Análise profunda do ecossistema de tokens Ethereum: A escala e o impacto dos esquemas de Rug Pull
Introdução
No mundo Web3, novos Tokens estão constantemente a surgir. Já pensou quantos novos Tokens são emitidos todos os dias? Estes novos Tokens são seguros?
Estas dúvidas não surgem do nada. Recentemente, inúmeros casos de transações de Rug Pull foram descobertos, e os tokens envolvidos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Uma investigação aprofundada revelou que por trás desses casos de Rug Pull existem grupos organizados de criminosos, apresentando características padronizadas. A análise indica que os grupos de Rug Pull podem atrair usuários a comprar tokens fraudulentos e, em última instância, realizar o Rug Pull através da funcionalidade "New Token Tracer" em grupos do Telegram.
Estatísticas mostram que, entre novembro de 2023 e agosto de 2024, os grupos relacionados ao Telegram enviaram um total de 93.930 novos Tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando 49,53%. Esses grupos por trás dos Tokens Rug Pull investiram um custo acumulado de 149.813,72 ETH, obtendo um retorno de 188,7%, lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
No mesmo período, a rede principal do Ethereum emitiu 100.260 novos Tokens, com 89,99% dos Tokens sendo promovidos através de grupos do Telegram. Em média, cerca de 370 novos Tokens são criados diariamente, muito acima das expectativas razoáveis. Uma investigação mais aprofundada revelou que pelo menos 48.265 Tokens estão envolvidos em fraudes do tipo Rug Pull, representando 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Foram encontrados mais casos de Rug Pull em outras redes de blockchain. Isso significa que a situação de segurança do novo ecossistema de tokens do Web3 é mais severa do que se esperava. Este relatório visa aumentar a conscientização dos membros do Web3, apelando para que se mantenham vigilantes e adotem as medidas preventivas necessárias.
ERC-20 Token ( Token )
Os tokens ERC-20 são um dos padrões de token mais comuns na blockchain, definindo um conjunto de normas que permitem a interoperabilidade dos tokens entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gestão, entre outros. Este protocolo padronizado simplifica a criação e o uso de tokens. Qualquer indivíduo ou organização pode emitir tokens com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através de pré-vendas.
USDT, PEPE, DOGE e outros pertencem a tokens ERC-20, os usuários podem comprá-los através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir tokens ERC-20 maliciosos com portas dos fundos, listando-os em exchanges descentralizadas para induzir os usuários a comprar.
Casos típicos de fraude com Tokens de Rug Pull
Rug Pull refere-se ao comportamento fraudulento em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em uma iniciativa de finanças descentralizadas, resultando em perdas significativas para os investidores. O Token Rug Pull é um token emitido especificamente para a implementação desse tipo de fraude.
caso
O atacante usou o endereço Deployer para implantar o token TOMMI, depois criou um pool de liquidez com 1,5 ETH e 100 milhões de TOMMI, e comprou ativamente o token TOMMI através de outros endereços para falsificar o volume de transações a fim de atrair usuários e robôs de lançamento. Quando um certo número de robôs de lançamento é enganado, o atacante executa o Rug Pull usando o endereço Rug Puller, despejando 38,73 milhões de tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vêm da autorização maliciosa de Aprovação do contrato do token TOMMI, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, realize o Rug Pull.
processo de Rug Pull
Preparar fundos para o ataque: o atacante recarrega 2.47ETH para o Token Deployer através de uma exchange centralizada como capital inicial.
Implantar um Token Rug Pull com backdoor: Deployer cria o token TOMMI, pré-minera 100 milhões de tokens e os distribui para si mesmo.
Criar o pool de liquidez inicial: O Deployer usa 1.5 ETH e todos os tokens pré-minerados para criar o pool de liquidez, obtendo cerca de 0.387 tokens LP.
Destruir toda a quantidade de Token pré-minerada: o Token Deployer enviará todos os tokens LP para o endereço 0 para serem destruídos.
Volume de transações falsificado: o atacante usa vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool.
O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando 38,73 milhões de tokens do fundo de liquidez, e depois usou esses tokens para desestabilizar o fundo, retirando cerca de 3,95 ETH.
