Введение

В мире Web3 каждый день запускаются новые токены. Вы когда-нибудь задумывались, сколько новых токенов создается ежедневно? И, что более важно, эти токены безопасны?

Эти вопросы не беспричинны. За последние несколько месяцев команда безопасности CertiK выявила значительное количество мошеннических схем Rug Pull. Заметим, что все токены, участвующие в этих случаях, только что были добавлены в блокчейн и только что были выпущены.

Позднее компания CertiK провела тщательное расследование этих случаев мошенничества и выяснила, что за ними стоят организованные группы. Эти группы следуют определенной схеме мошенничества. После детального изучения их методов CertiK обнаружила один из потенциальных способов продвижения своих мошеннических схем этих групп: группы в Telegram. Группы, такие как Banana Gun и Unibot, используют функцию «Отслеживание новых токенов», чтобы заманить пользователей на покупку мошеннических токенов и в конечном итоге извлечь прибыль из мошенничества.

CertiK отслеживала сообщения о продвижении токенов в этих группах Telegram с ноября 2023 года по начало августа 2024 года и обнаружила общее количество 93 930 новых токенов, продвигаемых через эти каналы. Из них 46 526 токенов были связаны с мошенничеством Rug Pull, что составило удивительные 49,53%. Общая сумма, инвестированная мошенниками за этими токенами, составила 149 813,72 ETH, что привело к прибыли в размере 282 699,96 ETH, обеспечивая доходность в 188,7%, приблизительно эквивалентную 800 миллионам долларов.

Для лучшего понимания влияния продвижения групп Telegram на основную сеть Ethereum, CertiK сравнил эти цифры с общим количеством новых токенов, выпущенных на Ethereum в тот же период. Результаты показали, что из 100 260 новых токенов 89,99% пришли из продвижения группы Telegram. Это означает, что в среднем каждый день было выпущено 370 новых токенов, что гораздо больше, чем ожидалось. Продолжив свое расследование, CertiK обнаружил тревожную правду: по крайней мере, 48 265 из этих токенов были вовлечены в мошеннические схемы Rug Pull, составляя 48,14%. Другими словами, почти каждый второй новый токен на Ethereum является мошенничеством.

Кроме того, CertiK обнаружил дополнительные случаи мошенничества на других блокчейн-сетях. Это показывает, что ситуация с безопасностью вновь выпущенных токенов во всей экосистеме Web3 гораздо хуже, чем ожидалось. В результате CertiK написал этот исследовательский отчет, чтобы помочь повысить осведомленность в сообществе Web3, призывая пользователей оставаться бдительными по отношению к растущему числу мошеннических схем и принимать соответствующие меры предосторожности для защиты своих активов.

Токены ERC-20

Прежде чем мы начнем основной отчет, давайте сначала рассмотрим некоторые основные концепции.

Токены ERC-20 в настоящее время являются одним из наиболее распространенных стандартов токенов на блокчейне. Он определяет набор протоколов, позволяющих токенам взаимодействовать между различными смарт-контрактами и децентрализованными приложениями (dApps). Стандарт ERC-20 определяет основные функциональные возможности токенов, такие как передача, запрос балансов и авторизация третьих сторон для управления токенами. Благодаря этому стандартизированному протоколу, разработчики могут более легко выпускать и управлять токенами, упрощая создание и использование токенов. Фактически, любой, будь то физическое лицо или организация, может выпустить свои собственные токены на основе стандарта ERC-20 и привлечь начальные средства для различных финансовых проектов через предварительные продажи токенов. Из-за широкого применения токенов ERC-20 они стали основой для многих ICO и проектов децентрализованной финансовой (DeFi) системы.

Популярные токены, такие как USDT, PEPE и DOGE, являются токенами ERC-20, и пользователи могут покупать эти токены через децентрализованные биржи. Однако некоторые группы мошенников могут также выпускать злонамеренные токены ERC-20 с задними дверями, перечислять их на децентрализованных биржах и затем заманивать пользователей на их покупку.

Типичный случай мошенничества с токеном Rug Pull

Здесь мы анализируем типичную мошенническую схему с токеном Rug Pull, чтобы лучше понять, как работают эти злонамеренные мошеннические схемы с токенами. Rug Pull относится к мошеннической деятельности, при которой команда проекта внезапно выводит средства или оставляет проект в инициативе децентрализованной финансовой (DeFi), что приводит к значительным потерям для инвесторов. Токен Rug Pull - это токен, специально созданный для осуществления такой мошеннической схемы.

Токены, называемые мошенническими токенами в этой статье, иногда называются «медовыми горшками» или «токенами мошенничества с выходом». Однако, ради последовательности, мы будем называть их мошенническими токенами.

· Случай

В этом случае атакующие (банда Rug Pull) задействовали токен TOMMI, используя адрес развертывателя (0x4bAF). Они создали пул ликвидности с 1,5 ETH и 100 000 000 токенов TOMMI, затем искусственно накачали торговый оборот, покупая токены TOMMI с разных адресов. Это привлекло пользователей и ботов, чтобы они покупали токены TOMMI. Как только было обмануто достаточное количество ботов, атакующие осуществили Rug Pull, используя адрес Rug Puller (0x43a9). Rug Puller выкинул в пул ликвидности 38 739 354 токена TOMMI и обменял их на приблизительно 3,95 ETH. Токены, использованные Rug Puller, были предоставлены злонамеренным утверждением, предоставленным контрактом токена TOMMI, что позволило Rug Puller снимать токены напрямую из пула ликвидности и осуществлять мошенничество.

·Связанные адреса

• Deployer: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Токен: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Мошенник Rug Puller выдавал себя за пользователя (один из них): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Адрес перевода фонда Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Адрес удержания фонда Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

·Связанные сделки

• Разработчик получает стартовые средства от централизованных бирж: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Развернуть токен TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Создать пул ликвидности: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Адрес перевода средств отправляет средства на поддельного пользователя (одного из них): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Поддельный пользователь покупает токен (один из них): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Тяга к ковру: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Мошенничество отправляет средства на адрес перевода: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Адрес передачи отправляет средства на адрес удержания:
• 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Процесс мошенничества

• Подготовьте средства для атаки

Злоумышленник пополнил 2.47309009 ETH в Token Deployer (0x4bAF) с централизованной биржи для финансирования мошенничества.

