Вступ

У світі Web3 щоденно запускаються нові токени. Чи коли-небудь задумувалися ви, скільки нових токенів створюється щодня? І, що ще важливіше, чи є ці токени безпечними?

Ці питання не без підстав. Протягом останніх кількох місяців команда з безпеки CertiK виявила значну кількість шахрайських схем Rug Pull. Зокрема, всі токени, що брали участь у цих випадках, є новими токенами, які були щойно додані до блокчейну.

Після цього CertiK розпочала ретельне розслідування цих справ Rug Pull і виявила, що вони були організовані організованими групами. Ці групи дотримуються певної схеми шахрайства. Детально вивчивши їхні методи, CertiK виявила один потенційний спосіб, яким ці банди Rug Pull просувають свої афери: групи в Telegram. Такі групи, як Banana Gun і Unibot, використовують функцію “New Token Tracer”, щоб заманити користувачів купувати шахрайські токени і, зрештою, отримувати прибуток від Rug Pull.

CertiK відстежував повідомлення про просування токенів у цих групах Telegram з листопада 2023 року до початку серпня 2024 року, виявивши загалом 93 930 нових токенів, які просувалися через ці канали. З них 46 526 токенів були пов’язані з шахрайством Rug Pull, що становить шокуючі 49,53%. Загальна сума, інвестована шахраями, які стоять за цими токенами, склала 149 813,72 ETH, що призвело до прибутку в розмірі 282 699,96 ETH, що принесло прибуток у розмірі 188,7%, що приблизно еквівалентно 800 мільйонам доларів.

Для кращого розуміння впливу просування телеграм-груп на головній мережі Ethereum, CertiK порівняв ці цифри з загальною кількістю нових токенів, випущених на Ethereum протягом того ж періоду. Результати показали, що з 100 260 нових токенів 89,99% були випущені через просування телеграм-груп. Це означає, що в середньому щодня було випущено 370 нових токенів - набагато більше, ніж очікувалося. Після продовження розслідування CertiK виявили тривожну правду: принаймні 48 265 з цих токенів були причетні до шахрайських схем Rug Pull, що складає 48,14%. Іншими словами, майже кожен другий новий токен на Ethereum є шахрайством.

Крім того, CertiK виявила додаткові випадки шахрайства Rug Pull на інших блокчейн-мережах. Це свідчить про те, що ситуація з безпекою новостворених токенів в усьому екосистемі Web3 є набагато гіршою, ніж очікувалося. У зв’язку з цим CertiK склали цей дослідницький звіт, щоб підвищити обізнаність у спільноті Web3, спонукати користувачів залишатися бджолами перед зростаючою кількістю шахрайств і приймати відповідні заходи для захисту своїх активів.

ERC-20 Токени

Перед тим, як ми розпочнемо основний звіт, давайте спочатку ознайомимося з деякими основними поняттями.

Токени ERC-20 наразі є одним з найпоширеніших стандартів токенів на блокчейні. Він визначає набір протоколів, які дозволяють токенам взаємодіяти між різними розумними контрактами та децентралізованими додатками (dApps). Стандарт ERC-20 визначає основні функціональні можливості токенів, такі як передача, запит балансів та авторизація третіх сторін для управління токенами. Завдяки цьому стандартизованому протоколу розробники можуть легше емітувати та управляти токенами, спрощуючи створення та використання токенів. Насправді, будь-хто, незалежно від того, чи це фізична особа, чи організація, може емітувати власні токени на основі стандарту ERC-20 та залучити початкові кошти для різних фінансових проектів через попередню продажу токенів. Через широке застосування токенів ERC-20 вони стали основою для багатьох ICO та проектів децентралізованої фінансової (DeFi) сфери.

Популярні токени, такі як USDT, PEPE та DOGE, є всі ERC-20 токенами, і користувачі можуть купувати ці токени через децентралізовані біржі. Однак деякі шахраї можуть створювати зловмисні ERC-20 токени з кодом з засобом вторгнення, включати їх до списку на децентралізованих біржах, і потім заманювати користувачів на їх придбання.

Типовий випадок шахрайства з токенами Rug Pull

Тут ми аналізуємо типову схему шахрайства зі стягненням килима для кращого розуміння того, як працюють ці зловживання зловживанням. Шахрайство з викиданням килима відноситься до шахрайської діяльності, в якій команда проекту раптово знімає кошти або відмовляється від проекту в ініціативі децентралізованої фінансів (DeFi), що призводить до значних втрат для інвесторів. Токен з викиданням килима - це токен, спеціально створений для здійснення такого шахрайства.

Токени, на які посилаються у цій статті як Rug Pull tokens, іноді називаються «Honey Pot tokens» або «Exit Scam tokens». Однак, для забезпечення послідовності, ми будемо посилатися на них як Rug Pull tokens.

· Кейс

У цьому випадку зловмисники (банда Rug Pull) розгорнули токен TOMMI, використовуючи адресу Deployer (0x4bAF). Вони створили пул ліквідності з 1,5 ETH і 100 000 000 токенів TOMMI, а потім штучно завищили обсяг торгів, купуючи токени TOMMI з різних адрес. Це приваблювало користувачів і ботів купувати токени TOMMI. Після того, як достатня кількість ботів була обдурена, зловмисники виконали Rug Pull, використовуючи адресу Rug Puller (0x43a9). Rug Puller скинув 38 739 354 токени TOMMI в пул ліквідності та обміняв їх приблизно на 3,95 ETH. Токени, які використовує Rug Puller, з’явилися в результаті зловмисного схвалення, наданого контрактом на токени TOMMI, який дозволив Rug Puller виводити токени безпосередньо з пулу ліквідності та здійснювати шахрайство.

·Пов’язані адреси

• Deployer: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Токен: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Шахрайство: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Шахраїн використав ім’я користувача (один з них): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Адреса передачі коштів Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Адреса збереження фонду Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

·Пов’язані транзакції

• Деплойер отримує стартові кошти від централізованих бірж: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Розгортання токена TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Створити пул ліквідності: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Адреса переказу коштів надсилає кошти на підробленого користувача (одного з них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Користувач, що видається, купує токен (один з них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Шахрайство：0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Шахрай відправляє виручку на адресу переказу: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Адреса передачі відправляє кошти на адресу утримання:
• 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Процес виманювання килиму

• Підготуйте кошти для атаки

Атакувальник поповнив 2.47309009 ETH в Токен Деплоєр (0x4bAF) з централізованої біржі для фінансування Шахрайства.