O atacante envia os fundos obtidos com o Rug Pull para o endereço de transferência.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos.
código de backdoor de Rug Pull
Os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a pool de liquidez aprove a transferência de tokens para o endereço Rug Puller ao criar a pool de liquidez, permitindo que o endereço Rug Puller retire diretamente os tokens da pool de liquidez.
modo de operação
O Deployer obtém fundos através de uma exchange centralizada.
O Deployer cria um pool de liquidez e destrói os tokens LP.
Rug Puller usa uma grande quantidade de Token para trocar ETH no pool de liquidez.
Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos.
Essas características estão geralmente presentes nos casos capturados, indicando que o comportamento de Rug Pull possui características de padronização claras. Após a conclusão do Rug Pull, os fundos normalmente são reunidos em um endereço de retenção de fundos, sugerindo que esses casos aparentemente independentes podem envolver o mesmo grupo ou até mesmo a mesma quadrilha de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
7 endereços de retenção de fundos altamente ativos estão associados a 1.124 casos de Rug Pull. Esses endereços dividem os fundos retidos para criar novos Tokens em futuros esquemas de Rug Pull, manipular pools de liquidez e outras atividades. Uma pequena parte dos fundos retidos é convertida em dinheiro através de exchanges centralizadas ou plataformas de troca rápida.
Os três endereços com a maior porcentagem de lucro são 0x1607, 0xDF1a e 0x2836. O endereço 0x1607 obteve o maior lucro, cerca de 2.668,17 Éter, representando 27,7% do lucro total de todos os endereços.
associação entre endereços de retenção de fundos de mineração
De acordo com a relação de transferências diretas de Ethereum, esses endereços de retenção de fundos podem ser divididos em 3 conjuntos de endereços:
0xDF1a e 0xDEd0
0x1607 e 0x4856
0x2836, 0x0573, 0xF653 e 0x7dd9
Dentro do conjunto de endereços, existe uma relação direta de transferência, mas entre os conjuntos não há comportamento de transferência direta. No entanto, esses 3 conjuntos de endereços realizam operações de Rug Pull subsequentes ao dividir ETH através do mesmo contrato de infraestrutura, fazendo com que os 3 conjuntos de endereços, que inicialmente pareciam soltos, se conectem e formem um todo.
Mineração de infraestruturas compartilhadas
Dois endereços de infraestrutura principais: 0x1d3970677aa2324E4822b293e500220958d493d0 e 0x634847D6b650B9f442b3B582971f859E6e65eB53.
0x1d39 contém principalmente duas funções: "multiSendETH" e "0x7a860e7e". "multiSendETH" é usado para dividir transferências, o endereço de retenção de fundos usa esta função para dividir parte dos fundos para vários endereços, para falsificar o volume de transações de tokens Rug Pull. A função "0x7a860e7e" é usada para comprar tokens Rug Pull.
A principal função do 0x6348 é semelhante à do 0x1d39, apenas o nome da função para comprar Token Rug Pull foi alterado para "0x3f8a436c".
Os grupos de Rug Pull têm características óbvias no uso de endereços de infraestrutura: utilizam apenas uma pequena quantidade de fundos para manter endereços ou endereços de transição para dividir os fundos, mas falsificam o volume de transações de tokens Rug Pull através de um grande número de outros endereços.
origem dos fundos da mineração
Em 1.124 casos de Rug Pull, o número de casos em que os fundos vieram de carteiras quentes de exchanges centralizadas atingiu 1.069, representando 95,11%. Isso significa que, para a grande maioria dos casos de Rug Pull, é possível rastrear os detentores de contas específicas através das informações de KYC e do histórico de retiradas das contas das exchanges centralizadas.
Os grupos de Rug Pull costumam obter fundos para suas atividades a partir de várias carteiras quentes de diferentes bolsas ao mesmo tempo, e o grau de utilização de cada carteira é aproximadamente equivalente. Isso indica que os grupos de Rug Pull têm a intenção de aumentar a independência dos diferentes casos de Rug Pull em termos de fluxo de fundos, a fim de dificultar a rastreabilidade por parte de terceiros e aumentar a complexidade do rastreamento.
