深入剖析以太坊代币生态:Rug Pull骗局的规模与影响

简介

在Web3世界中,新代币不断涌现。你是否想过,每天究竟有多少新代币在发行?这些新代币都安全吗?

这些疑问并非无端而起。近期,大量Rug Pull交易案例被发现,涉及的代币无一例外都是刚上链的新代币。

深入调查发现,这些Rug Pull案例背后存在组织化的作案团伙,并呈现出模式化特征。分析表明,Rug Pull团伙可能通过Telegram群组中的"New Token Tracer"功能吸引用户购买诈骗代币并最终实施Rug Pull。

统计显示,2023年11月至2024年8月期间,相关Telegram群组共推送93,930种新代币,其中46,526种涉及Rug Pull,占比49.53%。这些Rug Pull代币背后团伙累计投入成本149,813.72 ETH,以188.7%的回报率牟利282,699.96 ETH,折合约8亿美元。

同期以太坊主网共发行100,260种新代币,通过Telegram群组推送的代币占89.99%。平均每天约370种新代币诞生,远超合理预期。深入调查发现,至少48,265种代币涉及Rug Pull诈骗,占比48.14%。换言之,以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

其他区块链网络中也发现了更多Rug Pull案例。这意味着整个Web3新发代币生态的安全形势比预期更加严峻。本报告旨在提升Web3成员的防范意识,呼吁保持警惕并采取必要的预防措施。

ERC-20 代币(Token)

ERC-20代币是区块链上最常见的代币标准之一,定义了一组规范使代币可在不同智能合约和去中心化应用程序(dApp)间互操作。ERC-20标准规定了代币的基本功能,如转账、查询余额、授权第三方管理等。这一标准化协议简化了代币的创建和使用。任何个人或组织都可基于ERC-20标准发行代币,并通过预售为各种金融项目筹集启动资金。

USDT、PEPE、DOGE等都属于ERC-20代币,用户可通过去中心化交易所购买。然而,某些诈骗团伙也可能自行发行带有代码后门的恶意ERC-20代币,将其上架到去中心化交易所,诱导用户购买。

Rug Pull代币的典型诈骗案例

Rug Pull指项目方在去中心化金融项目中突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。Rug Pull代币则是专门为实施这种诈骗行为而发行的代币。

案例

攻击者用Deployer地址部署TOMMI代币,然后用1.5个ETH和1亿个TOMMI创建流动性池,并通过其他地址主动购买TOMMI代币来伪造交易量以吸引用户和打新机器人。当有一定数量的打新机器人上当后,攻击者用Rug Puller地址执行Rug Pull,用3,873万TOMMI代币砸流动性池,兑换出约3.95个ETH。Rug Puller的代币来源于TOMMI代币合约的恶意Approve授权,使得Rug Puller可以直接从流动性池里转出TOMMI代币然后进行Rug Pull。

Rug Pull过程

1. 准备攻击资金:攻击者通过中心化交易所向Token Deployer充值2.47ETH作为启动资金。

2. 部署带后门的Rug Pull代币:Deployer创建TOMMI代币,预挖1亿个代币并分配给自身。

3. 创建初始流动性池:Deployer用1.5个ETH和预挖的所有代币创建流动性池,获得约0.387个LP代币。

4. 销毁所有预挖的Token供应量:Token Deployer将所有LP代币发送至0地址销毁。

5. 伪造交易量:攻击者用多个地址主动从流动性池中购买TOMMI代币,炒高池子的交易量。

6. 攻击者通过Rug Puller地址发起Rug Pull,从流动性池中转出3,873万个代币,然后用这些代币砸池子,套出约3.95个ETH。

7. 攻击者将Rug Pull所得资金发送至中转地址。

8. 中转地址将资金发送至资金留存地址。

Rug Pull代码后门

攻击者在TOMMI代币合约的openTrading函数中留下一个恶意approve的后门,这个后门会在创建流动性池时让流动性池向Rug Puller地址approve代币的转移权限,使得Rug Puller地址可以直接从流动性池中转走代币。

