Глибокий аналіз екосистеми токенів Ethereum: масштаб та вплив замилювання очей Rug Pull

Вступ

У світі Web3 нові токени постійно з'являються. Чи замислювалися ви, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?

Ці питання не виникають на порожньому місці. Нещодавно було виявлено безліч випадків замилювання очей, і всі токени, що беруть участь, є новими токенами, які щойно з'явилися в ланцюгу.

Глибоке розслідування виявило, що за цими випадками замилювання очей стоять організовані злочинні угруповання, які мають модельні характеристики. Аналіз показує, що угруповання замилювання очей можуть залучати користувачів до покупки шахрайських токенів через функцію "New Token Tracer" у групах Telegram і в підсумку реалізовувати замилювання очей.

Статистика показує, що з листопада 2023 року по серпень 2024 року відповідні групи в Telegram надіслали 93 930 нових токенів, з яких 46 526 були пов'язані з замилюванням очей, що становить 49,53%. За цими токенами Rug Pull групи вклали загалом 149 813,72 ETH, отримавши прибуток у 282 699,96 ETH з прибутковістю 188,7%, що еквівалентно приблизно 800 мільйонам доларів.

Протягом того ж періоду в мережі Ethereum було випущено 100,260 нових токенів, з яких 89,99% надсилалися через групи Telegram. В середньому щодня з'являється близько 370 нових токенів, що значно перевищує розумні очікування. Глибше дослідження показало, що принаймні 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48,14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.

У інших блокчейн-мережах також виявлено більше випадків замилювання очей. Це означає, що безпекова ситуація в новій екосистемі токенів Web3 є більш серйозною, ніж очікувалося. Цей звіт має на меті підвищити обізнаність членів Web3 про запобігання, закликаючи до пильності та вжиття необхідних запобіжних заходів.

ERC-20 Токен(Token)

ERC-20 Токени є одним з найпоширеніших стандартів токенів у блокчейні, що визначає набір специфікацій, які дозволяють токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токена, такі як переказ, перевірка балансу, авторизація управління третім сторонам тощо. Цей стандартизований протокол спрощує створення та використання токенів. Будь-яка особа або організація може випустити токени на основі стандарту ERC-20 і залучити стартовий капітал для різних фінансових проектів через попередній продаж.

USDT, PEPE, DOGE та інші належать до токенів ERC-20, користувачі можуть придбати їх через децентралізовані біржі. Проте, деякі шахрайські групи також можуть випускати зловмисні токени ERC-20 з кодом для отримання доступу, розміщувати їх на децентралізованих біржах і спонукати користувачів до покупки.

Типові випадки шахрайства з Токенами Rug Pull

Rug Pull - це шахрайська діяльність, коли команда проекту в децентралізованих фінансових проектах раптово забирає кошти або залишає проект, що призводить до великих збитків для інвесторів. Rug Pull токени - це токени, випущені спеціально для реалізації цієї шахрайської діяльності.

випадок

Зловмисник використав адресу Deployer для розгортання токена TOMMI, а потім створив ліквідність пулу з 1,5 ETH та 100 мільйонами TOMMI, активно купуючи токени TOMMI з інших адрес для фальсифікації обсягу торгівлі, щоб залучити користувачів та боти для первинного розміщення. Коли певна кількість ботів для первинного розміщення піддалася на обман, зловмисник використав адресу Rug Puller для виконання Rug Pull, скинувши 38,73 мільйона токенів TOMMI в ліквідність пулу, обмінявши приблизно на 3,95 ETH. Токени Rug Puller походять з злочинного дозволу на Approve токена TOMMI, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідність пулу, а потім здійснювати Rug Pull.

Процес Раг Пул

1. Підготовка фінансування для атаки: атакуючий через централізовану біржу поповнює Token Deployer на 2.47ETH як стартовий капітал.

2. Розгортання токена Rug Pull з бекдором: Deployer створює токен TOMMI, попередньо видобуває 100 мільйонів токенів і розподіляє їх собі.

3. Створення початкового ліквідного пулу: Deployer використовує 1.5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримуючи приблизно 0.387 LP токенів.

4. Знищення всього обсягу попередньо видобутих Токенів: Token Deployer надішле всі LP токени на адресу 0 для знищення.

5. Підробка обсягу交易: зловмисник активнo купує токени TOMMI з ліквідного пулу з кількох адрес, штучно завищуючи обсяг交易 пулу.

6. Зловмисник ініціює Rug Pull через адресу Rug Puller, виводячи 38,730,000 токенів з ліквідності, а потім використовує ці токени для знищення пулу, отримуючи близько 3.95 Етер.

7. Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.

8. Адреса пересилання відправляє кошти на адресу зберігання коштів.

Код для Раг Пул з бекдором

Зловмисник залишив шкідливу задню дверцята в функції openTrading контракту TOMMI Токен, яка дозволяє під час створення ліквідності пулу схвалити передачу токенів на адресу Rug Puller, що дозволяє адресі Rug Puller безпосередньо забирати токени з ліквідності пулу.

спосіб вчинення злочину

1. Deployer отримує фінансування через централізовану біржу.

2. Deployer створює ліквідності пул і знищує LP токени.

3. Rug Puller використовує велику кількість Токенів для обміну на ETH в ліквіднісному пулі.

4. Rug Puller перенесе отриманий ETH на адресу зберігання коштів.

Ці характеристики загалом присутні в захоплених випадках, що вказує на те, що поведінка Rug Pull має очевидні модульні характеристики. Після завершення Rug Pull кошти зазвичай збираються на адресі утримання коштів, що натякає на те, що за цими на перший погляд незалежними випадками може стояти одна й та ж група шахраїв або навіть одна й та ж група.