Рис. 1: Розгортання отримує інформацію про транзакцію з початковими коштами стартапу

• Розгортання токена зі шахрайськими можливостями Rug Pull

Деплойер створює токен TOMMI та попередньо добуває 100 000 000 токенів, розподіляючи їх на себе.

Рисунок 2: Розгортання створює інформацію про транзакцію з токеном TOMMI

• Створення початкового ліквідного пулу

Розгортач використовує 1,5 ETH та попередньо видобуті токени для створення ліквідного пулу, отримуючи приблизно 0,387 токенів LP.

Рисунок 3: Деплоєр створює транзакцію ліквідності басейну та потік коштів

• Знищення всього попередньо видобутого запасу токенів

Token Deployer відправляє всі токени LP на адресу 0 для знищення. Оскільки у контракті TOMMI немає функції Mint, Token Deployer теоретично втрачає здатність виконати Rug Pull. (Це одна з необхідних умов для обману нових токен-ботів. Деякі боти оцінюють ризик Rug Pulls при введенні нових токенів у пул, а Deployer також встановлює Власника контракту на адресу 0, щоб обманути анти-шахрайські програми, використовувані ботами).

Рисунок 4: Інформація про транзакцію знищення токенів LP відправника

• Шахрайство у торговому обсязі

Атакувальники використовують кілька адрес для активного купівлі токенів TOMMI з ліквідним басейном, штучно збільшуючи торговий обсяг для приваблення більшої кількості нових токен-ботів (причина того, що ці адреси ідентифіковані як приховані атакувальниками, полягає в тому, що кошти на цих адресах походять з історичної адреси передачі коштів, використованої групою Rug Pull).

Рисунок 5: Інша адреса нападника купує інформацію про транзакції токенів TOMMI та потік коштів

• Виконання шахрайства

Зловмисники використовують адресу Rug Puller (0x43A9), щоб ініціювати витягування килима, безпосередньо виводячи 38,739,354 токени TOMMI з пулу ліквідності та зваливши їх, вилучивши приблизно 3,95 ETH.

Рисунок 6: Інформація про транзакцію Rug Pull та потік коштів

• Переказ коштів

Атакувальники відправляють кошти з Rug Pull на адресу переказу 0xD921.

Малюнок 7: Rug Puller надсилає доходи від атаки на інформацію про транзакцію транзитної адреси

• Переказ коштів на адресу утримання

Адреса переказу 0xD921 надсилає кошти на адресу зберігання 0x2836. З цього ми бачимо, що після завершення перетягування килима Rug Puller надсилає кошти на адресу утримання. Ця адреса служить пунктом збору коштів з багатьох справ Rug Pull. Адреса утримання розділяє більшу частину коштів для ініціювання нових Rug Pulls, а решта коштів виводиться через централізовані біржі. Ми відстежили кілька адрес утримання, і 0x2836 є однією з них.

Рисунок 8: Інформація щодо переміщення коштів адреси переказу

· Шахрайство Код Задній вихід

Незважаючи на те, що нападники намагалися довести до зовнішнього світу, що вони не можуть здійснити шахрайство, знищуючи токени LP, насправді вони залишили зловмисний дозвіл в функції openTrading контракту токену TOMMI. Цей дозвіл дозволяє ліквідному пулу схвалювати передачі токенів на адресу шахрайства під час створення ліквідного пулу, що дозволяє адресі шахрайства безпосередньо знімати токени з ліквідного пулу.

Функція openTrading на рис. 9 у контракті токена TOMMI

Figure 10 функція onInit в контракті токену TOMMI

Реалізація функції openTrading показана на рисунку 9, а її основне призначення – створення нового пулу ліквідності. Однак зловмисники викликають бекдор-функцію onInit (як показано на малюнку 10), що змушує uniswapV2Pair схвалювати перекази токенів на _chefAddress для всієї пропозиції токенів (type(uint256)). Тут uniswapV2Pair відноситься до адреси пулу ліквідності, а _chefAddress - це адреса Rug Puller, яка встановлюється під час розгортання контракту (як показано на малюнку 11).

Рисунок 11 Конструктор у контракті токена TOMMI

·Шаблонні методи афери

Аналізуючи справу TOMMI, ми можемо узагальнити наступні чотири ключові особливості:

1. Деплоєр отримує кошти від централізованих бірж: Атакувальники спочатку надають фінансування адреси Деплоєра через централізовану біржу.
2. Deployer створює пул ліквідності та знищує токени LP: Після створення токена Rug Pull, Deployer негайно створює пул ліквідності та знищує токени LP, що збільшує довіру до проекту та привертає більше інвесторів.
3. Шахраїн використовує велику кількість токенів для обміну на ETH у пулі ліквідності: Шахраїн використовує значну кількість токенів (часто значно перевищуючи загальну кількість токенів) для обміну на ETH у пулі ліквідності. В деяких випадках Шахраїн також знімає ліквідність, щоб зняти ETH з пулу.

4. Шахраїнік переказує отримані з обмани ETH на адресу утримання: Шахраїнік переміщує ETH, отриманий від Rug Pull, на адресу утримання, іноді проходячи через посередню адресу.

Ці функції часто спостерігаються в випадках, які ми визначили, що підкреслює, що діяльність з від’ємним впливом має чіткі патерни. Крім того, після завершення від’ємного впливу, викрадені кошти зазвичай консолідуються на адресі утримання. Це свідчить про те, що ці здавалося б ізольовані випадки від’ємного впливу можуть бути пов’язані з тією ж самою групою або навіть однією мережею шахрайства.

На основі цих шаблонів ми розробили профіль поведінки шахрайства Rug Pull і розпочали використовувати його для сканування та виявлення інших пов’язаних випадків з метою профілювання потенційних шахрайських груп.

