a6799E0B091045e2ee84722### · 関連取引* Deployerは、中央集権的な取引所からスタートアップ資本を取得します:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457* TOMMIトークンのデプロイ:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8*流動性プールを作成する:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c*偽装されたユーザー(そのうちの1人)に資金を送るための資金リレーアドレス:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff* ユーザーがトークンを購入するふりをする(そのうちの1つ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231*ラグプル:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c* Rug Pullは収益をトランジットアドレスに送金します:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523*仲介アドレスは、資金保持アドレスに資金を送金します:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7### · ラグプルプロセス**1. 資金を攻撃する準備をしてください。 **攻撃者は、Rug Pullの開始資金として、中央集権的な取引所を通じてToken Deployer(0x4bAF)に2.47309009ETHを入金しました。**2. バックドア付きのRug Pullトークンを展開します。**DeployerがTOMMIトークンを作成し、100,000,000個のトークンを事前に掘り出して自分に配分します。**3. 初期流動性プールを作成する。**Deployerは1.5ETHと事前に採掘されたすべてのトークンを使用して流動性プールを作成し、約0.387のLPトークンを獲得しました。**4. すべてのプレマイニングトークン供給量を焼却します。**Token DeployerはすべてのLPトークンを0アドレスに送信して破棄します。TOMMIコントラクトにはMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規参加するボットを惹きつけるための必要条件の一つです。一部の新規参加ボットは新しくプールに追加されたトークンにRug Pullリスクが存在するかどうかを評価します。Deployerは契約のオーナーを0アドレスに設定しており、これは新規参加ボットの詐欺防止プログラムを欺くためです)。**5. 取引量を偽造した。 **攻撃者は複数のアドレスを使用して流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を上昇させ、さらに新規購入ボットを引き寄せる(これらのアドレスが攻撃者の偽装であると判断する根拠:関連アドレスの資金はRug Pullグループの歴史的資金の転送アドレスから来ている)。6. 攻撃者はRug Pullerアドレス(0x43A9)を通じてRug Pullを開始し、トークンのバックドアから流動性プールから38,739,354個のトークンを直接転送しました。そして、これらのトークンを使ってプールを叩き出し、約3.95エーテルを引き出しました。7. 攻撃者はRug Pullによって得た資金を中継アドレス0xD921に送信します。8. 中継アドレス0xD921は資金を資金留保アドレス0x2836に送信します。ここから、Rug Pullが完了した後、Rug Pullerは資金を特定の資金留保アドレスに送信することがわかります。資金留保アドレスは、監視された多数のRug Pullケースの資金の集約地点であり、資金留保アドレスは受け取ったほとんどの資金を分割して新たなRug Pullを開始し、残りの少量の資金は中央集権型取引所を通じて引き出されます。資金留保アドレスがいくつか発見され、0x2836はそのうちの1つです。! [ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました](https://img-cdn.gateio.im/social/moments-e5f43d39fa77597ff8f872a1d98cd3ac)### · ラグプルコードバックドア攻撃者はLPトークンを破棄することで外部に対してRug Pullを行うことができないと証明しようとしましたが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しました。