Рисунок 1: Развертывание получает информацию о транзакции стартовых средств

• Развертывание мошеннического токена с открывающейся задней дверью

Deployer создает токен TOMMI и предварительно добывает 100 000 000 токенов, выделяя их себе.

Рисунок 2: Деплоер создает информацию о транзакции токена TOMMI

• Создание начального пула ликвидности

Deployer использует 1,5 ETH и заранее добытые токены для создания пула ликвидности, получая примерно 0,387 токенов LP.

Рис. 3: Развертывание создает транзакцию пула ликвидности и движение средств

• Уничтожение всего предварительно добытого запаса токенов

Развертыватель токенов отправляет все токены LP на адрес 0 для уничтожения. Поскольку у контракта TOMMI нет функции Mint, развертыватель токенов теоретически теряет возможность выполнить мошенничество Rug Pull. (Это одно из необходимых условий для обмана новых ботов токенов. Некоторые боты оценивают риск мошенничества Rug Pull при вводе новых токенов в пул, и развертыватель также устанавливает владельца контракта на адрес 0, чтобы обмануть анти-мошеннические программы, используемые ботами).

Рисунок 4: Информация о транзакции уничтожения токенов LP Деплоера

• Фальсификация объема торговли

Атакующие используют несколько адресов для активной покупки токенов TOMMI из пула ликвидности, искусственно накачивая объем торгов, чтобы привлечь больше новых токен-ботов (причина, по которой эти адреса идентифицируются как замаскированные атакующими, заключается в том, что средства на этих адресах происходят от исторического адреса перевода средств, использованного бандой Rug Pull).

Рисунок 5: Информация о транзакции и движении средств адреса атакующего, который покупает токены TOMMI

1. Выполнение мошенничества

Злоумышленники используют адрес Rug Puller (0x43A9), чтобы инициировать Rug Pull, непосредственно выводя 38 739 354 токена TOMMI из пула ликвидности и сбрасывая их, извлекая примерно 3,95 ETH.

Рисунок 6: Информация о транзакции Rug Pull и поток средств

1. Перевод выручки

Атакующие отправляют средства с адреса Rug Pull на адрес перевода 0xD921.

Рисунок 7: Rug Puller отправляет информацию о транзакции транзитного адреса

1. Перевод средств на адрес удержания

Адрес перевода 0xD921 отправляет средства на адрес удержания 0x2836. Из этого мы видим, что после завершения мошенничества Rug Puller отправляет средства на адрес удержания. Этот адрес служит местом сбора средств из многих случаев мошенничества Rug Pull. Адрес удержания разделяет большую часть средств для запуска новых мошенничеств Rug Pull, и оставшиеся средства выводятся через централизованные биржи. Мы отследили несколько адресов удержания, включая 0x2836.

Рисунок 8: Информация о движении средств на адресе перевода

· Мошенничество Код Задним ходом

Хотя атакующие пытались доказать внешнему миру, что они не могут провести мошенничество, уничтожив токены LP, на самом деле они оставили злонамеренную заднюю дверь approve в функции openTrading контракта токена TOMMI. Эта задняя дверь позволяет пулу ликвидности одобрять передачу токенов на адрес Rug Puller при создании пула ликвидности, что позволяет адресу Rug Puller напрямую выводить токены из пула ликвидности.

Рисунок 9 функция openTrading в контракте токена TOMMI

Рисунок 10 функция onInit в контракте токена TOMMI

Реализация функции openTrading показана на рис. 9, и ее основная цель - создать новый пул ликвидности. Однако злоумышленники вызывают функцию backdoor onInit (как показано на рис. 10), что приводит к тому, что uniswapV2Pair одобряет передачу токенов на _chefAddress для всего объема токенов (type(uint256)). Здесь uniswapV2Pair - это адрес пула ликвидности, а _chefAddress - адрес Rug Puller, который устанавливается во время развертывания контракта (как показано на рис. 11).

Рисунок 11 Конструктор в контракте токена TOMMI

·Шаблонные методы мошенничества

Анализируя дело TOMMI, мы можем выделить следующие четыре ключевых особенности:

1. Разработчик получает средства от централизованных бирж: Злоумышленники сначала предоставляют финансирование для адреса разработчика через централизованную биржу.
2. Создатель создает пул ликвидности и уничтожает токены LP: После создания токена Rug Pull Создатель немедленно устанавливает пул ликвидности и уничтожает токены LP, что увеличивает доверие к проекту и привлекает больше инвесторов.
3. Rug Puller использует большие объемы токенов для обмена на ETH в ликвидности пула: Rug Puller использует значительное количество токенов (часто превышающих общее количество токенов) для обмена на ETH в ликвидности пула. В некоторых случаях Rug Puller также удаляет ликвидность, чтобы вывести ETH из пула.

4. Мошенник переводит полученные от мошенничества ETH на адрес удержания: Мошенник перемещает ETH, полученный от мошенничества, на адрес удержания, иногда проходя через промежуточный адрес.

Эти функции часто наблюдаются в случаях, которые мы выявили, что подчеркивает явные закономерности мошеннических действий. Кроме того, после завершения мошенничества, украденные средства обычно консолидируются на удерживающем адресе. Это говорит о том, что эти, казалось бы, изолированные случаи мошенничества могут быть связаны с одной и той же группой или даже одной мошеннической сетью.

На основе этих шаблонов мы разработали профиль поведения Rug Pull и начали его использовать для сканирования и обнаружения других связанных случаев с целью профилирования потенциальных групп мошенников.