Група шахрайства Rug Pull

· Дослідження адрес збереження фондів

Як вже згадувалося, випадки шахрайства зазвичай консолідують кошти на адресах зберігання коштів. Виходячи з цього шаблону, ми вибрали кілька дуже активних адрес зберігання коштів з чіткими ознаками шахрайських тактик для детального аналізу.

Ми виявили 7 адрес збереження коштів, пов’язаних з 1,124 випадками шахрайства Rug Pull, успішно виявленими нашою системою моніторингу атак на ланцюжку (CertiK Alert). Після вчинення шахрайства група Rug Pull збирає незаконні прибутки на цих адресах збереження коштів. Потім ці адреси розподіляють кошти, використовуючи їх для створення нових токенів для майбутніх шахрайств Rug Pull, маніпулювання ліквідністю пулів та вчинення інших шахрайських дій. Крім того, частина збережених коштів обмінюється через централізовані біржі або миттєві платформи обміну.

Дані для адрес зберігання фондів наведено в Таблиці 1:

Аналізуючи витрати та доходи кожного шахрайського обману, пов’язаного з цими адресами утримання коштів, ми отримали дані, представлені в Таблиці 1.

У типовій аферії Rug Pull банда зазвичай використовує одну адресу в якості Розгортувача для токену Rug Pull та здобуває стартові кошти через централізовану біржу для створення токену Rug Pull та відповідного пулу ліквідності. Як тільки достатньо користувачів або нових ботів для токенів привернуті для покупки токену Rug Pull за допомогою ETH, банда Rug Pull використовує іншу адресу в якості Rug Puller для виконання шахрайства, переказуючи кошти на адресу збереження коштів.

У цьому процесі ETH, отриманий Деплоєром через виведення обміну або ETH, інвестований при створенні пулу ліквідності, вважається витратами на Руг Пулл (конкретний розрахунок залежить від дій Деплоєра). ETH, переказаний на адресу зберігання фонду (або проміжні адреси) після завершення шахрайства Руг Пулером, вважається доходами від Руг Пуллу. Дані про доходи і витрати, як показано в таблиці 1, розраховані на основі ціни ETH/USD (1 ETH = 2,513.56 USD на 31 серпня 2024 року), з використанням цінової інформації в режимі реального часу під час інтеграції даних.

Важливо зауважити, що під час шахрайства, банда Rug Pull також може придбати свій власний токен Rug Pull, використовуючи ETH, симулюючи звичайні операції з ліквідним пулом, щоб привернути більше нових ботів з токенами. Однак, ці витрати не включені в розрахунки, тому дані в таблиці 1 трохи переоцінюють фактичні прибутки банди Rug Pull. Реальний прибуток буде трохи нижчим.

Рисунок 12: Діаграма частки прибутку для адрес збереження фонду

Використовуючи дані профіту з Таблиці 1 для кожної адреси, ми згенерували діаграму з часткою прибутку, показану на Рисунку 12. Три адреси з найвищою часткою прибутку - 0x1607, 0xDF1a та 0x2836. Адреса 0x1607 заробила найбільше прибутку, близько 2 668,17 ETH, що становить 27,7% від загального прибутку всіх адрес.

Фактично, навіть якщо кошти врешті-решт зберігаються на різних адресах збереження фондів, спільні особливості у пов’язаних випадках (такі як реалізація та кеш-аут методи) дозволяють нам сильно підозрювати, що ці адреси збереження фондів можуть бути контрольовані тією ж шахрайською бандою.

Так, чи існує зв’язок між цими адресами зберігання фондів?

· Дослідження зв’язку між адресами утримання фондів

Рисунок 13: Діаграма потоку коштів адрес зберігання фонду

Ключовим показником у визначенні наявності зв’язку між адресами збереження коштів є перевірка того, чи є прямі перекази між цими адресами. Для підтвердження зв’язків між цими адресами збереження коштів ми просканували та проаналізували їх історичні транзакції.

У більшості випадків шахрайства Rug Pull, які ми проаналізували, надходження від кожної афери зазвичай потрапляють лише на одну адресу зберігання фондів. Тому неможливо відслідкувати кошти, щоб прямо посилатися на різні адреси зберігання фондів. Щоб вирішити цю проблему, ми відстежували рух коштів між цими адресами, щоб ідентифікувати будь-які прямі відносини. Результати нашого аналізу показані на рисунку 13.

Важливо зазначити, що 0x1d39 та 0x6348 на рисунку 13 є спільними адресами контрактів інфраструктури обману. Ці адреси збереження коштів використовують ці два контракти для розподілу коштів та їх пересилання на інші адреси, де ці кошти використовуються для фальшивого збільшення обсягу торгівлі токенами обману.

З прямих відносин переказу ETH, показаних на рис. 13, ми поділили ці адреси утримання фондів на 3 групи:

1. 0xDF1a та 0xDEd0;
2. 0x1607 та 0x4856;
3. 0x2836, 0x0573, 0xF653 та 0x7dd9.

У кожній групі є прямі перекази, але переказів між групами не відбувається. Це свідчить про те, що ці 7 адрес збереження фондів можна вважати належними до 3 окремих банд. Однак, всі три групи використовують одні й ті самі контракти інфраструктури для розподілу ETH для операцій Rug Pull, що зв’язує їх в одну організовану групу. Чи свідчить це про те, що ці адреси збереження фондів фактично контролюються однією шахрайською мережею?

Це питання відкрите для розгляду.

· Розслідування спільної інфраструктури

Як вже зазначалося, адреси спільної інфраструктури:

0x1d3970677aa2324E4822b293e500220958d493d0 та 0x634847D6b650B9f442b3B582971f859E6e65eB53.

Адреса 0x1d39 в основному мають дві функції: “multiSendETH” та “0x7a860e7e”. Основна функція multiSendETH полягає в розбитті переказів. Адреси збереження коштів використовують multiSendETH для розподілу частини коштів на кілька адрес, що обманює торговий обсяг для токенів Rug Pull. Деталі транзакції показані на рисунку 14.