このバックドアは流動性プールを作成する際に流動性プールがRug Pullerアドレスにトークンの転送権限をapproveすることを可能にし、Rug Pullerアドレスが流動性プールから直接トークンを移動させることができるようにします。openTrading関数の実装の主な機能は新しい流動性プールを作成することですが、攻撃者はこの関数内でバックドア関数onInitを呼び出し、uniswapV2Pairが_chefAddressアドレスに対してtype(uint256)の通貨転送権限を許可しました。ここで、uniswapV2Pairは流動性プールのアドレスで、_chefAddressはRug Pullerのアドレスであり、_chefAddressはコントラクトデプロイ時に指定されます。! [ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする](https://img-cdn.gateio.im/social/moments-ed67ee56316de1b6a3f2649e45ceeb82)### · 事件のパターン化TOMMIケースを分析することで、以下の4つの特徴をまとめることができます。1. デプロイヤーは中央集権型取引所から資金を調達する:攻撃者はまず中央集権型取引所を通じてデプロイヤーアドレス(Deployer)に資金源を提供します。2. デプロイヤーは流動性プールを作成し、LPトークンを破棄します:デプロイヤーはRug Pullトークンを作成した後、すぐにそのための流動性プールを作成し、LPトークンを破棄してプロジェクトの信頼性を高め、より多くの投資者を引き付けます。3. Rug Pullerは大量のトークンを使用して流動性プール内のETHと交換します:Rug Pullアドレス(Rug Puller)は大量のトークン(通常、トークンの総供給量を大幅に超える数量)を使用して流動性プール内のETHと交換します。他のケースでは、Rug Pullerが流動性を取り除くことでプール内のETHを獲得することもあります。4. Rug PullerはRug Pullで得たETHを資金留存アドレスに移動します:Rug Pullerは取得したETHを資金留存アドレスに移動し、時には中間アドレスを介して移行します。上述これらの特徴は捕獲されたケースに普遍的に存在し、Rug Pull行為には明らかなパターン化された特徴があることを示しています。また、Rug Pullが完了した後、資金は通常、
イーサリアムトークンエコシステムに暗流が巻き起こる:近半数の新通貨が詐欺の疑い、損失は最大8億ドル
Rug Pullのケースを深く調査し、イーサリアムトークンエコシステムの混乱を暴露する
イントロダクション
Web3の世界では、新しいトークンが次々と登場しています。毎日、いったいどれだけの新しいトークンが発行されているのか考えたことはありますか?これらの新しいトークンは安全なのでしょうか?
これらの疑問が生じるのは無意味ではありません。過去数ヶ月間、安全チームは大量のRug Pull取引のケースを捉えました。特に注目すべきは、これらのケースに関与するトークンは例外なく、ちょうど上にチェーンされた新しいトークンであるということです。
その後、安全チームはこれらのRug Pullケースについて徹底的な調査を行い、背後に組織化された犯行グループが存在することを発見し、これらの詐欺のパターン化した特徴をまとめました。これらのグループの犯行手法を深く分析することで、Rug Pullグループの1つの可能な詐欺プロモーション経路を発見しました:Telegramグループです。これらのグループは、特定のグループにある"New Token Tracer"機能を利用して、ユーザーに詐欺トークンを購入させ、最終的にRug Pullで利益を得ています。
2023年11月から2024年8月初めまでの間にこれらのTelegramグループのトークンプッシュ情報を統計したところ、合計で93,930種類の新しいトークンがプッシュされ、その中でRug Pullに関与するトークンは46,526種類で、割合は49.53%に達しました。統計によると、これらのRug Pullトークンの背後にあるグループの累積投資コストは149,813.72 ETHで、最大188.7%のリターン率で282,699.96 ETHの利益を上げ、約8億ドルに相当します。
