Глубокий анализ экосистемы токенов Ethereum: Масштаб и влияние схемы промывания глаз Rug Pull
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?
Эти вопросы не возникли на пустом месте. В последнее время было обнаружено множество случаев Rug Pull, и все токены, за которыми они стоят, являются новыми токенами, только что вышедшими на рынок.
Глубокое расследование показало, что за этими случаями Rug Pull стоят организованные преступные группировки, и они имеют характерные черты. Анализ показывает, что группировки Rug Pull могут привлекать пользователей к покупке мошеннических токенов и в конечном итоге осуществлять Rug Pull через функцию "New Token Tracer" в группах Telegram.
Статистика показывает, что в период с ноября 2023 года по август 2024 года в соответствующих группах Telegram было предложено 93,930 новых токенов, из которых 46,526 были связаны с промыванием глаз, что составляет 49.53%. За этими токенами с промыванием глаз стоит группа, которая вложила 149,813.72 Эфир, получив 282,699.96 Эфир с доходностью 188.7%, что составляет около 800 миллионов долларов.
В тот же период на основной сети Ethereum было выпущено 100 260 новых токенов, из которых 89,99% были продвигаемы через группы в Telegram. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. Глубокое исследование показало, что как минимум 48 265 токенов связаны с мошенничеством Rug Pull, что составляет 48,14%. Иными словами, почти каждый второй новый токен на основной сети Ethereum связан с мошенничеством.
В других блокчейн-сетях также было обнаружено больше случаев Rug Pull. Это означает, что безопасность нового экосистемы токенов Web3 хуже, чем ожидалось. Данный отчет направлен на повышение осведомленности членов Web3 о мерах предосторожности, призывает сохранять бдительность и принимать необходимые профилактические меры.
ERC-20 Токен(Token)
ERC-20 Токен является одним из самых распространенных стандартов токенов в блокчейне, определяющим набор норм, позволяющих токенам взаимодейстовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токена, такие как перевод, проверка баланса, разрешение третьим лицам управлять и т.д. Этот стандартизированный протокол упрощает создание и использование токенов. Любое физическое или юридическое лицо может выпускать токены на основе стандарта ERC-20 и собирать стартовый капитал для различных финансовых проектов через предпродажу.
USDT, PEPE, DOGE и другие относятся к токенам ERC-20, пользователи могут покупать их через децентрализованные биржи. Однако некоторые мошеннические группировки также могут самостоятельно выпускать вредоносные токены ERC-20 с кодовыми уязвимостями и размещать их на децентрализованных биржах, чтобы заманить пользователей в покупку.
Типичный случай мошенничества с токенами Rug Pull
Rug Pull — это мошенническое действие, при котором инициаторы децентрализованного финансового проекта внезапно изымают средства или прекращают проект, что приводит к огромным убыткам для инвесторов. Rug Pull токен — это токены, выпущенные специально для реализации такого рода мошенничества.
случай
Атакующий использует адрес Deployer для развертывания токена TOMMI, затем создает пул ликвидности с 1,5 ETH и 100 миллионами токенов TOMMI и активно покупает токены TOMMI через другие адреса, чтобы искусственно создать объем торгов и привлечь пользователей и ботов для первичного размещения токенов. Когда определенное количество ботов для первичного размещения токенов попадается в ловушку, атакующий выполняет Rug Pull с адреса Rug Puller, сбрасывая 38,73 миллиона токенов TOMMI из пула ликвидности и обменивая их на примерно 3,95 ETH. Токены Rug Puller поступают от злонамеренного разрешения Approve контракта токена TOMMI, позволяя Rug Puller напрямую выводить токены TOMMI из пула ликвидности и затем проводить Rug Pull.
Процесс Раг Пулла
Подготовка средств для атаки: злоумышленник пополняет счет Token Deployer на централизованной бирже на 2.47ETH в качестве стартового капитала.
Разработка токена Rug Pull с задней дверью: Деплойер создает токен TOMMI, предварительно майнит 100 миллионов токенов и распределяет их себе.
Создание начального пула ликвидности: Deployer использует 1.5 Эфира и все предварительно добытые токены для создания пула ликвидности, получая около 0.387 LP токенов.
Уничтожение всего объема предмайнинговых токенов: Token Deployer отправляет все LP токены на адрес 0 для уничтожения.