Ця операція розділення допомагає зловмисникам імітувати активність токенів, роблячи токени більш привабливими, тим самим заманюючи більше користувачів або нових ботів токенів до покупки. За допомогою цього методу банда Rug Pull ще більше посилює обман і складність своєї афери.

Рисунок 14: Інформація про транзакції з розподілом фондів за допомогою 0x1d39

Функція 0x7a860e7e використовується для придбання токенів Rug Pull. Після отримання розбитих коштів адреси, приховані під звичайними користувачами, взаємодіють безпосередньо з маршрутизатором Uniswap, щоб купити токени Rug Pull, або використовують функцію 0x7a860e7e для здійснення цих покупок, фальшиво відтворюючи торговельну діяльність.

Основні функції в 0x6348 схожі на ті, що в 0x1d39, з єдиною відмінністю, що функція для покупки токенів Rug Pull називається 0x3f8a436c.

Для кращого розуміння, як Шахрайство бандавикористовує ці інфраструктури, ми прокралися і проаналізували історію транзакцій обох0x1d39і0x6348, і відстежували, як часто зовнішні адреси використовували ці функції. Результати показані в Таблиці 2 і 3.

З таблиць 2 та 3 зрозуміло, що банда Rug Pull дотримується чіткої стратегії при використанні цих інфраструктурних адрес. Вони використовують лише кілька адрес збереження коштів або посередників для розподілу коштів, але використовують велику кількість інших адрес для фальсифікації обсягу торгівлі токенами Rug Pull. Наприклад, у фальсифікації обсягу торгівлі через 0x6348 було задіяно 6 224 адреси, що значно ускладнює завдання відокремлення адрес нападника та жертви.

Варто зазначити, що Шахрайська банда Rug Pullне тільки покладається на адреси інфраструктури для підроблення торгового обсягу - деякі адреси безпосередньо обмінюють токени на біржах, щоб штучно збільшити обсяг.

Додатково, ми відстежували використання цих двох інфраструктурних адрес за допомогою 7адреси зберігання фондуі розрахував загальну кількість ETH, задіяну в кожній функції. Результати показані в Таблиці 4 та 5.

З таблиць 4 і 5 видно, що адреси збереження фондів використовували інфраструктуру для розподілу коштів 3 616 разів на суму 9 369,98 ETH. За винятком 0xDF1a, всі адреси збереження фондів використовували інфраструктуру лише для розподілу фондів, тоді як покупки токенів Rug Pull виконувалися отримуючими адресами. Це свідчить про чіткий і організований підхід групи Rug Pull до своїх шахрайств.

0x0573 не використовував інфраструктуру для розподілу фондів, і натомість, кошти, які використовувалися для штучного збільшення торгового обсягу, походили з інших адрес, що свідчить про певну змінність у роботі різних адрес збереження фондів.

Аналізуючи зв’язки між цими адресами утримання коштів та їх використанням інфраструктури, ми тепер маємо більш повну картину того, як ці адреси пов’язані. Операції банди Rug Pull набагато професійніші та організованіші, ніж ми спочатку собі уявляли, що ще більше свідчить про те, що за цими аферами стоїть добре скоординована злочинна група, яка систематично їх виконує.

· Розслідування джерела шахрайських коштів

Під час проведення Rug Pull банда Rug Pull зазвичай використовує новий обліковий запис Rug Pull (EOA) як розгортач для запуску токена Rug Pull, причому ці адреси розгортачів зазвичай отримують початкові кошти через централізовані біржі (CEX) або платформи миттєвого обміну. Щоб краще зрозуміти джерело походження коштів, ми проаналізували кейси Rug Pull, пов’язані з адресами зберігання коштів, згаданими раніше, з метою отримання більш детальної інформації про те, як надходять шахрайські кошти.

Таблиця 6 показує розподіл міток джерела коштів Деплоєра для кожної адреси зберігання фонду, пов’язаної з випадками шахрайства.

Дивлячись на дані в таблиці 6, ми можемо побачити, що більшість коштів для розгортача токенів Rug Pull у цих випадках Rug Pull надходять від централізованих бірж (CEX). З 1 124 кейсів Rug Pull, які ми проаналізували, 1 069 (95,11%) мали кошти, що надходили з гарячих гаманців централізованої біржі. Це означає, що для більшості з цих справ Rug Pull ми можемо відстежити конкретних власників рахунків, вивчивши інформацію KYC та історію виведення коштів з централізованих бірж, що може дати важливі підказки для вирішення справи. Подальше розслідування показало, що ці банди Rug Pull часто отримують кошти з кількох гарячих гаманців біржі, а частота та розподіл використання між цими гаманцями приблизно однакові. Це свідчить про те, що банда Rug Pull навмисно збільшує незалежність потоку коштів кожної справи Rug Pull, ускладнюючи його відстеження та ускладнюючи будь-які слідчі дії.

Через детальний аналіз адрес зберігання фондів та випадків шахрайства з виведенням коштів ми розробили профіль цих банд шахрайства: вони високо підготовані, з чіткими ролями та обов’язками, добре сплановані та високо організовані. Ці характеристики підкреслюють високий рівень професіоналізму та системну природу їх шахрайських операцій.

З огляду на рівень організації за цими бандами, ми почали питати себе: як ці банди Рug Pull наводять користувачів на те, щоб знайти та купити їхні токени Рug Pull? Щоб дати відповідь на це питання, ми зосередилися на адресах жертв у цих випадках Рug Pull та почали досліджувати, як ці банди примушують користувачів брати участь у їхніх шахрайствах.

· Розслідування адрес постраждалих

Проаналізувавши асоціації фондів, ми склали список адрес банд Rug Pull, який ведемо як чорний список. Потім ми витягли адреси жертв із транзакції.

Після аналізу цих адрес жертв, ми отримали відповідну інформацію про адреси жертв, пов’язану з адресами збереження коштів (Таблиця 7) та їх дані взаємодії з контрактом (Таблиця 8).

З даних у Таблиці 7 ми бачимо, що в середньому в кожному випадку витягування килима в системі моніторингу нашого ланцюжка (CertiK Alert) є 26,82 адреси потерпілих. Це число вище, ніж ми спочатку очікували, що свідчить про те, що вплив цих випадків витягування килима більший, ніж ми спочатку думали.