Злочинна група Rug Pull

Адреса зберігання коштів для видобутку

7 високоактивних адрес зберігання коштів пов'язані з 1,124 випадками замилювання очей. Ці адреси розподілять затримані кошти для створення нових токенів у майбутніх схемах замилювання очей, маніпуляції ліквідністю та інших активностях. Невелика частина затриманих коштів буде конвертована через централізовані біржі або платформи миттєвого обміну.

Прибуток за часткою займає три адреси: 0x1607, 0xDF1a та 0x2836. Адреса 0x1607 отримала найбільший прибуток - близько 2,668.17 ETH, що складає 27.7% від прибутку всіх адрес.

зв'язок між адресами зберігання видобуткових коштів

Згідно з прямими переказами ETH, ці адреси зберігання коштів можна поділити на 3 набори адрес:

1. 0xDF1a і 0xDEd0
2. 0x1607 та 0x4856
3. 0x2836, 0x0573, 0xF653 та 0x7dd9

Усередині наборів адрес існують прямі відносини переказу, але між наборами немає прямих операцій переказу. Однак ці 3 набори адрес все ж пов'язані через одну й ту ж інфраструктурну угоду для розподілу ETH для подальших операцій Rug Pull, що робить три набори адрес, які спочатку виглядали як розрізнені, зв'язаними разом, утворюючи єдине ціле.

Видобуток спільної інфраструктури

Два основних адреси інфраструктури: 0x1d3970677aa2324E4822b293e500220958d493d0 та 0x634847D6b650B9f442b3B582971f859E6e65eB53.

0x1d39 головним чином містить дві функції: "multiSendETH" та "0x7a860e7e". "multiSendETH" використовується для розподілу переказів, адреса зберігання коштів через цю функцію розподіляє частину коштів на кілька адрес, щоб створити ілюзію обсягу торгівлі фальшивими токенами Rug Pull. Функція "0x7a860e7e" використовується для покупки токенів Rug Pull.

Основні функції 0x6348 схожі на 0x1d39, тільки назва функції для покупки токенів Rug Pull змінена на "0x3f8a436c".

Групи Rug Pull мають очевидні особливості в використанні адрес інфраструктури: вони залишають лише невелику кількість коштів на адресі або проміжній адресі для розподілу коштів, але через велику кількість інших адрес підробляють обсяги торгівлі токенами Rug Pull.

Викопування джерела фінансування злочинної діяльності

У 1 124 випадках Rug Pull, кількість випадків, коли кошти походять з гарячих гаманців централізованих бірж, становить 1 069, що становить 95,11%. Це означає, що для більшості випадків Rug Pull можна відстежити конкретних власників рахунків через інформацію KYC та історію виведення коштів з рахунків централізованих бірж.

Групи Rug Pull зазвичай одночасно отримують кошти для злочинної діяльності з кількох гарячих гаманців бірж, причому рівень використання кожного гаманця приблизно однаковий. Це свідчить про те, що групи Rug Pull мають намір підвищити незалежність кожного випадку Rug Pull у фінансових потоках, щоб ускладнити зовнішнє відстеження їх походження та збільшити складність відстеження.

Канали просування токенів для замилювання очей

Два можливих рекламних канали банд Руг Пул: Twitter та групи Telegram. Ці групи Twitter та Telegram не були спеціально створені бандами Руг Пул, а існують як базові компоненти в екосистемі нових токенів. Вони підтримуються третій сторонами, такими як команди операторів ланцюгових снайперських роботів або професійні команди нових токенів, які спеціалізуються на просуванні нових токенів, що тільки-но з'явилися.

Реклама в Twitter

Група Rug Pull використовує послуги нових монет, що просуваються третьою стороною, щоб виставити свої токени Rug Pull на показ, щоб залучити більше жертв.

Реклама групи Telegram

Команда ботів для стрільби на ланцюгу підтримує спеціальну Telegram-групу, призначену для розповсюдження основної інформації про нові токени, що з'являються, і також надає користувачам зручний вхід для покупок.

Аналіз екосистеми токенів Ethereum

Аналіз токенів, що надсилаються в групі Telegram

Протягом періоду з жовтня 2023 року по серпень 2024 року група Telegram надіслала 93,930 токенів. Використовуючи правила виявлення Rug Pull для сканування цих токенів, було виявлено 46,526 токенів Rug Pull, що становить 49.53%.

41,801 активних токенів Rug Pull мають активний час менше 72 годин, що становить 89.84%. Кількість токенів з активним часом менше 3 годин становить 25,622, що становить 55.07%.

Кількість випадків, коли банда Rug Pull здійснює кешування шляхом видалення ліквідності, становить 32,131, що складає 69.06%. Кількість випадків виконання операцій Rug Pull через контракт Router Uniswap становить 40,887, що складає 76.35% від загальної кількості виконань.

46,526 випадків замилювання очей принесли загальний прибуток у 282,699.96 Етер, рентабельність склала 188.70%, що дорівнює приблизно 800 мільйонів доларів.

![Глибоке дослідження випадків замилювання очей, розкриття Ethereum