Поддельный объем торгов: злоумышленник активно покупает токены TOMMI из ликвидного пула с помощью нескольких адресов, чтобы завысить объем торгов в пуле.
Атакующий инициирует Rug Pull через адрес Rug Puller, выводя 38,730,000 токенов из ликвидного пула, а затем использует эти токены для разрушения пула, извлекая около 3,95 Эфира.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.
Промежуточный адрес отправит средства на адрес хранения средств.
Код задней двери Rug Pull
Атакующий оставил вредоносную бэкдор в функции openTrading контракта токена TOMMI, который позволяет при создании ликвидного пула одобрить перевод токенов на адрес Rug Puller, что позволяет адресу Rug Puller напрямую вывозить токены из ликвидного пула.
Моделирование преступления
Deployer получает средства через централизованную биржу.
Deployer создает пул ликвидности и уничтожает LP токены.
Rug Puller использует большое количество Токенов для обмена на ETH в ликвидном пуле.
Rug Puller переведет полученный Эфир на адрес для хранения средств.
Эти характеристики широко распространены в зафиксированных случаях, что указывает на явные паттерны поведения Rug Pull. После завершения Rug Pull средства обычно собираются на одном адресе хранения средств, что подразумевает, что за этими, казалось бы, независимыми случаями может стоять одна и та же группа мошенников или даже одна и та же схема.
Группа мошенников Rug Pull
адрес для хранения средств от майнинга
7 активно работающих адресов с оставшимися средствами связаны с 1,124 случаями промывания глаз. Эти адреса будут разделять замороженные средства для создания новых токенов в будущих мошеннических схемах, манипуляций с ликвидностью и других действий. Небольшая часть замороженных средств будет обналичена через централизованные биржи или платформы мгновенного обмена.
Три адреса с наибольшей долей прибыли: 0x1607, 0xDF1a и 0x2836. Адрес 0x1607 получил наибольшую прибыль, около 2,668.17 Эфир, что составляет 27.7% от прибыли всех адресов.
Связь между адресами хранения средств для майнинга
В соответствии с прямыми переводами ETH, эти адреса хранения средств могут быть разделены на 3 группы адресов:
0xDF1a и 0xDEd0
0x1607 и 0x4856
0x2836, 0x0573, 0xF653 и 0x7dd9
Внутри набора адресов существует прямая связь по переводу средств, однако между наборами нет прямых переводов. Тем не менее, эти 3 набора адресов связаны между собой через одну и ту же базовую инфраструктурную контракту для разделения Эфира для последующих операций Rug Pull, что делает изначально разрозненные 3 набора адресов связанными и образующими единое целое.
Добыча совместной инфраструктуры
Два основных адреса инфраструктуры: 0x1d3970677aa2324E4822b293e500220958d493d0 и 0x634847D6b650B9f442b3B582971f859E6e65eB53.
0x1d39 в основном включает две функциональные функции: "multiSendETH" и "0x7a860e7e". "multiSendETH" используется для разбивки перевода, адрес удержания средств через эту функцию разбивает часть средств на несколько адресов, используемых для подделки объема торговли токенами промывания глаз. Функция "0x7a860e7e" используется для покупки токенов промывания глаз.
Основные функциональные функции 0x6348 аналогичны 0x1d39, только название функции для покупки токена Rug Pull заменено на "0x3f8a436c".
Группа Rug Pull имеет характерные особенности использования адресов инфраструктуры: они оставляют адрес или промежуточный адрес с небольшим количеством средств для разделения средств, но подделывают объемы торгов токенов Rug Pull с помощью множества других адресов.
Источник финансирования преступной деятельности
В 1,124 случаях Rug Pull количество случаев, когда средства поступали из горячих кошельков централизованных бирж, достигло 1,069, что составляет 95.11%. Это означает, что для подавляющего большинства случаев Rug Pull можно отследить конкретных владельцев счетов через информацию KYC и историю снятия средств из аккаунтов централизованных бирж.
Группа Rug Pull часто одновременно получает средства для преступной деятельности из горячих кошельков нескольких бирж, и степень использования каждого кошелька примерно одинакова. Это указывает на то, что группа Rug Pull намеренно увеличивает независимость каждого случая Rug Pull в финансовых потоках, чтобы повысить сложность отслеживания и затруднить определение источников.