У таблиці 8 ми можемо спостерігати, що серед контрактних взаємодій для адрес жертв, які купують токени Rug Pull, на додаток до більш традиційних методів покупки через такі платформи, як Uniswap і MetaMask Swap, 30,40% токенів Rug Pull були куплені через відомі ончейн-платформи снайперських ботів, такі як Maestro та Banana Gun.

Це відкриття підкреслює, що онлайн-снайпери з ланцюга можуть бути важливим рекламним каналом для банди Шахрайства. Ці снайпери дозволяють банді Шахрайства швидко привертати учасників, особливо тих, хто зосереджений на нових інвестиціях у токени. У результаті ми звернули увагу на цих онлайн-снайперів, щоб краще зрозуміти їх роль в шахрайських схемах і як вони сприяють просуванню цих обманних схем.

Канали просування шахрайського токена

Ми провели дослідження поточної екосистеми нових токенів Web3, розглянули моделі роботи ботів-снайперів on-chain і поєднали деякі техніки соціальної інженерії для виявлення двох потенційних каналів реклами зловмисників Rug Pull: групи на Twitter і Telegram.

Важливо зазначити, що ці облікові записи в Twitter і групи в Telegram не були спеціально створені бандою Rug Pull, а натомість є основними компонентами нової екосистеми токенів. Вони управляються та підтримуються сторонніми організаціями, такими як ончейн-команди снайперських ботів або професійні нові інвестиційні групи токенів, з метою просування нещодавно запущених токенів інвесторам. Ці групи стали природними рекламними майданчиками для банди Rug Pull, яка використовує їх для залучення користувачів до покупки шкідливих токенів, таким чином здійснюючи свої шахрайства.

· Реклама Twitter

Рисунок 15 Реклама TOMMI токену на Twitter

На рисунку 15 показана реклама TOMMI токену на Twitter. Як ми можемо побачити, група Rug Pull використовувала новий сервіс просування токенів на Dexed.com, щоб рекламувати свій Rug Pull токен та залучити більш широку аудиторію потенційних жертв. Під час нашого дослідження ми виявили, що багато Rug Pull токенів мали реклами на Twitter, зазвичай від облікових записів третіх сторін.

· Реклама в групі Telegram

Фігура 16: Група просування нового токену бананового гвинта

На рисунку 16 зображено групу Telegram, яку очолює команда чат-ботів Banana Gun, яка присвячена просуванню нових токенів. Ця група не лише ділиться базовою інформацією про нові токени, але й надає користувачам простий доступ до їх придбання. Після налаштування чат-бота Banana Gun Sniper, користувачі можуть швидко придбати токен, натиснувши кнопку “Snipe” (виділену червоним кольором на рисунку 16) поруч з просуванням токена в групі.

Ми вручну відібрали токени, які просуваються в цій групі, і виявили, що велика частина з них насправді є токенами Rug Pull. Це відкриття посилює наше переконання в тому, що групи Telegram, ймовірно, є ключовим рекламним каналом для банди Rug Pull.

Наступне питання: який відсоток нових токенів, які просуваються третьою стороною, є токенами Rug Pull? Яка величина цих банд Rug Pull? Щоб відповісти на ці питання, ми вирішили провести системний скан та аналіз даних про нові токени, які просуваються в групах Telegram, щоб розкрити масштаб пов’язаних ризиків та рівень шахрайської діяльності.

Аналіз екосистеми токенів Ethereum

· Аналіз токенів, рекламованих у групах Telegram

Щоб оцінити частку токенів Rug Pull серед недавно просунутих токенів у групах Telegram, ми отримали дані про недавно запущені токени Ethereum, що просуваються групами повідомлень Banana Gun, Unibot та іншими сторонніми групами повідомлень про токени між жовтнем 2023 та серпнем 2024 року за допомогою API Telegram. Ми встановили, що протягом цього періоду ці групи просунули загалом 93 930 токенів.

На основі нашого аналізу випадків шахрайства відбору, банди шахраїв зазвичай створюють ліквідність пулів для токенів шахрайства в Uniswap V2 та вводять ETH. Після того, як користувачі або нові боти токенів купують токени шахрайства, нападники заробляють, розриваючи або видаляючи ліквідність, зазвичай завершуючи процес протягом 24 годин.

Тому ми створили наступні правила виявлення токенів Rug Pull та застосували їх для сканування 93 930 токенів, щоб визначити відсоток токенів Rug Pull серед нових токенів, просуваних у групах Telegram:

1. За останні 24 години не було жодних переказів для цільового токена: Шахрайство токени зазвичай припиняють активність після зниження;
2. Ліквідність пул існує між цільовим токеном та ETH в Uniswap V2: банди Rug Pull створюють ліквідність пули між токеном та ETH в Uniswap V2;
3. Загальна кількість подій передачі з моменту створення токена не перевищує 1 000: Звичайно, у токенів Rug Pull менше транзакцій, тому кількість переказів відносно невелика;
4. В останніх 5 транзакціях є великі виведення ліквідності або викиди: Шахрайські токени зазвичай закінчуються великими виведеннями ліквідності або викидами.

Ми застосували ці правила до токенів, які просувалися в групах Telegram, і результати показані в Таблиці 10.

Як показано в Таблиці 9, з 93 930 токенів, які просуваються в групах Telegram, 46 526 були визначені як токени Rug Pull, що становить 49,53% від загальної кількості. Це означає, що майже половина токенів, які просуваються в групах Telegram, є токенами Rug Pull.

Враховуючи, що деякі команди проектів також можуть вивести ліквідність після невдачі проекту, цю поведінку не слід автоматично класифікувати як шахрайство Rug Pull. Тому ми розглянули потенційний вплив помилково позитивних результатів на аналіз. Хоча Правило 3 допомагає фільтрувати більшість подібних випадків, все ж можуть виникнути деякі помилки.

Для кращого розуміння впливу помилкових сигналів ми проаналізували активний час 46 526 токенів Rug Pull, і результати показані в Таблиці 10. Аналізуючи активний час, ми можемо краще відрізняти між справжньою поведінкою Rug Pull та виведенням ліквідності через невдачу проекту, що дозволяє більш точно оцінити справжній масштаб діяльності Rug Pull.