Группа мошенничества Rug Pull

· Расследование адресов удержания фонда

Как уже упоминалось, случаи мошенничества Rug Pull обычно консолидируют средства на адреса удержания фонда. Исходя из этого шаблона, мы выбрали несколько очень активных адресов удержания фонда с явными характеристиками мошеннических тактик для глубокого анализа.

Мы выявили 7 адресов удержания фондов, связанных с 1 124 случаями мошенничества Rug Pull, успешно обнаруженных нашей системой мониторинга атак на цепочке (CertiK Alert). После осуществления мошенничества банда Rug Pull собирает незаконные прибыли на этих адресах удержания фондов. Затем эти адреса разделяют средства, используя их для создания новых токенов для будущих мошеннических схем Rug Pull, манипулирования пулами ликвидности и осуществления других мошеннических действий. Кроме того, некоторые из удерживаемых средств выводятся через централизованные биржи или платформы мгновенного обмена.

Данные по адресам удержания фонда показаны в Таблице 1::

Анализируя затраты и доходы каждой мошеннической схемы “Rug Pull”, связанной с этими адресами удержания средств, мы получили данные, представленные в Таблице 1.

В типичной схеме мошенничества Rug Pull группа Rug Pull обычно использует один адрес в качестве Деплоера для токена Rug Pull и получает стартовые средства через централизованную биржу для создания токена Rug Pull и соответствующего пула ликвидности. Как только достаточное количество пользователей или новых ботов-токенов привлечено для покупки токена Rug Pull с использованием ETH, группа Rug Pull использует другой адрес в качестве Разводящего, чтобы осуществить мошенничество, переведя средства на адрес сохранения фонда.

В этом процессе ETH, полученный Деплойером через выводы обмена или ETH, инвестированный при создании пула ликвидности, рассматривается как стоимость мошенничества (конкретный расчет зависит от действий Деплойера). ETH, переведенный на адрес сохранения фонда (или промежуточные адреса) после завершения мошенничества, считается доходом от мошенничества. Данные о доходах и расходах, как показано в таблице 1, были рассчитаны на основе цены ETH/USD (1 ETH = 2 513,56 USD на 31 августа 2024 года), при интеграции данных использовалась актуальная цена.

Важно отметить, что во время мошенничества банда Rug Pull также может приобретать свой собственный созданный токен Rug Pull, используя ETH, имитируя нормальные активности пула ликвидности, чтобы привлечь больше новых ботов для токенов. Однако эта стоимость не включена в расчеты, поэтому данные в Таблице 1 немного завышают фактическую прибыль банды Rug Pull. Реальная прибыль была бы немного ниже.

Рисунок 12: Круговая диаграмма доли прибыли для адресов удержания фонда

Используя данные о прибыли из Таблицы 1 для каждого адреса, мы сгенерировали круговую диаграмму доли прибыли, показанную на Рисунке 12. Три адреса с наибольшей долей прибыли - 0x1607, 0xDF1a и 0x2836. Адрес 0x1607 заработал наибольшую прибыль, примерно 2,668.17 ETH, что составляет 27.7% от общей прибыли всех адресов.

Фактически, даже если средства в конечном итоге консолидируются в различные адреса удержания фонда, общие черты среди связанных случаев (такие как реализации задней двери и методы вывода наличных) заставляют нас сильно подозревать, что эти адреса удержания фонда могут быть контролируемыми одной и той же мошеннической группировкой.

Так, есть ли связь между этими адресами для удержания средств?

· Исследование связи между адресами удержания фондов

Рисунок 13: Диаграмма потока фондов адресов удержания фондов

Ключевой показатель для определения наличия взаимосвязи между адресами удержания средств - это изучение наличия прямых переводов между этими адресами. Для проверки связей между этими адресами удержания средств мы выполнили анализ исторических транзакций.

В большинстве случаев мошенничества Rug Pull, которые мы проанализировали, средства от каждой аферы обычно переходят только на один адрес для сохранения фондов. Поэтому невозможно отследить средства, чтобы прямо связать разные адреса для сохранения фондов. Чтобы решить эту проблему, мы отслеживали движение средств между этими адресами, чтобы выявить любые прямые связи. Результаты нашего анализа показаны на рисунке 13.

Важно отметить, что 0x1d39 и 0x6348 на рисунке 13 являются общими адресами контрактов инфраструктуры Rug Pull. Эти адреса удержания средств используют эти два контракта для разделения средств и отправки их на другие адреса, где эти средства используются для фальсификации объема торговли токенами Rug Pull.

Исходя из прямых отношений передачи ETH, показанных на рисунке 13, мы разделили эти адреса удержания средств на 3 группы:

1. 0xDF1a и 0xDEd0;
2. 0x1607 и 0x4856;
3. 0x2836, 0x0573, 0xF653 и 0x7dd9.

Внутри каждой группы есть прямые переводы, но переводы между группами не происходят. Это говорит о том, что эти 7 адресов, удерживающих средства, могут рассматриваться как принадлежащие 3 отдельным группам. Однако все три группы используют одинаковые контракты инфраструктуры для разделения ETH для операций Rug Pull, связывая их в одну организованную группу. Это говорит о том, что эти адреса, удерживающие средства, фактически контролируются одной мошеннической сетью?

Этот вопрос открыт для рассмотрения.

· Расследование общей инфраструктуры

Как уже упоминалось ранее, общие адреса инфраструктуры:

0x1d3970677aa2324E4822b293e500220958d493d0 и 0x634847D6b650B9f442b3B582971f859E6e65eB53.

Адрес 0x1d39 в основном имеет две функции: «multiSendETH» и «0x7a860e7e». Основная функция multiSendETH - это разделение передач. Адреса сохранения фондов используют multiSendETH для распределения части средств на несколько адресов, подделывая торговый объем токенов Rug Pull. Подробности транзакции показаны на рисунке 14.