Продвижение токенов Rug Pull
Два возможных рекламных канала для банд Rug Pull: Twitter и группы Telegram. Эти группы в Twitter и Telegram не были специально созданы бандами Rug Pull, а существуют как базовые компоненты в экосистеме новых токенов. Они обслуживаются третьими сторонами, такими как команды по охоте за токенами на блокчейне или профессиональные команды по охоте за новыми токенами, и специально направлены на продвижение новых токенов, которые только что были запущены.
Twitter реклама
Группы Rug Pull используют услуги третьих сторон по продвижению новых токенов, чтобы привлечь внимание к своим токенам Rug Pull и привлечь больше жертв.
Реклама в группе Telegram
Команда по обслуживанию бот-охотников на блокчейне поддерживает специальную группу в Telegram, предназначенную для оповещения о новых токенах, которая не только предоставляет основную информацию о новых токенах, но и предлагает пользователям удобный вход для покупки.
Анализ экосистемы токенов Ethereum
Анализ токена, отправленного в группе Telegram
С октября 2023 года по август 2024 года в группах Telegram было отправлено 93 930 токенов. При сканировании этих токенов с использованием правил обнаружения Rug Pull было обнаружено 46 526 токенов Rug Pull, что составляет 49,53%.
41,801 активных токенов Rug Pull имеют время активности менее 72 часов, что составляет 89,84%. Количество токенов с временем активности менее 3 часов составляет 25,622, что составляет 55,07%.
Количество случаев, когда группа Rug Pull извлекает наличные за счет удаления ликвидности, составляет 32,131, что составляет 69.06%. Количество случаев выполнения операций Rug Pull через контракт Router Uniswap составляет 40,887, что составляет 76.35% от общего количества выполнений.
Общая прибыль от 46,526 случаев промывания глаз составила 282,699.96 Эфир, а рентабельность достигла 188.70%, что составляет около 800 миллионов долларов.
Экосистема новых токенов Ethereum: почти половина связана с Rug Pull, годовые потери составляют 800 миллионов долларов
Глубокий анализ экосистемы токенов Ethereum: Масштаб и влияние схемы промывания глаз Rug Pull
Введение
В мире Web3 постоянно появляются новые токены. Вы когда-нибудь задумывались, сколько новых токенов выпускается каждый день? Безопасны ли эти новые токены?
Эти вопросы не возникли на пустом месте. В последнее время было обнаружено множество случаев Rug Pull, и все токены, за которыми они стоят, являются новыми токенами, только что вышедшими на рынок.
Глубокое расследование показало, что за этими случаями Rug Pull стоят организованные преступные группировки, и они имеют характерные черты. Анализ показывает, что группировки Rug Pull могут привлекать пользователей к покупке мошеннических токенов и в конечном итоге осуществлять Rug Pull через функцию "New Token Tracer" в группах Telegram.
Статистика показывает, что в период с ноября 2023 года по август 2024 года в соответствующих группах Telegram было предложено 93,930 новых токенов, из которых 46,526 были связаны с промыванием глаз, что составляет 49.53%. За этими токенами с промыванием глаз стоит группа, которая вложила 149,813.72 Эфир, получив 282,699.96 Эфир с доходностью 188.7%, что составляет около 800 миллионов долларов.
В тот же период на основной сети Ethereum было выпущено 100 260 новых токенов, из которых 89,99% были продвигаемы через группы в Telegram. В среднем ежедневно появляется около 370 новых токенов, что значительно превышает разумные ожидания. Глубокое исследование показало, что как минимум 48 265 токенов связаны с мошенничеством Rug Pull, что составляет 48,14%. Иными словами, почти каждый второй новый токен на основной сети Ethereum связан с мошенничеством.
В других блокчейн-сетях также было обнаружено больше случаев Rug Pull. Это означает, что безопасность нового экосистемы токенов Web3 хуже, чем ожидалось. Данный отчет направлен на повышение осведомленности членов Web3 о мерах предосторожности, призывает сохранять бдительность и принимать необходимые профилактические меры.