Canais de promoção de Token Rug Pull
Duas possíveis canais de publicidade para gangues de Rug Pull: Twitter e grupos no Telegram. Estes grupos no Twitter e Telegram não são criados especificamente pelas gangues de Rug Pull, mas existem como componentes básicos no ecossistema de novos lançamentos. Eles são mantidos por equipes de robôs de sniper on-chain ou equipes profissionais de novos lançamentos, e são direcionados a novos investidores para promover tokens recém-lançados.
anúncios no Twitter
O grupo Rug Pull utiliza o serviço de promoção de novas moedas de instituições de terceiros para expor seu Token Rug Pull ao público, a fim de atrair mais vítimas.
Anúncio de grupo Telegram
O grupo do Telegram, mantido pela equipe de robôs de sniping on-chain, é especializado em enviar informações sobre novos Tokens lançados e também fornece aos usuários uma entrada conveniente para compra.
Análise do ecossistema de Tokens Ethereum
Análise dos Tokens enviados no grupo do Telegram
Durante o período de outubro de 2023 a agosto de 2024, o grupo do Telegram enviou um total de 93.930 Tokens. Usando as regras de detecção de Rug Pull para escanear esses Tokens, foram detectados 46.526 Tokens de Rug Pull, representando 49,53%.
41.801 tokens de Rug Pull têm um tempo ativo inferior a 72 horas, representando 89,84%. O número de tokens com tempo ativo inferior a 3 horas é de 25.622, representando 55,07%.
O número de casos de Rug Pull em que o grupo retira liquidez para realizar o cashout é de 32.131, representando 69,06%. O número de casos de operações de Rug Pull executadas através do contrato Router da Uniswap é de 40.887, representando 76,35% do total de execuções.
O lucro total de 46.526 casos de Rug Pull é de 282.699,96 ETH, com uma margem de lucro de 188,70%, equivalente a cerca de 800 milhões de dólares.
Alerta do novo ecossistema de Token do Ethereum: quase metade envolve Rug Pull, perda anual de 800 milhões de dólares
Análise profunda do ecossistema de tokens Ethereum: A escala e o impacto dos esquemas de Rug Pull
Introdução
No mundo Web3, novos Tokens estão constantemente a surgir. Já pensou quantos novos Tokens são emitidos todos os dias? Estes novos Tokens são seguros?
Estas dúvidas não surgem do nada. Recentemente, inúmeros casos de transações de Rug Pull foram descobertos, e os tokens envolvidos são, sem exceção, novos tokens que acabaram de ser lançados na blockchain.
Uma investigação aprofundada revelou que por trás desses casos de Rug Pull existem grupos organizados de criminosos, apresentando características padronizadas. A análise indica que os grupos de Rug Pull podem atrair usuários a comprar tokens fraudulentos e, em última instância, realizar o Rug Pull através da funcionalidade "New Token Tracer" em grupos do Telegram.
Estatísticas mostram que, entre novembro de 2023 e agosto de 2024, os grupos relacionados ao Telegram enviaram um total de 93.930 novos Tokens, dos quais 46.526 estavam envolvidos em Rug Pull, representando 49,53%. Esses grupos por trás dos Tokens Rug Pull investiram um custo acumulado de 149.813,72 ETH, obtendo um retorno de 188,7%, lucrando 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
No mesmo período, a rede principal do Ethereum emitiu 100.260 novos Tokens, com 89,99% dos Tokens sendo promovidos através de grupos do Telegram. Em média, cerca de 370 novos Tokens são criados diariamente, muito acima das expectativas razoáveis. Uma investigação mais aprofundada revelou que pelo menos 48.265 Tokens estão envolvidos em fraudes do tipo Rug Pull, representando 48,14%. Em outras palavras, quase um em cada dois novos Tokens na rede principal do Ethereum está envolvido em fraudes.
Foram encontrados mais casos de Rug Pull em outras redes de blockchain. Isso significa que a situação de segurança do novo ecossistema de tokens do Web3 é mais severa do que se esperava. Este relatório visa aumentar a conscientização dos membros do Web3, apelando para que se mantenham vigilantes e adotem as medidas preventivas necessárias.