Эта операция разделения помогает злоумышленникам имитировать активность токенов, делая токены более привлекательными, тем самым привлекая больше пользователей или новых ботов для покупки токенов. С помощью этого метода банда Rug Pull еще больше усиливает обман и сложность своей аферы.

Рисунок 14: Информация о транзакции разделения фонда по 0x1d39

Функция 0x7a860e7e используется для покупки токенов Rug Pull. После получения разделенных средств адреса, замаскированные под обычных пользователей, либо напрямую взаимодействуют с маршрутизатором Uniswap для покупки токенов Rug Pull, либо используют функцию 0x7a860e7e для совершения этих покупок, имитируя торговую активность.

Основные функции в 0x6348 аналогичны тем, которые есть в 0x1d39, единственное отличие заключается в том, что функция покупки токенов Rug Pull называется 0x3f8a436c.

Для лучшего понимания как группа Rug Pullиспользует эти инфраструктуры, мы проанализировали и изучили историю транзакций обоих 0x1d39 и 0x6348, и отслеживал, с какой частотой внешние адреса использовали эти функции. Результаты показаны в Таблицы 2 и 3.

Из таблиц 2 и 3 ясно, что банда Rug Pull следует четкой стратегии при использовании этих инфраструктурных адресов. Они используют только несколько адресов для удержания средств или промежуточных адресов для разделения средств, но привлекают большое количество других адресов для подделки объема торговли токенами Rug Pull. Например, 6 224 адреса были задействованы в подделке объема торговли через 0x6348, что значительно усложняет задачу различения между адресами атакующих и жертв.

Стоит отметить, что Группа мошенничества Rug Pullне только полагается на адреса инфраструктуры для подделки объема торговли - некоторые адреса также непосредственно меняют токены на биржах, чтобы подделать объем.

Кроме того, мы отслеживали использование этих двух инфраструктурных адресов по 7 адреса удержания средстви рассчитана общая сумма ETH, затраченная на каждую функцию. Результаты показаны в Таблицы 4 и 5.

Из таблиц 4 и 5 видно, что адреса сохранения средств использовали инфраструктуру для разделения средств 3 616 раз, на общую сумму 9 369,98 ETH. За исключением 0xDF1a, все адреса сохранения средств использовали инфраструктуру только для разделения средств, в то время как покупки токенов Rug Pull были завершены получающими адресами. Это демонстрирует четкий и организованный подход банды Rug Pull к их мошенничеству.

0x0573 не использовал инфраструктуру для разделения средств, а вместо этого средства, используемые для фальсификации объема торговли, поступали с других адресов, что указывает на некоторую изменчивость в работе различных адресов удержания средств.

Проанализировав связи между этими адресами хранения средств и использованием ими инфраструктуры, мы теперь имеем более полную картину того, как эти адреса связаны. Операции банды Rug Pull гораздо более профессиональны и организованы, чем мы первоначально предполагали, что еще раз наводит на мысль о том, что за этими аферами стоит хорошо скоординированная преступная группа, осуществляющая их систематически.

· Расследование источника средств мошенничества

При проведении Rug Pull банда Rug Pull обычно использует новую внешнюю учетную запись (EOA) в качестве Deployer для запуска токена Rug Pull, при этом эти адреса Deployer обычно получают первоначальные средства через централизованные биржи (CEX) или платформы мгновенного обмена. Чтобы получить более полное представление об источнике средств, мы проанализировали случаи Rug Pull, связанные с упомянутыми ранее адресами хранения средств, чтобы получить более подробную информацию о том, как берутся мошеннические средства.

Таблица 6 показывает распределение меток источника средств Размещающего для каждого адреса сохранения фонда, связанного с случаями мошенничества Rug Pull.

Изучив данные в таблице 6, мы видим, что большинство средств для развертывания токена Rug Pull в этих случаях поступают с централизованных бирж (CEX). Из 1124 анализируемых случаев Rug Pull 1069 (95,11%) имели средства, происходящие из горячих кошельков централизованных бирж. Это означает, что для большинства этих случаев Rug Pull мы можем проследить конкретных владельцев счетов, изучая информацию о KYC и историю выводов с централизованных бирж, что может предоставить важные подсказки для решения дела. Дальнейшее расследование показало, что эти банды Rug Pull часто получают средства из нескольких горячих кошельков бирж, и частота и распределение использования этих кошельков примерно одинаковы. Это говорит о том, что банда Rug Pull намеренно увеличивает независимость потока средств каждого случая Rug Pull, что затрудняет его прослеживаемость и усложняет любые расследовательские действия.

Через детальный анализ адресов удержания фондов и случаев мошенничества Rug Pull, мы разработали профиль этих банд Rug Pull: они высококвалифицированные, с четкими ролями и обязанностями, хорошо спланированные и высоко организованные. Эти характеристики подчеркивают высокий уровень профессионализма и системную природу их мошеннических операций.

Учитывая уровень организации этих банд, мы начали задавать себе вопрос: как эти мошеннические банды манипулируют пользователями, чтобы те находили и покупали их токены Рug Pull? Чтобы ответить на этот вопрос, мы сосредоточились на адресах жертв в этих случаях Рug Pull и начали расследовать, как эти банды заманивают пользователей, чтобы они участвовали в их мошеннических схемах.

· Расследование адресов пострадавших

Проанализировав ассоциации фондов, мы составили список адресов банд Rug Pull, который мы ведем в виде черного списка. Затем мы извлекли адреса жертв из транзакции.

Анализируя эти адреса жертв, мы получили связанную информацию об адресах жертв, связанных с адресами удержания фондов (Таблица 7) и их данных взаимодействия с контрактом (Таблица 8).

Из данных в таблице 7 мы видим, что в среднем в каждом случае Rug Pull в Rug Pull случаях, зафиксированных нашей системой мониторинга on-chain (CertiK Alert), есть 26,82 адреса пострадавших. Это число выше, чем мы изначально ожидали, что указывает на то, что влияние этих случаев Rug Pull больше, чем мы изначально думали.