ERC-20 Токен(Token)
ERC-20 Токен является одним из самых распространенных стандартов токенов в блокчейне, определяющим набор норм, позволяющих токенам взаимодейстовать между различными смарт-контрактами и децентрализованными приложениями (dApp). Стандарт ERC-20 определяет основные функции токена, такие как перевод, проверка баланса, разрешение третьим лицам управлять и т.д. Этот стандартизированный протокол упрощает создание и использование токенов. Любое физическое или юридическое лицо может выпускать токены на основе стандарта ERC-20 и собирать стартовый капитал для различных финансовых проектов через предпродажу.
USDT, PEPE, DOGE и другие относятся к токенам ERC-20, пользователи могут покупать их через децентрализованные биржи. Однако некоторые мошеннические группировки также могут самостоятельно выпускать вредоносные токены ERC-20 с кодовыми уязвимостями и размещать их на децентрализованных биржах, чтобы заманить пользователей в покупку.
Типичный случай мошенничества с токенами Rug Pull
Rug Pull — это мошенническое действие, при котором инициаторы децентрализованного финансового проекта внезапно изымают средства или прекращают проект, что приводит к огромным убыткам для инвесторов. Rug Pull токен — это токены, выпущенные специально для реализации такого рода мошенничества.
случай
Атакующий использует адрес Deployer для развертывания токена TOMMI, затем создает пул ликвидности с 1,5 ETH и 100 миллионами токенов TOMMI и активно покупает токены TOMMI через другие адреса, чтобы искусственно создать объем торгов и привлечь пользователей и ботов для первичного размещения токенов. Когда определенное количество ботов для первичного размещения токенов попадается в ловушку, атакующий выполняет Rug Pull с адреса Rug Puller, сбрасывая 38,73 миллиона токенов TOMMI из пула ликвидности и обменивая их на примерно 3,95 ETH. Токены Rug Puller поступают от злонамеренного разрешения Approve контракта токена TOMMI, позволяя Rug Puller напрямую выводить токены TOMMI из пула ликвидности и затем проводить Rug Pull.
Процесс Раг Пулла
Подготовка средств для атаки: злоумышленник пополняет счет Token Deployer на централизованной бирже на 2.47ETH в качестве стартового капитала.
Разработка токена Rug Pull с задней дверью: Деплойер создает токен TOMMI, предварительно майнит 100 миллионов токенов и распределяет их себе.
Создание начального пула ликвидности: Deployer использует 1.5 Эфира и все предварительно добытые токены для создания пула ликвидности, получая около 0.387 LP токенов.
Уничтожение всего объема предмайнинговых токенов: Token Deployer отправляет все LP токены на адрес 0 для уничтожения.
Поддельный объем торгов: злоумышленник активно покупает токены TOMMI из ликвидного пула с помощью нескольких адресов, чтобы завысить объем торгов в пуле.
Атакующий инициирует Rug Pull через адрес Rug Puller, выводя 38,730,000 токенов из ликвидного пула, а затем использует эти токены для разрушения пула, извлекая около 3,95 Эфира.
Атакующий отправляет средства, полученные от Rug Pull, на промежуточный адрес.
Промежуточный адрес отправит средства на адрес хранения средств.
Код задней двери Rug Pull
Атакующий оставил вредоносную бэкдор в функции openTrading контракта токена TOMMI, который позволяет при создании ликвидного пула одобрить перевод токенов на адрес Rug Puller, что позволяет адресу Rug Puller напрямую вывозить токены из ликвидного пула.
Моделирование преступления
Deployer получает средства через централизованную биржу.
Deployer создает пул ликвидности и уничтожает LP токены.
Rug Puller использует большое количество Токенов для обмена на ETH в ликвидном пуле.
Rug Puller переведет полученный Эфир на адрес для хранения средств.
Эти характеристики широко распространены в зафиксированных случаях, что указывает на явные паттерны поведения Rug Pull. После завершения Rug Pull средства обычно собираются на одном адресе хранения средств, что подразумевает, что за этими, казалось бы, независимыми случаями может стоять одна и та же группа мошенников или даже одна и та же схема.
Группа мошенников Rug Pull
адрес для хранения средств от майнинга
7 активно работающих адресов с оставшимися средствами связаны с 1,124 случаями промывания глаз. Эти адреса будут разделять замороженные средства для создания новых токенов в будущих мошеннических схемах, манипуляций с ликвидностью и других действий. Небольшая часть замороженных средств будет обналичена через централизованные биржи или платформы мгновенного обмена.