作案模式化

1. Deployer通过中心化交易所获取资金。

2. Deployer创建流动性池并销毁LP代币。

3. Rug Puller用大量代币兑换流动性池中的ETH。

4. Rug Puller将获得的ETH转移至资金留存地址。

这些特点普遍存在于捕获的案例中,表明Rug Pull行为有明显的模式化特征。完成Rug Pull后,资金通常会被汇集到一个资金留存地址,暗示这些看似独立的案例背后可能涉及同一批甚至同一个诈骗团伙。

Rug Pull作案团伙

挖掘资金留存地址

7个高度活跃的资金留存地址关联了1,124个Rug Pull案例。这些地址会将沉淀资金进行拆分,用于未来新的Rug Pull骗局中创建新代币、操纵流动性池等活动。一小部分沉淀资金则通过中心化交易所或闪兑平台进行套现。

利润占比排名前三的地址分别是0x1607,0xDF1a及0x2836。地址0x1607获得的利润最高,约2,668.17 ETH,占所有地址利润的27.7%。

挖掘资金留存地址间关联

根据ETH的直接转账关系,这些资金留存地址可划分为3个地址集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

地址集合内部存在直接的转账关系,但集合之间并没有直接的转账行为。然而,这3个地址集合却都通过同样的基础设施合约拆分ETH进行后续的Rug Pull操作,使得原本看似松散的3个地址集合联系在一起,形成一个整体。

挖掘共用基础设施

两个主要的基础设施地址:0x1d3970677aa2324E4822b293e500220958d493d0和0x634847D6b650B9f442b3B582971f859E6e65eB53。

0x1d39主要包含两个功能函数:"multiSendETH"和"0x7a860e7e"。"multiSendETH"用于拆分转账,资金留存地址通过该函数将部分资金拆分至多个地址,用于伪造Rug Pull代币的交易量。"0x7a860e7e"函数用于购买Rug Pull代币。

0x6348的主要功能函数与0x1d39相似,只是购买Rug Pull代币的函数名称更换为"0x3f8a436c"。

Rug Pull团伙对基础设施地址的使用具有明显特点:仅用少量的资金留存地址或中转地址来拆分资金,但通过大量其他地址伪造Rug Pull代币的交易量。

挖掘作案资金来源

在1,124个Rug Pull案例中,资金来源于中心化交易所热钱包的案例数量达到1,069个,占比95.11%。这意味着对于绝大多数Rug Pull案例,可以通过中心化交易所的账户kyc信息和提款历史记录追溯到具体的账户持有人。

Rug Pull团伙往往同时从多个交易所热钱包获取作案资金,且各钱包的使用程度大致相当。这表明Rug Pull团伙有意增加各个Rug Pull案例在资金流上的独立性,以此提高外界对其溯源的难度,增加追踪的复杂性。

Rug Pull代币推广渠道

两种可能的Rug Pull团伙广告渠道:Twitter和Telegram群组。这些Twitter和Telegram群组并非Rug Pull团伙特意创建,而是作为打新生态中的基础组件而存在的。它们由链上狙击机器人运营团队或职业打新团队等第三方机构维护,专门面向打新者推送新上线的代币。

Twitter广告

Rug Pull团伙利用第三方机构的新币推送服务向外界曝光其Rug Pull代币,以吸引更多的受害者。

Telegram群组广告

链上狙击机器人团队维护的专门用于推送新上线代币的Telegram群组不仅推送新代币的基本信息,还为用户提供了便捷的购买入口。

以太坊代币生态分析

分析Telegram群组中推送的代币

2023年10月至2024年8月期间,Telegram群组共推送了93,930个代币。使用Rug Pull检测规则扫描这些代币,共检测出Rug Pull代币46,526个,占比49.53%。

41,801个Rug Pull代币的活跃时间小于72小时,占比89.84%。活跃时间小于3小时的代币数量为25,622个,占比55.07%。

Rug Pull团伙通过移除流动性进行套现的案例数量为32,131,占比69.06%。通过Uniswap的Router合约执行Rug Pull操作的案例数为40,887,占总执行次数的76.35%。

46,526个Rug Pull案例的总利润为282,699.96 ETH,利润率高达188.70%,折合约8亿美元。

![深入调查Rug Pull案例，揭秘以太