В таблице 8 мы можем видеть, что среди контрактных взаимодействий для адресов жертв, покупающих токены Rug Pull, в дополнение к более традиционным методам покупки через такие платформы, как Uniswap и MetaMask Swap, 30,40% токенов Rug Pull были куплены через известные платформы снайперских ботов, такие как Maestro и Banana Gun.

Это открытие подчеркивает, что шпионские боты на блокчейне могут быть важным рекламным каналом для группы Rug Pull. Эти шпионские боты позволяют группе Rug Pull быстро привлекать участников, особенно тех, кто сосредоточен на инвестициях в новые токены. В результате, мы обратили внимание на эти шпионские боты на блокчейне, чтобы лучше понять их роль в мошенничестве Rug Pull и как они способствуют продвижению этих фальшивых схем.

Продвижение Токенов Rug Pull в каналах

Мы провели исследование текущей экосистемы новых токенов Web3, изучили модели работы ботов-снайперов on-chain и совместили некоторые социальные инженерные техники, чтобы выявить два потенциальных канала рекламы группы Rug Pull: Twitter и Telegram.

Важно отметить, что эти аккаунты в Twitter и группы в Telegram не были специально созданы бандой Rug Pull, а вместо этого являются основными компонентами новой экосистемы токенов. Они управляются и поддерживаются сторонними организациями, такими как ончейн-команды ботов-снайперов или профессиональные группы по инвестированию новых токенов, с целью продвижения недавно выпущенных токенов инвесторам. Эти группы стали естественными рекламными каналами для банды Rug Pull, которая использует их для привлечения пользователей к покупке вредоносных токенов, тем самым осуществляя свои аферы.

· Реклама Twitter

Рисунок 15 Реклама TOMMI токена в Twitter

На рисунке 15 показана реклама TOMMI токена в Twitter. Как мы видим, банда Rug Pull использовала новую услугу продвижения токенов Dexed.com, чтобы объявить о своем токене Rug Pull и привлечь более широкую аудиторию потенциальных жертв. В ходе нашего расследования мы обнаружили, что многие токены Rug Pull имели рекламу на Twitter, обычно от аккаунтов Twitter, управляемых разными организациями-третьими лицами.

· Реклама в группе Telegram

Рисунок 16: Группа продвижения нового токена Banana Gun

На рисунке 16 показана группа Telegram, запущенная командой Banana Gun, посвященная продвижению только что запущенных токенов. Эта группа не только делится базовой информацией о новых токенах, но также предоставляет пользователям простой доступ к их покупке. После настройки Banana Gun Sniper Bot пользователи могут быстро купить токен, нажав кнопку «Snipe» (выделенную красным цветом на рисунке 16) рядом с продвижением токена в группе.

Мы вручную отобрали токены, продвигаемые в этой группе, и обнаружили, что большая их часть на самом деле являются токенами Rug Pull. Это открытие укрепляет наше убеждение в том, что группы Telegram, скорее всего, являются ключевым рекламным каналом для банды Rug Pull.

Следующий вопрос: какой процент новых токенов, продвигаемых третьими организациями, являются мошенническими токенами Rug Pull? Какова масштабность этих групп мошенников? Чтобы ответить на эти вопросы, мы решили провести систематическое сканирование и анализ данных о новых токенах, продвигаемых в группах Telegram, чтобы выявить масштаб связанных рисков и степень мошеннической деятельности.

Анализ экосистемы токенов Ethereum

· Анализ токенов, продвигаемых в Telegram-группах

Для оценки доли токенов Rug Pull среди недавно продвигаемых токенов в группах Telegram мы собрали данные о недавно запущенных токенах Ethereum, продвигаемых Banana Gun, Unibot и другими группами сообщений о токенах от третьих сторон с октября 2023 года по август 2024 года с использованием API Telegram. Мы обнаружили, что за этот период эти группы продвинули общее количество 93 930 токенов.

Основываясь на нашем анализе случаев мошенничества, банды мошенников обычно создают пулы ликвидности для мошеннических токенов в Uniswap V2 и вводят ETH. После того, как пользователи или новые боты токенов покупают мошеннические токены, атакующие получают прибыль, продавая или удаляя ликвидность, обычно завершая процесс в течение 24 часов.

Поэтому мы создали следующие правила обнаружения токенов Rug Pull и применили их для сканирования 93 930 токенов, чтобы определить долю токенов Rug Pull среди новых токенов, продвигаемых в группах Telegram:

1. За последние 24 часа нет переводов для целевого токена: Мошеннические токены обычно прекращают активность после сброса;
2. В Uniswap V2 существует пул ликвидности между целевым токеном и ETH: банды Rug Pull создают пулы ликвидности между токеном и ETH в Uniswap V2;
3. Общее количество событий передачи с момента создания токена не превышает 1 000: Мошеннические токены обычно имеют меньше транзакций, поэтому количество передач относительно небольшое;
4. В последних 5 транзакциях присутствуют крупные выводы ликвидности или дампы: Токены Мошенничества обычно заканчиваются крупными выводами ликвидности или дампами.

Мы применили эти правила к токенам, продвигаемым в группах Telegram, и результаты показаны в Таблице 10.

Как показано в Таблице 9, из 93 930 токенов, продвигаемых в группах Telegram, 46 526 были идентифицированы как токены Rug Pull, что составляет 49,53% от общего числа. Это означает, что почти половина токенов, продвигаемых в группах Telegram, являются токенами Rug Pull.

Учитывая, что некоторые команды проектов также могут выводить ликвидность после неудачи проекта, это поведение не должно автоматически рассматриваться как мошенничество Rug Pull. Поэтому мы рассмотрели потенциальное влияние ложноположительных результатов на анализ. Хотя Правило 3 помогает отфильтровать большинство подобных случаев, некоторые ошибочные суждения все же могут происходить.