Аналізуючи активні часи, ми виявили, що 41 801 токенів Rug Pull мали активний час (від створення токену до остаточного Rug Pull) менше 72 годин, що становить 89,84%. У звичайних випадках 72 годин не було б достатньо, щоб визначити, чи зазнала провалу проект, тому ми вважаємо поведінку Rug Pull з активним часом менше 72 годин як ненормальну поведінку з виведення коштів, яка не є типовою для законних команд проекту.

Отже, навіть у найгіршому випадку залишається 4 725 токенів викидного килима з активним часом більше 72 годин, які не відповідають визначенню шахрайства з викидним килимом у цій роботі. Однак наш аналіз все ще має значну цінність, оскільки 89,84% випадків відповідають очікуванням. Крім того, поріг 72 годин все ще є досить консервативним, оскільки на практиці багато токенів з активним часом більше 72 годин все ще потрапляють до категорії шахрайства з викидним килимом.

Цікаво, що 25 622 токени мали активний час менше 3 годин, що становить 55,07%. Це свідчить про те, що банди Rug Pull працюють з дуже високою ефективністю, з «коротким і швидким» підходом і надзвичайно високими показниками обороту капіталу.

Ми також оцінили методи виведення готівки та шаблони виклику контракту для 46 526 токенів Rug Pull, щоб підтвердити тенденції банд Rug Pull.

Оцінка методів виведення готівки головним чином зосереджувалася на тому, як групи шахраїв Rug Pull вилучали ETH з ліквідних пулів. Основні методи:

1. Викидання токенів: Банда Rug Pull використовує токени, отримані шляхом попереднього виділення або використання коду задніх дверей, для викупу всієї ETH з резервного пула.
2. Вилучення ліквідності: група Rug Pull вилучає всі свої власні кошти, додані до пулу ліквідності.

Оцінка схем виклику контрактів досліджувала, з якими цільовими об’єктами контрактів взаємодіяли групи злочинців, які зловмишляли під час процесу Rug Pull. Основні об’єкти:

1. Контракти маршрутизатора децентралізованої біржі: Використовуються для прямого впливу на ліквідність.
2. Користувацькі контракти атаки: Самостійно створені контракти, що використовуються для виконання складних шахрайських операцій.

Оцінюючи методи виведення готівки та шаблони виклику контрактів, ми можемо докладніше зрозуміти методику та характеристики банди Руг Пул, що допоможе нам краще запобігати та виявляти подібні шахрайства.

Відповідні дані оцінки для методів виведення готівки показані в Таблиці 11.

З даних оцінки ми бачимо, що кількість випадків, коли банда Rug Pull використовувала видалення ліквідності для зняття готівки, становить 32 131, що складає 69,06%. Це свідчить про те, що ці банди Rug Pull віддають перевагу видаленню ліквідності для зняття готівки, ймовірно, тому що це простіше та пряміше, без потреби в складному створенні контракту або додаткових кроків. Натомість виведення токенів шляхом викидання вимагає від банди Rug Pull створення запасного входу в коді контракту токена, що дозволяє їм отримати токени, необхідні для викидання, безкоштовно. Цей процес складніший і ризикований, тому випадків, пов’язаних із цим, менше.

Відповідні дані оцінки для шаблонів виклику контракту показані в Таблиці 12.

З таблиці 12 ми чітко бачимо, що банди Шахрайства віддають перевагу використанню контракту маршрутизатора Uniswap для виконання операцій Rug Pull, зробивши це 40,887 разів, що становить 76.35% від усіх операцій. Загальна кількість виконаних операцій Шахрайства становить 53,552, що вище, ніж кількість токенів Шахрайства (46,526). Це свідчить про те, що у деяких випадках банди Шахрайства виконують кілька операцій Rug Pull, можливо, щоб максимізувати прибуток або виводити гроші партіями, спрямовуючись на різних жертв.

Наступним кроком був проведений статистичний аналіз даних про витрати та доходи з 46 526 токенів Шахрайства. Варто зауважити, що ми вважаємо Ефір, отриманий бандою Шахрайства з централізованих бірж або миттєвих обмінних служб до випуску токену, витратою, а Ефір, відновлений під час останнього Разтягування, доходом для статистичних цілей. Фактичні дані про витрати можуть бути вищими, оскільки ми не врахували Ефір, інвестований бандою Шахрайства для фальшивих транзакцій ліквідності пулу.

Дані про витрати та дохід показані в Таблиці 13.

Під час статистичного аналізу 46 526 токенів Rug Pull загальний кінцевий прибуток склав 282 699,96 ETH, з рівнем прибутковості у 188,70%, що еквівалентно приблизно 800 мільйонам доларів. Хоча фактичний прибуток може бути трохи нижчим, ніж вищезазначені цифри, загальний масштаб коштів залишається надзвичайно вражаючим, що демонструє, що ці банди Rug Pull здійснили значні прибутки шляхом шахрайства.

На основі аналізу всіх даних токенів з груп Telegram, екосистема Ethereum вже переповнена великою кількістю токенів Rug Pull. Однак нам все ще потрібно підтвердити важливе питання: чи представляють ці токени, які просуваються в групах Telegram, всі токени, запущені на головній мережі Ethereum? Якщо ні, яку частку токенів, запущених на головній мережі Ethereum, вони становлять?
Відповідь на це питання дозволить нам зрозуміти поточну екосистему токенів Ethereum у всій її повноті. Тому ми розпочали проведення глибинного аналізу токенів Ethereum mainnet, щоб оцінити охоплення токенів, які просуваються в групах Telegram. Цей аналіз дозволить нам докладніше прояснити серйозність проблеми з виведенням коштів у ширшій екосистемі Ethereum та вплив груп Telegram на просування токенів.

· Аналіз токенів Ethereum Mainnet

Ми витягли дані блоку з вузлів RPC за той же період (жовтень 2023 року по серпень 2024 року), що і аналіз токенів групи Telegram. З цих блоків ми отримали новопризначені токени (за винятком токенів, що були розгорнуті через проксі, оскільки вони майже не використовуються для шахрайства). Ми збирали в загальному 154 500 токенів, з яких 54 240 - це токени ліквідності пулу Uniswap V2 (LP), які виключені з обсягу цієї статті.