Telegramグループでプッシュされた新しいトークンがイーサリアムメインネットにおいて占める割合を評価するために、同じ期間にイーサリアムメインネット上で発行された新しいトークンのデータを統計しました。データによると、この期間中に合計100,260種類の新しいトークンが発行され、そのうちTelegramグループでプッシュされたトークンはメインネットの89.99%を占めています。平均して毎日約370種類の新しいトークンが誕生しており、合理的な予想を大きく上回っています。継続的に深く調査を行った結果、発見された真実は不安を引き起こすものでした——その中で少なくとも48,265種類のトークンがRug Pull詐欺に関与しており、割合は48.14%に達しています。言い換えれば、イーサリアムメインネット上のほぼ2つの新しいトークンのうち1つは詐欺に関与しているのです。
さらに、他のブロックチェーンネットワークでも多くのRug Pullの事例が発見されました。これは、イーサリアムのメインネットだけでなく、全体のWeb3新発トークンエコシステムの安全状況が予想以上に厳しいことを意味しています。そのため、すべてのWeb3メンバーが詐欺の数々に直面した際に警戒を保ち、必要な予防策を適時講じて自分の資産を守るための意識を高める手助けができればと思います。
! Rug Pull事件の詳細な調査、イーサリアムトークンエコシステムの混乱を明らかにする
ERC-20 トークン
正式にこの報告を始める前に、いくつかの基本的な概念を理解しましょう。
ERC-20トークンは現在ブロックチェーン上で最も一般的なトークン標準の一つであり、一連の規範を定義して、トークンが異なるスマートコントラクトや分散型アプリケーション(dApp)間で相互運用できるようにします。ERC-20標準は、トークンの基本機能、例えば転送、残高の照会、第三者によるトークンの管理の承認などを規定しています。この標準化されたプロトコルのおかげで、開発者はトークンの発行と管理をより簡単に行うことができ、トークンの作成と使用が簡素化されました。実際には、個人または組織がERC-20標準に基づいて独自のトークンを発行し、トークンのプレセールを通じてさまざまな金融プロジェクトのためにスタートアップ資金を調達することができます。ERC-20トークンの広範な利用により、これは多くのICOや分散型金融プロジェクトの基盤となっています。
私たちが知っているUSDT、PEPE、DOGEはすべてERC-20トークンに属し、ユーザーは分散型取引所を通じてこれらのトークンを購入できます。しかし、特定の詐欺団体はコードのバックドアを持つ悪意のあるERC-20トークンを独自に発行し、それを分散型取引所に上場させ、ユーザーを購入させるように誘導する可能性もあります。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
ラグプルトークンの典型的な詐欺事例
ここでは、Rug Pullトークンの詐欺ケースを借用して、悪意のあるトークン詐欺の運営モデルを深く理解します。まず最初に説明する必要があるのは、Rug Pullとは、プロジェクトサイドが分散型金融プロジェクトにおいて突然資金を引き上げたりプロジェクトを放棄したりすることを指し、これにより投資家が巨額の損失を被る詐欺行為です。そして、Rug Pullトークンはこのような詐欺行為を実行するために発行されたトークンです。
本文中提到のRug Pullトークンは、時々「ハニーポット(Honey Pot)トークン」や「出口詐欺(Exit Scam)トークン」とも呼ばれますが、以下ではこれをRug Pullトークンと統一して呼ぶことにします。
· ケース
攻撃者(Rug Pullグループ)はDeployerアドレス(0x4bAF)を使用してTOMMIトークンを展開し、1.5ETHと100,000,000TOMMIを使用して流動性プールを作成し、他のアドレスを通じてTOMMIトークンを積極的に購入して流動性プールの取引量を偽装し、ユーザーとチェーン上の新規ロボットにTOMMIトークンを購入させます。一定数の新規ロボットが騙されると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行し、Rug Pullerは38,739,354TOMMIトークンを流動性プールに投げ込み、約3.95ETHを引き出します。Rug PullerのトークンはTOMMIトークン契約の悪意のあるApprove権限から来ており、TOMMIトークン契約が展開されると、Rug Pullerに流動性プールのapprove権限が付与されます。これにより、Rug Pullerは流動性プールから直接TOMMIトークンを引き出し、Rug Pullを実行することができます。
· 関連アドレス
· 関連取引
· ラグプルプロセス
**1. 資金を攻撃する準備をしてください。 **
攻撃者は、Rug Pullの開始資金として、中央集権的な取引所を通じてToken Deployer(0x4bAF)に2.47309009ETHを入金しました。
2. バックドア付きのRug Pullトークンを展開します。
DeployerがTOMMIトークンを作成し、100,000,000個のトークンを事前に掘り出して自分に配分します。