Для более полного понимания влияния ложных срабатываний мы проанализировали активное время 46 526 токенов Rug Pull, и результаты показаны в таблице 10. Анализируя активные времена, мы можем лучше различать настоящее поведение Rug Pull и вывод ликвидности из-за неудачи проекта, что позволяет более точно оценить истинный масштаб деятельности Rug Pull.

Анализируя активные периоды, мы обнаружили, что 41 801 токенов Rug Pull имели активный период (от создания токена до окончательного Rug Pull) менее 72 часов, что составляет 89,84%. В обычных случаях 72 часа недостаточно для определения неудачи проекта, поэтому мы рассматриваем поведение Rug Pull с активным временем менее 72 часов как аномальное поведение вывода, не характерное для законных команд проекта.

Таким образом, даже в худшем случае оставшиеся 4 725 токенов Rug Pull с активным временем более 72 часов не соответствуют определению мошенничества Rug Pull в данной статье. Однако наш анализ все равно имеет значительную ценность, поскольку 89,84% случаев соответствуют ожиданиям. Более того, порог в 72 часа все еще относительно консервативен, так как при фактической выборке многие токены с активным временем более 72 часов все равно попадают в категорию мошенничества Rug Pull.

Интересно, 25 622 токена имели активное время менее 3 часов, что составляет 55,07%. Это показывает, что группы Мошенничества действуют с очень высокой эффективностью, с применением «краткосрочного и быстрого» подхода и чрезвычайно высокими оборотными капиталами.

Мы также оценили способы вывода наличных и шаблоны вызова контракта для 46 526 токенов Rug Pull, чтобы подтвердить тенденции банд Rug Pull.

Оценка методов вывода наличных средств в основном сосредоточена на том, как банды мошенников Rug Pull извлекали ETH из пулов ликвидности. Основные методы следующие:

1. Сброс токенов: банда Rug Pull использует токены, полученные через предварительное выделение или скрытый код, чтобы изымать все ETH из пула ликвидности.
2. Удаление ликвидности: банда Rug Pull удаляет все свои собственные средства, добавленные в пул ликвидности.

Оценка шаблонов вызова контракта рассматривала, с какими целевыми объектами контракта взаимодействовали банды Rug Pull в процессе мошенничества Rug Pull. Основные объекты:

1. Контракты роутера децентрализованной биржи: Используются для прямого управления ликвидностью.
2. Специальные контракты атаки: Самостроительные контракты, используемые для выполнения сложных мошеннических операций.

Оценивая методы вывода наличности и образцы вызова контрактов, мы можем дальше понять модус операнди и характеристики банды Мошенничество, что поможет нам лучше предотвращать и идентифицировать похожие мошенничества.

Соответствующие данные оценки для методов вывода наличных средств приведены в таблице 11.

Из данных оценки можно видеть, что количество случаев, когда банда Rug Pull использовала удаление ликвидности для обналичивания, составляет 32 131, что составляет 69,06%. Это указывает на то, что эти банды Rug Pull предпочитают удаление ликвидности для обналичивания, возможно, потому что оно проще и прямее, без необходимости создания сложных контрактов или дополнительных шагов. В отличие от обналичивания путем сброса токенов, банда Rug Pull должна настроить заднюю дверь в коде контракта токена, позволяя им приобретать необходимые для сброса токены без затрат. Этот процесс более сложный и рискованный, поэтому случаев, связанных с ним, меньше.

Соответствующие данные оценки для шаблонов вызова контрактов приведены в таблице 12.

Из таблицы 12 ясно видно, что банды мошенников предпочитают использовать контракт маршрутизатора Uniswap для выполнения операций мошенничества, сделав это 40 887 раз, что составляет 76,35% от общего числа операций. Общее число выполненных операций мошенничества составляет 53 552, что превышает количество токенов мошенничества (46 526). Это говорит о том, что в некоторых случаях банда мошенников выполняет несколько операций мошенничества, возможно, чтобы максимизировать прибыль или вывести деньги пакетами, нацеленными на разных жертв.

Затем мы провели статистический анализ данных о затратах и доходах для 46 526 токенов Мошенничества. Следует отметить, что мы рассматриваем полученные Rug Pull группой ETH с централизованных бирж или моментальных обменных сервисов до развертывания токена в качестве затрат, а восстановленные ETH при последнем Rug Pull - в качестве дохода для статистических целей. Фактические данные о затратах могут быть выше, так как мы не учли ETH, вложенные Мошенническими группами в фальшивые транзакции пула ликвидности.

Данные о затратах и доходах представлены в Таблице 13.

В статистическом анализе 46 526 мошеннических токенов Rug Pull общая конечная прибыль составляет 282 699,96 ETH с маржой прибыли 188,70%, что эквивалентно примерно 800 миллионам долларов. Хотя фактическая прибыль может быть немного ниже указанных цифр, общий объем средств остается чрезвычайно впечатляющим, что свидетельствует о том, что эти группы мошенников Rug Pull сгенерировали значительную прибыль через мошенничество.

Основываясь на анализе всей токеновых данных из групп Telegram, экосистема Ethereum уже переполнена большим количеством мошеннических токенов. Однако нам все еще нужно подтвердить важный вопрос: представляют ли эти токены, продвигаемые в группах Telegram, все токены, запущенные на основной сети Ethereum? Если нет, то какую долю от всех токенов, запущенных на основной сети Ethereum, они составляют?
Ответ на этот вопрос даст нам всеобъемлющее понимание текущей экосистемы токенов Ethereum. Поэтому мы начали проводить глубокий анализ токенов Ethereum mainnet, чтобы оценить охват токенов, продвигаемых в группах Telegram. Этот анализ позволит нам дополнительно прояснить серьезность проблемы Rug Pull в широкой экосистеме Ethereum и влияние групп Telegram на продвижение токенов.

· Анализ токенов Ethereum Mainnet

Мы просканировали данные блока с узлов RPC за тот же период (октябрь 2023 по август 2024 года), как и анализ токенов группы Telegram. Из этих блоков мы извлекли недавно развернутые токены (за исключением токенов, развернутых через прокси, так как в них очень мало случаев мошенничества). Мы получили общее количество токенов 154 500, из которых 54 240 были токенами ликвидности Uniswap V2 (LP), которые исключены из области действия данной статьи.

