深入剖析以太坊代幣生態:Rug Pull騙局的規模與影響

簡介

在Web3世界中,新代幣不斷湧現。你是否想過,每天究竟有多少新代幣在發行?這些新代幣都安全嗎?

這些疑問並非無端而起。近期,大量Rug Pull交易案例被發現,涉及的代幣無一例外都是剛上鏈的新代幣。

深入調查發現,這些Rug Pull案例背後存在組織化的作案團夥,並呈現出模式化特徵。分析表明,Rug Pull團夥可能通過Telegram羣組中的"New Token Tracer"功能吸引用戶購買詐騙代幣並最終實施Rug Pull。

統計顯示,2023年11月至2024年8月期間,相關Telegram羣組共推送93,930種新代幣,其中46,526種涉及Rug Pull,佔比49.53%。這些Rug Pull代幣背後團夥累計投入成本149,813.72 ETH,以188.7%的回報率牟利282,699.96 ETH,折合約8億美元。

同期以太坊主網共發行100,260種新代幣,通過Telegram羣組推送的代幣佔89.99%。平均每天約370種新代幣誕生,遠超合理預期。深入調查發現,至少48,265種代幣涉及Rug Pull詐騙,佔比48.14%。換言之,以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

其他區塊鏈網路中也發現了更多Rug Pull案例。這意味着整個Web3新發代幣生態的安全形勢比預期更加嚴峻。本報告旨在提升Web3成員的防範意識,呼籲保持警惕並採取必要的預防措施。

ERC-20 代幣(Token)

ERC-20代幣是區塊鏈上最常見的代幣標準之一,定義了一組規範使代幣可在不同智能合約和去中心化應用程式(dApp)間互操作。ERC-20標準規定了代幣的基本功能,如轉帳、查詢餘額、授權第三方管理等。這一標準化協議簡化了代幣的創建和使用。任何個人或組織都可基於ERC-20標準發行代幣,並通過預售爲各種金融項目籌集啓動資金。

USDT、PEPE、DOGE等都屬於ERC-20代幣,用戶可通過去中心化交易所購買。然而,某些詐騙團夥也可能自行發行帶有代碼後門的惡意ERC-20代幣,將其上架到去中心化交易所,誘導用戶購買。

Rug Pull代幣的典型詐騙案例

Rug Pull指項目方在去中心化金融項目中突然抽走資金或放棄項目,導致投資者蒙受巨大損失的欺詐行爲。Rug Pull代幣則是專門爲實施這種詐騙行爲而發行的代幣。

案例

攻擊者用Deployer地址部署TOMMI代幣,然後用1.5個ETH和1億個TOMMI創建流動性池,並通過其他地址主動購買TOMMI代幣來僞造交易量以吸引用戶和打新機器人。當有一定數量的打新機器人上當後,攻擊者用Rug Puller地址執行Rug Pull,用3,873萬TOMMI代幣砸流動性池,兌換出約3.95個ETH。Rug Puller的代幣來源於TOMMI代幣合約的惡意Approve授權,使得Rug Puller可以直接從流動性池裏轉出TOMMI代幣然後進行Rug Pull。

Rug Pull過程

1. 準備攻擊資金:攻擊者通過中心化交易所向Token Deployer充值2.47ETH作爲啓動資金。

2. 部署帶後門的Rug Pull代幣:Deployer創建TOMMI代幣,預挖1億個代幣並分配給自身。

3. 創建初始流動性池:Deployer用1.5個ETH和預挖的所有代幣創建流動性池,獲得約0.387個LP代幣。

4. 銷毀所有預挖的Token供應量:Token Deployer將所有LP代幣發送至0地址銷毀。

5. 僞造交易量:攻擊者用多個地址主動從流動性池中購買TOMMI代幣,炒高池子的交易量。

6. 攻擊者通過Rug Puller地址發起Rug Pull,從流動性池中轉出3,873萬個代幣,然後用這些代幣砸池子,套出約3.95個ETH。

7. 攻擊者將Rug Pull所得資金發送至中轉地址。

8. 中轉地址將資金發送至資金留存地址。

Rug Pull代碼後門

攻擊者在TOMMI代幣合約的openTrading函數中留下一個惡意approve的後門,這個後門會在創建流動性池時讓流動性池向Rug Puller地址approve代幣的轉移權限,使得Rug Puller地址可以直接從流動性池中轉走代幣。