ERC-20 Token ( Token )
Os tokens ERC-20 são um dos padrões de token mais comuns na blockchain, definindo um conjunto de normas que permitem a interoperabilidade dos tokens entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, consulta de saldo, autorização de terceiros para gestão, entre outros. Este protocolo padronizado simplifica a criação e o uso de tokens. Qualquer indivíduo ou organização pode emitir tokens com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através de pré-vendas.
USDT, PEPE, DOGE e outros pertencem a tokens ERC-20, os usuários podem comprá-los através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir tokens ERC-20 maliciosos com portas dos fundos, listando-os em exchanges descentralizadas para induzir os usuários a comprar.
Casos típicos de fraude com Tokens de Rug Pull
Rug Pull refere-se ao comportamento fraudulento em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em uma iniciativa de finanças descentralizadas, resultando em perdas significativas para os investidores. O Token Rug Pull é um token emitido especificamente para a implementação desse tipo de fraude.
caso
O atacante usou o endereço Deployer para implantar o token TOMMI, depois criou um pool de liquidez com 1,5 ETH e 100 milhões de TOMMI, e comprou ativamente o token TOMMI através de outros endereços para falsificar o volume de transações a fim de atrair usuários e robôs de lançamento. Quando um certo número de robôs de lançamento é enganado, o atacante executa o Rug Pull usando o endereço Rug Puller, despejando 38,73 milhões de tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vêm da autorização maliciosa de Aprovação do contrato do token TOMMI, permitindo que o Rug Puller retire diretamente os tokens TOMMI do pool de liquidez e, em seguida, realize o Rug Pull.
processo de Rug Pull
Preparar fundos para o ataque: o atacante recarrega 2.47ETH para o Token Deployer através de uma exchange centralizada como capital inicial.
Implantar um Token Rug Pull com backdoor: Deployer cria o token TOMMI, pré-minera 100 milhões de tokens e os distribui para si mesmo.
Criar o pool de liquidez inicial: O Deployer usa 1.5 ETH e todos os tokens pré-minerados para criar o pool de liquidez, obtendo cerca de 0.387 tokens LP.
Destruir toda a quantidade de Token pré-minerada: o Token Deployer enviará todos os tokens LP para o endereço 0 para serem destruídos.
Volume de transações falsificado: o atacante usa vários endereços para comprar ativamente tokens TOMMI do pool de liquidez, aumentando o volume de transações do pool.
O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando 38,73 milhões de tokens do fundo de liquidez, e depois usou esses tokens para desestabilizar o fundo, retirando cerca de 3,95 ETH.
O atacante envia os fundos obtidos com o Rug Pull para o endereço de transferência.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos.
código de backdoor de Rug Pull
Os atacantes deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que a pool de liquidez aprove a transferência de tokens para o endereço Rug Puller ao criar a pool de liquidez, permitindo que o endereço Rug Puller retire diretamente os tokens da pool de liquidez.
modo de operação
O Deployer obtém fundos através de uma exchange centralizada.
O Deployer cria um pool de liquidez e destrói os tokens LP.
Rug Puller usa uma grande quantidade de Token para trocar ETH no pool de liquidez.
Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos.
Essas características estão geralmente presentes nos casos capturados, indicando que o comportamento de Rug Pull possui características de padronização claras. Após a conclusão do Rug Pull, os fundos normalmente são reunidos em um endereço de retenção de fundos, sugerindo que esses casos aparentemente independentes podem envolver o mesmo grupo ou até mesmo a mesma quadrilha de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
7 endereços de retenção de fundos altamente ativos estão associados a 1.124 casos de Rug Pull. Esses endereços dividem os fundos retidos para criar novos Tokens em futuros esquemas de Rug Pull, manipular pools de liquidez e outras atividades. Uma pequena parte dos fundos retidos é convertida em dinheiro através de exchanges centralizadas ou plataformas de troca rápida.
Os três endereços com a maior porcentagem de lucro são 0x1607, 0xDF1a e 0x2836. O endereço 0x1607 obteve o maior lucro, cerca de 2.668,17 Éter, representando 27,7% do lucro total de todos os endereços.
associação entre endereços de retenção de fundos de mineração
De acordo com a relação de transferências diretas de Ethereum, esses endereços de retenção de fundos podem ser divididos em 3 conjuntos de endereços:
Dentro do conjunto de endereços, existe uma relação direta de transferência, mas entre os conjuntos não há comportamento de transferência direta. No entanto, esses 3 conjuntos de endereços realizam operações de Rug Pull subsequentes ao dividir ETH através do mesmo contrato de infraestrutura, fazendo com que os 3 conjuntos de endereços, que inicialmente pareciam soltos, se conectem e formem um todo.