После фильтрации LP-токенов у нас осталось 100 260 токенов. Соответствующая информация приведена в таблице 14.

Мы применили наши правила обнаружения мошенничества к этим 100 260 токенам, и результаты показаны в Таблице 15.

Из 100 260 обнаруженных токенов мы идентифицировали 48 265 токенов Rug Pull, что составляет 48,14% от общего количества — это практически идентичное соотношение токенов Rug Pull в токенах, продвигаемых в группе Telegram.

Для более детального анализа перекрытия токенов, продвигаемых в группах Telegram, и тех, которые развернуты на основной сети Ethereum, мы сравнили данные для обоих наборов токенов. Результаты представлены в Таблице 16.

Из таблицы 16 мы видим, что пересечение между токенами, продвигаемыми в группе Telegram, и токенами основной сети Ethereum содержит 90 228 токенов, что составляет 89,99% токенов основной сети. Есть 3 703 токена, продвигаемых в группах Telegram, которые не найдены в основной сети. Эти токены развернуты через прокси и не были включены в нашу основную захват токенов.

На главной сети есть 10 032 токена, которые не были размещены в группах Telegram, вероятно, потому что их отфильтровали правила продвижения из-за недостаточной привлекательности или невыполнения определенных критериев.

Затем мы провели обнаружение мошенничества на 3 703 токенах, развернутых через прокси, и обнаружили только 10 токенов-мошенников. Это указывает на то, что токены, развернутые через прокси, имеют незначительное влияние на результаты обнаружения мошенничества в группах Telegram, и результаты обнаружения сильно соответствуют результатам токенов основной сети.

Адреса 10 токенов Rug Pull, развернутых через прокси, перечислены в таблице 17. Если вас интересует, вы можете более подробно изучить эти адреса. Мы не будем продолжать эту тему здесь.

Этот анализ подтверждает, что доля токена Rug Pull в телеграм-группах тесно соответствует его доле на основной сети Ethereum, что еще раз подчеркивает важность и влияние этих рекламных каналов в текущей экосистеме Rug Pull.

Теперь мы можем ответить на вопрос, а именно, покрывают ли токены, размещенные в группе Telegram, все токены, запущенные в основной сети Ethereum, и если нет, какую долю они составляют?

Ответ заключается в том, что токены, продвигаемые группой Telegram, составляют около 90% основной сети, и их результаты теста Rug Pull в высшей степени согласуются с результатами теста Rug Pull токенов основной сети. Следовательно, предыдущее обнаружение Rug Pull и анализ данных токенов, продвигаемых группами Telegram, в основном могут отражать текущее состояние экологии токенов основной сети Ethereum.

Как уже упоминалось ранее, токены Rug Pull на главной сети Ethereum составляют примерно 48,14%, но нас также интересует оставшиеся 51,86% токенов, которые не являются Rug Pull. Даже исключая токены Rug Pull, всё еще существует 51 995 токенов в неизвестном состоянии, что гораздо больше, чем мы ожидали для разумного количества токенов. Поэтому мы провели статистический анализ времени от создания до окончательной остановки активности для всех токенов на основной сети, и результаты представлены в Таблице 18.

Согласно данным из таблицы 18, при изучении всей основной сети Ethereum существует 78,018 токенов, существующих менее 72 часов, что составляет 77,82% от общего числа. Эта цифра значительно превышает количество токенов Rug Pull, которые мы выявили, что указывает на то, что наши правила обнаружения не охватывают все случаи Rug Pulls. Действительно, наши случайные выборочные тесты показали некоторые токены Rug Pull, которые изначально остались незамеченными. Кроме того, это может указывать на наличие других видов мошенничества, таких как фишинговые атаки или пирамидальные схемы, требующие дальнейшего исследования.

Кроме того, существует 22 242 токена с жизненным циклом более 72 часов. Однако эти токены не являются основной целью нашего исследования, что подразумевает, что дополнительные детали остаются нераскрытыми. Из них некоторые токены могут принадлежать проектам, которые потерпели неудачу или имели базу пользователей, но не имели устойчивой поддержки развития. Рассказы и причины этих токенов могут раскрывать сложные рыночные динамики.

Экосистема токенов на основной сети Ethereum гораздо сложнее, чем ожидалось, она полна как краткосрочных, так и долгосрочных проектов, а также постоянных рисков мошенничества. Основная цель этой статьи - привлечь внимание к этим проблемам, с надеждой, что она сделает людей осведомленными о продолжающейся секретной деятельности преступников. Поделившись этим анализом, мы надеемся вызвать дополнительный интерес и исследования в этих вопросах, в конечном итоге улучшая безопасность всей блокчейн-экосистемы.

Отражения

Факт того, что токены Rug Pull составляют 48,14% всех новых токенов, выпущенных на основной сети Ethereum, является тревожно значимым. Этот коэффициент указывает на то, что на каждые два токена, запущенные на Ethereum, вероятно, один является мошенническим, что отражает хаотическое и беспорядочное состояние экосистемы Ethereum в определенной степени. Однако реальные опасения выходят за рамки только экосистемы токенов Ethereum. Мы заметили, что количество случаев Rug Pull на других блокчейн-сетях превышает их количество на Ethereum, что указывает на то, что экосистемы токенов на этих сетях также требуют тщательного исследования.

Несмотря на высокую долю токенов Rug Pull, на Ethereum ежедневно запускается около 140 новых токенов, что далеко превышает нормальный уровень. Какие неизвестные секреты могут скрываться у этих других, не мошеннических токенов? Это важные вопросы, которые требуют глубокого размышления и дальнейших исследований.