Після фільтрації LP-токенів у нас залишилося 100 260 токенів. Відповідна інформація показана в Таблиці 14.

Ми застосували наші правила виявлення шахрайства до цих 100 260 токенів, і результати показані в таблиці 15.

З 100 260 виявлених токенів ми виявили 48 265 токенів Шахрайства, які становлять 48.14% від загальної кількості — це майже ідентично відсотку токенів Шахрайства в токенах, рекламованих у групі Telegram.

Для подальшого аналізу перекриття між токенами, розповсюдженими в групах Telegram, і тими, що розгорнуті в основній мережі Ethereum, ми порівняли дані для обох наборів токенів. Результати показані в Таблиці 16.

З таблиці 16 видно, що перекриття між токенами, що просуваються у групах Telegram, та токенами головної мережі Ethereum становить 90 228 токенів, що складає 89,99% від токенів головної мережі. Є 3 703 токени, які були просунуті в групах Telegram, але не знайдені у головній мережі. Ці токени проксі-розгорнуті та не були включені в нашу програму захоплення токенів головної мережі.

На головній мережі є 10 032 токени, які не були опубліковані в групах Telegram, ймовірно, тому, що вони були відфільтровані правилами просування через недостатню привабливість або невідповідність певним критеріям.

Потім ми провели виявлення шахрайства Rug Pull на 3 703 токенах, які були розгорнуті через проксі, і виявили лише 10 токенів шахрайства Rug Pull. Це свідчить про те, що розгорнуті через проксі токени мають незначний вплив на результати виявлення шахрайства Rug Pull в групах Telegram, і результати виявлення високо узгоджені з результатами головної мережі.

10 адреси токенів, які були виведені через проксі-сервери, наведені в Таблиці 17. Якщо вас цікавить, ви можете докладніше дослідити ці адреси. Ми не будемо глибше розглядати це тут.

Цей аналіз підтверджує, що відсоток токенів Rug Pull у групі Telegram-продуктів тісно відповідає тому, що на основному мережі Ethereum, що додатково підкреслює важливість та вплив цих просувальних каналів в поточній екосистемі Rug Pull.

Тепер ми можемо відповісти на питання, а саме, чи охоплюють токени, розповсюджені в групі Telegram, всі токени, запущені на основній мережі Ethereum, і яку частку вони складають, якщо ні.

Відповідь полягає в тому, що токени, які просуваються групою Telegram, становлять приблизно 90% основної мережі, і їх результати тесту Rug Pull високо узгоджуються з результатами тесту Rug Pull токенів основної мережі. Тому попередні виявлення та аналіз даних Rug Pull токенів, які просуваються групами Telegram, в основному можуть відображати поточний стан екології токенів основної мережі Ethereum.

Як зазначено раніше, токени Rug Pull на основній мережі Ethereum становлять приблизно 48,14%, але нас також цікавить решта 51,86% токенів, що не є Rug Pull. Навіть виключаючи токени Rug Pull, все ще є 51 995 токенів у невідомому стані, що набагато більше, ніж ми очікували від розумної кількості токенів. Тому ми зробили статистику щодо часу від створення до остаточного припинення діяльності для всіх токенів у головній мережі, і результати показані в Таблиці 18.

Згідно з даними таблиці 18, коли ми досліджуємо всю основну мережу Ethereum, існує 78 018 токенів, які існують менше 72 годин, що становить 77,82% від загальної кількості. Ця цифра значно перевищує кількість токенів Rug Pull, які ми ідентифікували, що свідчить про те, що наші правила виявлення не охоплюють усі випадки Rug Pulls. Дійсно, наші тести випадкової вибірки виявили деякі токени Rug Pull, які спочатку залишалися непоміченими. Крім того, це може вказувати на наявність інших видів шахрайства, таких як фішингові атаки або схеми Понці, які потребують подальшого розслідування.

Крім того, існує 22 242 токени з термінами життя, які перевищують 72 години. Однак ці токени не є основним об’єктом нашого дослідження, що свідчить про те, що додаткові деталі залишаються невідомими. Серед них деякі токени можуть належати до проектів, які зазнали невдачі або мали користувацьку базу, але не мали підтримки для розвитку. Історії та причини, які стоять за цими токенами, можуть розкрити вкрай складні ринкові динаміки.

Екосистема токенів на головній мережі Ethereum є значно складнішою, ніж очікувалося, наповнена як тимчасовими, так і довготривалими проектами, поруч із постійними ризиками шахрайської діяльності. Основна мета цієї статті - звернути увагу на ці проблеми з надією, що це допоможе людям усвідомити таємні дії злочинців. Ділитися цим аналізом, ми сподіваємося, що це спонукатиме до подальшого інтересу та досліджень у цих питаннях, що врешті-решт покращить безпеку всієї екосистеми блокчейну.

Відображення

Той факт, що токени Rug Pull складають 48,14% від усіх нових токенів, випущених в основній мережі Ethereum, є тривожно значущим. Це співвідношення говорить про те, що на кожні два токени, запущені на Ethereum, один, швидше за все, є шахрайством, що певною мірою відображає хаотичний і невпорядкований стан екосистеми Ethereum. Однак реальні занепокоєння виходять за рамки лише екосистеми токенів Ethereum. Ми помітили, що кількість випадків Rug Pull в інших блокчейн-мережах перевищує кількість випадків на Ethereum, що вказує на те, що екосистеми токенів у цих мережах також вимагають ретельного дослідження.

Незважаючи на високий відсоток токенів Шахрайства, приблизно щодня на Ethereum все ще запускають близько 140 нових токенів, що далеко перевищує те, що можна вважати нормальним діапазоном. Які невідомі секрети можуть приховувати ці інші, нешахрайські токени? Це важливі питання, які заслуговують на глибоке обдумування та подальше дослідження.