Mineração de infraestruturas compartilhadas
Dois endereços de infraestrutura principais: 0x1d3970677aa2324E4822b293e500220958d493d0 e 0x634847D6b650B9f442b3B582971f859E6e65eB53.
0x1d39 contém principalmente duas funções: "multiSendETH" e "0x7a860e7e". "multiSendETH" é usado para dividir transferências, o endereço de retenção de fundos usa esta função para dividir parte dos fundos para vários endereços, para falsificar o volume de transações de tokens Rug Pull. A função "0x7a860e7e" é usada para comprar tokens Rug Pull.
A principal função do 0x6348 é semelhante à do 0x1d39, apenas o nome da função para comprar Token Rug Pull foi alterado para "0x3f8a436c".
Os grupos de Rug Pull têm características óbvias no uso de endereços de infraestrutura: utilizam apenas uma pequena quantidade de fundos para manter endereços ou endereços de transição para dividir os fundos, mas falsificam o volume de transações de tokens Rug Pull através de um grande número de outros endereços.
origem dos fundos da mineração
Em 1.124 casos de Rug Pull, o número de casos em que os fundos vieram de carteiras quentes de exchanges centralizadas atingiu 1.069, representando 95,11%. Isso significa que, para a grande maioria dos casos de Rug Pull, é possível rastrear os detentores de contas específicas através das informações de KYC e do histórico de retiradas das contas das exchanges centralizadas.
Os grupos de Rug Pull costumam obter fundos para suas atividades a partir de várias carteiras quentes de diferentes bolsas ao mesmo tempo, e o grau de utilização de cada carteira é aproximadamente equivalente. Isso indica que os grupos de Rug Pull têm a intenção de aumentar a independência dos diferentes casos de Rug Pull em termos de fluxo de fundos, a fim de dificultar a rastreabilidade por parte de terceiros e aumentar a complexidade do rastreamento.
Canais de promoção de Token Rug Pull
Duas possíveis canais de publicidade para gangues de Rug Pull: Twitter e grupos no Telegram. Estes grupos no Twitter e Telegram não são criados especificamente pelas gangues de Rug Pull, mas existem como componentes básicos no ecossistema de novos lançamentos. Eles são mantidos por equipes de robôs de sniper on-chain ou equipes profissionais de novos lançamentos, e são direcionados a novos investidores para promover tokens recém-lançados.
anúncios no Twitter
O grupo Rug Pull utiliza o serviço de promoção de novas moedas de instituições de terceiros para expor seu Token Rug Pull ao público, a fim de atrair mais vítimas.
Anúncio de grupo Telegram
O grupo do Telegram, mantido pela equipe de robôs de sniping on-chain, é especializado em enviar informações sobre novos Tokens lançados e também fornece aos usuários uma entrada conveniente para compra.
Análise do ecossistema de Tokens Ethereum
Análise dos Tokens enviados no grupo do Telegram
Durante o período de outubro de 2023 a agosto de 2024, o grupo do Telegram enviou um total de 93.930 Tokens. Usando as regras de detecção de Rug Pull para escanear esses Tokens, foram detectados 46.526 Tokens de Rug Pull, representando 49,53%.
41.801 tokens de Rug Pull têm um tempo ativo inferior a 72 horas, representando 89,84%. O número de tokens com tempo ativo inferior a 3 horas é de 25.622, representando 55,07%.
O número de casos de Rug Pull em que o grupo retira liquidez para realizar o cashout é de 32.131, representando 69,06%. O número de casos de operações de Rug Pull executadas através do contrato Router da Uniswap é de 40.887, representando 76,35% do total de execuções.
O lucro total de 46.526 casos de Rug Pull é de 282.699,96 ETH, com uma margem de lucro de 188,70%, equivalente a cerca de 800 milhões de dólares.
![Investigação aprofundada sobre casos de Rug Pull, revelando Ethereum