Три адреса с наибольшей долей прибыли: 0x1607, 0xDF1a и 0x2836. Адрес 0x1607 получил наибольшую прибыль, около 2,668.17 Эфир, что составляет 27.7% от прибыли всех адресов.
Связь между адресами хранения средств для майнинга
В соответствии с прямыми переводами ETH, эти адреса хранения средств могут быть разделены на 3 группы адресов:
Внутри набора адресов существует прямая связь по переводу средств, однако между наборами нет прямых переводов. Тем не менее, эти 3 набора адресов связаны между собой через одну и ту же базовую инфраструктурную контракту для разделения Эфира для последующих операций Rug Pull, что делает изначально разрозненные 3 набора адресов связанными и образующими единое целое.
Добыча совместной инфраструктуры
Два основных адреса инфраструктуры: 0x1d3970677aa2324E4822b293e500220958d493d0 и 0x634847D6b650B9f442b3B582971f859E6e65eB53.
0x1d39 в основном включает две функциональные функции: "multiSendETH" и "0x7a860e7e". "multiSendETH" используется для разбивки перевода, адрес удержания средств через эту функцию разбивает часть средств на несколько адресов, используемых для подделки объема торговли токенами промывания глаз. Функция "0x7a860e7e" используется для покупки токенов промывания глаз.
Основные функциональные функции 0x6348 аналогичны 0x1d39, только название функции для покупки токена Rug Pull заменено на "0x3f8a436c".
Группа Rug Pull имеет характерные особенности использования адресов инфраструктуры: они оставляют адрес или промежуточный адрес с небольшим количеством средств для разделения средств, но подделывают объемы торгов токенов Rug Pull с помощью множества других адресов.
Источник финансирования преступной деятельности
В 1,124 случаях Rug Pull количество случаев, когда средства поступали из горячих кошельков централизованных бирж, достигло 1,069, что составляет 95.11%. Это означает, что для подавляющего большинства случаев Rug Pull можно отследить конкретных владельцев счетов через информацию KYC и историю снятия средств из аккаунтов централизованных бирж.
Группа Rug Pull часто одновременно получает средства для преступной деятельности из горячих кошельков нескольких бирж, и степень использования каждого кошелька примерно одинакова. Это указывает на то, что группа Rug Pull намеренно увеличивает независимость каждого случая Rug Pull в финансовых потоках, чтобы повысить сложность отслеживания и затруднить определение источников.
Продвижение токенов Rug Pull
Два возможных рекламных канала для банд Rug Pull: Twitter и группы Telegram. Эти группы в Twitter и Telegram не были специально созданы бандами Rug Pull, а существуют как базовые компоненты в экосистеме новых токенов. Они обслуживаются третьими сторонами, такими как команды по охоте за токенами на блокчейне или профессиональные команды по охоте за новыми токенами, и специально направлены на продвижение новых токенов, которые только что были запущены.
Twitter реклама
Группы Rug Pull используют услуги третьих сторон по продвижению новых токенов, чтобы привлечь внимание к своим токенам Rug Pull и привлечь больше жертв.
Реклама в группе Telegram
Команда по обслуживанию бот-охотников на блокчейне поддерживает специальную группу в Telegram, предназначенную для оповещения о новых токенах, которая не только предоставляет основную информацию о новых токенах, но и предлагает пользователям удобный вход для покупки.
Анализ экосистемы токенов Ethereum
Анализ токена, отправленного в группе Telegram
С октября 2023 года по август 2024 года в группах Telegram было отправлено 93 930 токенов. При сканировании этих токенов с использованием правил обнаружения Rug Pull было обнаружено 46 526 токенов Rug Pull, что составляет 49,53%.
41,801 активных токенов Rug Pull имеют время активности менее 72 часов, что составляет 89,84%. Количество токенов с временем активности менее 3 часов составляет 25,622, что составляет 55,07%.
Количество случаев, когда группа Rug Pull извлекает наличные за счет удаления ликвидности, составляет 32,131, что составляет 69.06%. Количество случаев выполнения операций Rug Pull через контракт Router Uniswap составляет 40,887, что составляет 76.35% от общего количества выполнений.
Общая прибыль от 46,526 случаев промывания глаз составила 282,699.96 Эфир, а рентабельность достигла 188.70%, что составляет около 800 миллионов долларов.
![Глубокое расследование случаев промывания глаз, раскрытие Эфир