3. 初期流動性プールを作成する。
Deployerは1.5ETHと事前に採掘されたすべてのトークンを使用して流動性プールを作成し、約0.387のLPトークンを獲得しました。
4. すべてのプレマイニングトークン供給量を焼却します。
Token DeployerはすべてのLPトークンを0アドレスに送信して破棄します。TOMMIコントラクトにはMint機能がないため、この時点でToken Deployerは理論的にRug Pull能力を失っています。(これは新規参加するボットを惹きつけるための必要条件の一つです。一部の新規参加ボットは新しくプールに追加されたトークンにRug Pullリスクが存在するかどうかを評価します。Deployerは契約のオーナーを0アドレスに設定しており、これは新規参加ボットの詐欺防止プログラムを欺くためです)。
**5. 取引量を偽造した。 **
攻撃者は複数のアドレスを使用して流動性プールからTOMMIトークンを積極的に購入し、プールの取引量を上昇させ、さらに新規購入ボットを引き寄せる(これらのアドレスが攻撃者の偽装であると判断する根拠:関連アドレスの資金はRug Pullグループの歴史的資金の転送アドレスから来ている)。
攻撃者はRug Pullerアドレス(0x43A9)を通じてRug Pullを開始し、トークンのバックドアから流動性プールから38,739,354個のトークンを直接転送しました。そして、これらのトークンを使ってプールを叩き出し、約3.95エーテルを引き出しました。
攻撃者はRug Pullによって得た資金を中継アドレス0xD921に送信します。
中継アドレス0xD921は資金を資金留保アドレス0x2836に送信します。ここから、Rug Pullが完了した後、Rug Pullerは資金を特定の資金留保アドレスに送信することがわかります。資金留保アドレスは、監視された多数のRug Pullケースの資金の集約地点であり、資金留保アドレスは受け取ったほとんどの資金を分割して新たなRug Pullを開始し、残りの少量の資金は中央集権型取引所を通じて引き出されます。資金留保アドレスがいくつか発見され、0x2836はそのうちの1つです。
! ラグプル事件の詳細な調査、イーサリアムトークンエコシステムの混乱が明らかになりました
· ラグプルコードバックドア
攻撃者はLPトークンを破棄することで外部に対してRug Pullを行うことができないと証明しようとしましたが、実際には攻撃者はTOMMIトークン契約のopenTrading関数に悪意のあるapproveのバックドアを残しました。このバックドアは流動性プールを作成する際に流動性プールがRug Pullerアドレスにトークンの転送権限をapproveすることを可能にし、Rug Pullerアドレスが流動性プールから直接トークンを移動させることができるようにします。
openTrading関数の実装の主な機能は新しい流動性プールを作成することですが、攻撃者はこの関数内でバックドア関数onInitを呼び出し、uniswapV2Pairが_chefAddressアドレスに対してtype(uint256)の通貨転送権限を許可しました。ここで、uniswapV2Pairは流動性プールのアドレスで、_chefAddressはRug Pullerのアドレスであり、_chefAddressはコントラクトデプロイ時に指定されます。
! ラグプル事件の詳細な調査、イーサリアムトークンの生態学的混乱を明らかにする
· 事件のパターン化
TOMMIケースを分析することで、以下の4つの特徴をまとめることができます。
デプロイヤーは中央集権型取引所から資金を調達する:攻撃者はまず中央集権型取引所を通じてデプロイヤーアドレス(Deployer)に資金源を提供します。
デプロイヤーは流動性プールを作成し、LPトークンを破棄します:デプロイヤーはRug Pullトークンを作成した後、すぐにそのための流動性プールを作成し、LPトークンを破棄してプロジェクトの信頼性を高め、より多くの投資者を引き付けます。
Rug Pullerは大量のトークンを使用して流動性プール内のETHと交換します:Rug Pullアドレス(Rug Puller)は大量のトークン(通常、トークンの総供給量を大幅に超える数量)を使用して流動性プール内のETHと交換します。他のケースでは、Rug Pullerが流動性を取り除くことでプール内のETHを獲得することもあります。
Rug PullerはRug Pullで得たETHを資金留存アドレスに移動します:Rug Pullerは取得したETHを資金留存アドレスに移動し、時には中間アドレスを介して移行します。
上述これらの特徴は捕獲されたケースに普遍的に存在し、Rug Pull行為には明らかなパターン化された特徴があることを示しています。また、Rug Pullが完了した後、資金は通常、