作案模式化

1. Deployer通過中心化交易所獲取資金。

2. Deployer創建流動性池並銷毀LP代幣。

3. Rug Puller用大量代幣兌換流動性池中的ETH。

4. Rug Puller將獲得的ETH轉移至資金留存地址。

這些特點普遍存在於捕獲的案例中,表明Rug Pull行爲有明顯的模式化特徵。完成Rug Pull後,資金通常會被匯集到一個資金留存地址,暗示這些看似獨立的案例背後可能涉及同一批甚至同一個詐騙團夥。

Rug Pull作案團夥

挖掘資金留存地址

7個高度活躍的資金留存地址關聯了1,124個Rug Pull案例。這些地址會將沉澱資金進行拆分,用於未來新的Rug Pull騙局中創建新代幣、操縱流動性池等活動。一小部分沉澱資金則通過中心化交易所或閃兌平台進行套現。

利潤佔比排名前三的地址分別是0x1607,0xDF1a及0x2836。地址0x1607獲得的利潤最高,約2,668.17 ETH,佔所有地址利潤的27.7%。

挖掘資金留存地址間關聯

根據ETH的直接轉帳關係,這些資金留存地址可劃分爲3個地址集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

地址集合內部存在直接的轉帳關係,但集合之間並沒有直接的轉帳行爲。然而,這3個地址集合卻都通過同樣的基礎設施合約拆分ETH進行後續的Rug Pull操作,使得原本看似松散的3個地址集合聯繫在一起,形成一個整體。

挖掘共用基礎設施

兩個主要的基礎設施地址:0x1d3970677aa2324E4822b293e500220958d493d0和0x634847D6b650B9f442b3B582971f859E6e65eB53。

0x1d39主要包含兩個功能函數:"multiSendETH"和"0x7a860e7e"。"multiSendETH"用於拆分轉帳,資金留存地址通過該函數將部分資金拆分至多個地址,用於僞造Rug Pull代幣的交易量。"0x7a860e7e"函數用於購買Rug Pull代幣。

0x6348的主要功能函數與0x1d39相似,只是購買Rug Pull代幣的函數名稱更換爲"0x3f8a436c"。

Rug Pull團夥對基礎設施地址的使用具有明顯特點:僅用少量的資金留存地址或中轉地址來拆分資金,但通過大量其他地址僞造Rug Pull代幣的交易量。

挖掘作案資金來源

在1,124個Rug Pull案例中,資金來源於中心化交易所熱錢包的案例數量達到1,069個,佔比95.11%。這意味着對於絕大多數Rug Pull案例,可以通過中心化交易所的帳戶kyc信息和提款歷史記錄追溯到具體的帳戶持有人。

Rug Pull團夥往往同時從多個交易所熱錢包獲取作案資金,且各錢包的使用程度大致相當。這表明Rug Pull團夥有意增加各個Rug Pull案例在資金流上的獨立性,以此提高外界對其溯源的難度,增加追蹤的復雜性。

Rug Pull代幣推廣渠道

兩種可能的Rug Pull團夥廣告渠道:Twitter和Telegram羣組。這些Twitter和Telegram羣組並非Rug Pull團夥特意創建,而是作爲打新生態中的基礎組件而存在的。它們由鏈上狙擊機器人運營團隊或職業打新團隊等第三方機構維護,專門面向打新者推送新上線的代幣。

Twitter廣告

Rug Pull團夥利用第三方機構的新幣推送服務向外界曝光其Rug Pull代幣,以吸引更多的受害者。

Telegram羣組廣告

鏈上狙擊機器人團隊維護的專門用於推送新上線代幣的Telegram羣組不僅推送新代幣的基本信息,還爲用戶提供了便捷的購買入口。

以太坊代幣生態分析

分析Telegram羣組中推送的代幣

2023年10月至2024年8月期間,Telegram羣組共推送了93,930個代幣。使用Rug Pull檢測規則掃描這些代幣,共檢測出Rug Pull代幣46,526個,佔比49.53%。

41,801個Rug Pull代幣的活躍時間小於72小時,佔比89.84%。活躍時間小於3小時的代幣數量爲25,622個,佔比55.07%。

Rug Pull團夥通過移除流動性進行套現的案例數量爲32,131,佔比69.06%。通過Uniswap的Router合約執行Rug Pull操作的案例數爲40,887,佔總執行次數的76.35%。

46,526個Rug Pull案例的總利潤爲282,699.96 ETH,利潤率高達188.70%,折合約8億美元。

![深入調查Rug Pull案例，揭祕以太