Додатково у цій статті висвітлено кілька ключових питань, які потребують більш докладного вивчення:

1. Виявлення банд шахрайства: З великим обсягом виявлених випадків шахрайства, як ми можемо ефективно визначити кількість відмінних банд шахрайства, які стоять за цими випадками, і визначити, чи є між ними зв’язки? Аналіз фінансових потоків та спільних адрес може бути вирішальним.
2. Виділення жертв від нападників: Розрізнення між жертвами та нападниками є важливим для виявлення шахрайства. Однак лінія між адресами жертв і нападників часто може бути розмитою, що піднімає потребу в більш точних методах.
3. Розвиток виявлення шахрайства: Поточне виявлення шахрайства в основному ґрунтується на аналізі післяподійно. Чи могли б ми розробити методи для виявлення потенційних ризиків шахрайства в реальному часі або навіть передбачального виявлення, щоб виявляти потенційні ризики шахрайства в активних токенах раніше? Ця можливість могла б допомогти зменшити збитки та сприяти своєчасним втручанням.
4. Стратегії отримання прибутку від банд шахрайства: При яких умовах банди шахрайства вирішують зняти гроші? Розуміння їх стратегій отримання прибутку може допомогти передбачити та запобігти випадкам шахрайства.
5. Дослідження інших промоційних каналів: Хоча Twitter та Telegram є відомими каналами для просування шахрайських токенів, але чи використовуються інші платформи? Потенційні ризики, пов’язані з форумами, іншими соціальними медіа та рекламними платформами, також потребують уваги.

Це складні питання, які вимагають подальшої дискусії та дослідження, яке ми залишаємо для триваючого вивчення та обговорення. Швидкий розвиток екосистеми Web3 вимагає не лише технологічних досягнень, але й ширшого моніторингу та глибокого дослідження для вирішення змінюються ризиків та викликів.

Рекомендації

З урахуванням поширеності шахрайств у екосистемі запуску токенів, інвесторам Web3 потрібно бути надзвичайно обережними. З розвитком шахрайських груп і протишахрайних команд стає все складніше для інвесторів виявити шахрайські токени або проекти.

Для інвесторів, зацікавлених у новому ринку токенів, наші експерти з безпеки пропонують наступне:

1. Використовуйте надійні централізовані біржі: Віддавайте перевагу покупці нових токенів через відомі централізовані біржі, які зазвичай мають більш жорсткий відбір проектів та пропонують вищу безпеку.
2. Перевіряйте офіційні джерела на децентралізованих біржах: переконайтеся, що токени придбані за офіційними контрактними адресами і уникайте токенів, які просуваються через неофіційні або підозрілі канали.
3. Досліджуйте веб-сайт і спільноту проекту: Відсутність офіційного веб-сайту або активної спільноти часто свідчить про вищий ризик. Будьте особливо обережні стосовно токенів, які просуваються через сторонні групи Twitter та Telegram, які можуть не пройти верифікацію безпеки.
4. Перевірте час створення токену: Уникайте токенів, які були створені менше ніж за три дні, оскільки токени Rug Pull часто мають дуже короткий активний період.
5. Використовуйте послуги забезпечення безпеки сторонніх постачальників: Якщо це можливо, використовуйте послуги сканування токенів, що надаються сторонніми організаціями забезпечення безпеки, для оцінки безпеки цільових токенів.

Заклик до дії

Крім шахрайських кіл кидалин, на яких зосереджено у цій статті, все більше схожих злочинців використовують інфраструктуру та механізми різних секторів або платформ у галузі Web3 для незаконних прибутків, що значно погіршує ситуацію з безпекою поточної екосистеми Web3. Нам потрібно почати звертати увагу на питання, які часто не помічаються, щоб запобігти злочинцям знаходити можливості.

Як вже згадувалося раніше, потік коштів від схем шахрайства з підвісуванням (Rug Pull) врешті-решт проходить через головні біржі, але ми вважаємо, що потік коштів, пов’язаних з шахрайством Rug Pull, це лише вершина айсберга. Масштаб зловживання коштів, що проходять через біржі, може бути значно більшим за нашу уяву. Тому ми наполягаємо, щоб провідні біржі впроваджували більш жорсткі регулятивні заходи проти цих зловживань, активно борючись з незаконними та шахрайськими діями та забезпечуючи безпеку коштів користувачів.

Також викликають занепокоєння постачальники послуг, такі як просування проектів та роботи-снайпери на ланцюгу, інфраструктура яких справді стала інструментом для збирання прибутку шахраями. Тому ми закликаємо всіх постачальників послуг третьої сторони покращити перевірку безпеки своїх продуктів або контенту, щоб запобігти зловживанням криміналами.

Крім того, ми закликаємо всіх постраждалих осіб, включаючи арбітражів MEV та звичайних користувачів, активно використовувати інструменти сканування безпеки для оцінки невідомих проектів перед інвестуванням, звертатися до рейтингів проектів авторитетних організацій з безпеки та активно розкривати злочинні дії злочинців, щоб розкрити неправомірні явища в галузі.

Як професійна команда з безпеки, ми також закликаємо всіх практикуючих у галузі безпеки активно виявляти, ідентифікувати та боротися з незаконними діями, виявляти свої зусилля та захищати фінансову безпеку користувачів.

У домені Web3 користувачі, розробники проектів, біржі, арбітражисти MEV та інші постачальники сторонніх послуг відіграють важливу роль. Ми сподіваємося, що кожен учасник зможе сприяти сталому розвитку екосистеми Web3 та спільно працювати над створенням безпечнішого, більш прозорого блокчейн-середовища.

Disclaimer:

1. Ця стаття є репринтом з [ Panewslab]. Авторські права належать оригінальному автору [ SomeK]. Якщо у вас є будь-які зауваження щодо репринту, будь ласка, зв’яжіться з Вивчайте GateКоманда, команда негайно вирішить це згідно з відповідними процедурами.
2. Відмова від відповідальності: погляди та думки, висловлені в цій статті, представляють лише особисті погляди автора і не становлять жодних інвестиційних порад.
3. Команда Gate Learn перекладає інші мовні версії статей. Якщо не зазначено інше, перекладена стаття не може бути скопійована, поширена або викрадена.