Кроме того, в этой статье подчеркиваются несколько ключевых проблем, требующих более глубокого изучения:

1. Выявление банд мошенников: С учетом большого количества обнаруженных случаев мошенничества, как мы можем эффективно определить количество отдельных банд мошенников, стоящих за этими случаями, и выяснить, есть ли связи между ними? Анализ финансовых потоков и общих адресов может быть решающим.
2. Различение жертв от нападающих: разграничение между жертвами и нападающими является важным для выявления мошенничества. Однако грань между адресами жертв и нападающих часто может быть размытой, что требует более точных методов.
3. Развитие системы обнаружения мошенничества: Текущая система обнаружения мошенничества в основном основана на анализе после события. Можем ли мы разработать методы для обнаружения потенциальных рисков мошенничества в активных токенах в режиме реального времени или даже превентивно, чтобы идентифицировать их раньше? Эта возможность может помочь снизить убытки и облегчить своевременные вмешательства.
4. Стратегии прибыли банд мошенничества: При каких условиях банды мошенничества решают вывести наличные? Понимание их стратегий прибыли может помочь предсказать и предотвратить инциденты мошенничества.
5. Исследование других рекламных каналовТак как Twitter и Telegram являются известными каналами для продвижения мошеннических токенов, используются ли также и другие платформы? Потенциальные риски, связанные с форумами, другими социальными медиа и рекламными платформами, также требуют особого внимания.

Это сложные вопросы, требующие дальнейшего обсуждения и исследования, которые мы оставляем для продолжающегося изучения и дебатов. Быстрое развитие экосистемы Web3 требует не только технологических прорывов, но и более широкого мониторинга и глубокого исследования для решения изменяющихся рисков и вызовов.

Предложения

Учитывая распространенность мошенничества в экосистеме запуска токенов, инвесторам Web3 необходимо проявлять чрезвычайную осторожность. Поскольку банды мошенников и антифрауд-команды улучшают свои тактики, для инвесторов становится все сложнее выявлять мошеннические токены или проекты.

Инвесторам, заинтересованным в новом рынке токенов, наши эксперты по безопасности предлагают следующее:

1. Используйте надежные централизованные биржи: Предпочтение отдавайте покупке новых токенов через известные централизованные биржи, которые обычно имеют более жесткую проверку проектов и предлагают более высокую безопасность.
2. Проверьте официальные источники на децентрализованных биржах: Убедитесь, что токены приобретены по официальным контрактным адресам и избегайте токенов, продвигаемых через неофициальные или подозрительные каналы.
3. Исследуйте веб-сайт проекта и сообщество: Отсутствие официального веб-сайта или активного сообщества часто сигнализирует о повышенном риске. Будьте особенно осторожны с токенами, продвигаемыми через группы в Twitter и Telegram, которые могли не пройти проверку безопасности.
4. Проверьте время создания токена: избегайте токенов, созданных менее трех дней назад, так как токены Rug Pull обычно имеют очень короткий активный период.
5. Используйте услуги безопасности третьих сторон: При возможности используйте услуги сканирования токенов, предлагаемые сторонними организациями по безопасности, для оценки безопасности целевых токенов.

Призыв к действию

Помимо мошеннических схем Rug Pull, которые являются основным объектом изучения в данной работе, все больше подобных преступников начинают использовать инфраструктуру и механизмы различных секторов или платформ в рамках индустрии Web3 для незаконной прибыли, что значительно ухудшает ситуацию с безопасностью текущей экосистемы Web3. Нам нужно начать обращать внимание на проблемы, которые часто упускаются, чтобы предотвратить возможности для преступников.

Как уже упоминалось, поток средств от схем мошенничества Rug Pull в конечном итоге проходит через крупные биржи, но мы считаем, что поток средств, связанный с мошенническими схемами Rug Pull, это лишь вершина айсберга. Масштаб злонамеренных средств, проходящих через биржи, может быть далеко за пределами нашего воображения. Поэтому мы настоятельно призываем крупные биржи внедрить более строгие регуляторные меры против этих злонамеренных потоков, активно бороться с незаконными и мошенническими деятельностями и обеспечить безопасность средств пользователей.

Также вызывает опасения предоставление услуг, таких как продвижение проектов и ботов-снайперов на блокчейне, инфраструктура которых действительно стала инструментом для получения прибыли мошенническими группами. Поэтому мы призываем всех сторонних поставщиков услуг усилить проверку безопасности своих продуктов или контента, чтобы предотвратить их злоупотребление преступниками.

Кроме того, мы призываем всех потерпевших, в том числе арбитражников MEV и обычных пользователей, активно использовать инструменты сканирования безопасности для оценки неизвестных проектов перед инвестированием, обращаться к рейтингам проектов авторитетных организаций по безопасности и активно раскрывать злонамеренные действия преступников, чтобы выявлять незаконные явления в отрасли.

Как профессиональная команда по безопасности, мы также призываем всех специалистов в области безопасности активно обнаруживать, идентифицировать и бороться с незаконными действиями, проявлять инициативу в своих усилиях и обеспечивать финансовую безопасность пользователей.

В домене Web3 пользователи, разработчики проектов, биржи, арбитражники MEV и другие поставщики сторонних услуг играют важную роль. Мы надеемся, что каждый участник сможет внести свой вклад в устойчивое развитие экосистемы Web3 и совместно работать над созданием более безопасной, прозрачной блокчейн-среды.

Отказ от ответственности:

1. Эта статья воспроизводится из [ Panewslab]. Авторские права принадлежат оригинальному автору [ SomeK]. Если у вас есть какие-либо возражения против перепечатки, пожалуйста, свяжитесь с нами Gate Learnкоманда, команда обработает это как можно скорее в соответствии с соответствующими процедурами.
2. Отказ от ответственности: Мнения и взгляды, выраженные в этой статье, представляют только личные взгляды автора и не являются инвестиционными советами.
3. Команда Gate Learn переводит другие языковые версии статьи. Если не указано иное, переведенная статья не может быть скопирована, распространена или использована в качестве источника.