تحقيق عميق في حالات سحب البساط، يكشف الفوضى في نظام عملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا كم عدد العملات الجديدة التي تصدر كل يوم؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس عبثيًا. على مدار الأشهر القليلة الماضية، تمكن فريق الأمان من捕捉 إلى عدد كبير من حالات عمليات سحب البساط. ومن الجدير بالذكر أن جميع العملات التي تم تضمينها في هذه الحالات هي عملات جديدة تم إدراجها مؤخرًا في السلسلة.
بعد ذلك، تم إجراء تحقيقات معمقة حول هذه الحالات من سحب البساط، واكتشف وجود عصابات منظمين وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال التحليل العميق لأساليب عمل هذه العصابات، تم اكتشاف أحد طرق الاحتيال المحتملة لعصابات سحب البساط: مجموعات تيليجرام. تستغل هذه العصابات ميزة "مغير الرموز الجديدة" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الربح من خلال سحب البساط.
تم إحصاء معلومات دفع العملات من مجموعات Telegram هذه من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجد أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من العملات المتعلقة بعمليات Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. وفقًا للإحصاءات، كانت التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات التي تعرضت لعمليات Rug Pull هي 149,813.72 إيثيريوم، وقد حققوا أرباحًا تصل إلى 282,699.96 إيثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم حصة العملة الجديدة التي تم دفعها من خلال مجموعة تيليغرام في شبكة إثيريوم الرئيسية، تم إحصاء بيانات العملات الجديدة التي أصدرت في شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه تم إصدار 100,260 عملة جديدة خلال هذه الفترة، حيث تشكل العملات المدفوعة من خلال مجموعة تيليغرام 89.99% من الشبكة الرئيسية. يولد حوالي 370 عملة جديدة يوميًا في المتوسط، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيقات متعمقة، كانت الحقيقة مقلقة ------ حيث أن ما لا يقل عن 48,265 عملة تتعلق بعمليات احتيال من نوع Rug Pull، مما يشكل نسبة عالية تصل إلى 48.14%. بعبارة أخرى، فإن واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية تقريبًا تتعلق بعملية احتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات blockchain الأخرى. وهذا يعني أن الوضع الأمني لكل من عملات التوكن الجديدة في بيئة Web3 أكثر خطورة مما كان متوقعًا، وليس فقط في الشبكة الرئيسية لإثيريوم. لذلك، تم إعداد هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 في تعزيز وعيهم بالوقاية، والحفاظ على اليقظة في مواجهة الاحتيالات التي لا تنتهي، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعنا نفهم بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تتيح للعملات العمل بشكل متبادل بين عقود ذكية وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، والتحقق من الرصيد، وتفويض إدارة العملة لطرف ثالث، وغيرها. بفضل هذا البروتوكول الموحد، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي شخص أو منظمة إصدار عملتها الخاصة بناءً على معيار ERC-20، وجمع الأموال لمشاريع مالية متنوعة من خلال بيع العملات مسبقًا. وبسبب الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها جميعًا عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 ضارة تحتوي على أبواب خلفية في الشيفرة، ثم إدراجها في البورصات اللامركزية، مما يؤدي إلى إغراء المستخدمين للشراء.
حالات الاحتيال النموذجية لعملة سحب السجادة
هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم نمط تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull يشير إلى تصرف احتيالي حيث يقوم الفريق القائم على المشروع في مشاريع التمويل اللامركزية بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما فإن عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملة Rug Pull المذكورة في هذه المقالة أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة خدعة الخروج (Exit Scam)", ولكن في النص أدناه سنشير إليها بشكل موحد باسم عملة Rug Pull.
حالة
المهاجمون (عصابة Rug Pull) استخدموا عنوان Deployer لنشر عملة TOMMI، ثم قاموا باستخدام 1.5 ETH و100,000,000 عملة TOMMI لإنشاء بركة سيولة، وشراء عملة TOMMI من عناوين أخرى بشكل نشط لتزوير حجم تداول بركة السيولة من أجل جذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء في الفخ، يستخدم المهاجم عنوان Rug Puller لتنفيذ Rug Pull، حيث يقوم Rug Puller ببيع 38,739,354 عملة TOMMI من بركة السيولة، واستبدالها بحوالي 3.95 ETH. مصدر عملات Rug Puller يأتي من تفويض approve الخبيث لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات approve لبركة السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ Rug Pull.
عملية سحب السجادة
إعداد أموال الهجوم.
المهاجم يقوم بتحميل 2.47309009 ايثر إلى منشئ العملة من خلال تبادل معين كأموال بدء لسحب البساط.
نشر عملة Rug Pull تحمل باب خلفي.
Deployer أنشأ عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
إنشاء حوض السيولة الأولي.
قام المطور بإنشاء حوض السيولة باستخدام 1.5 ايثر وجميع العملات التي تم تعدينها مسبقًا، وحصل على حوالي 0.387 من عملات LP.
تدمير إجمالي عرض جميع العملات المسبقة الحفر.
سيقوم Token Deployer بإرسال جميع عملات LP إلى عنوان 0 للتدمير، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (وهذا أيضًا أحد الشروط اللازمة لجذب روبوتات الاشتراك الجديدة، حيث ستقوم بعض روبوتات الاشتراك الجديدة بتقييم ما إذا كانت العملة الجديدة الموجودة في الحوض تحمل مخاطر Rug Pull، كما أن Deployer سيقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الاشتراك الجديدة).
حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من مجمع السيولة، مما يرفع حجم التداول في المجمع، ويجذب المزيد من روبوتات الطرح الأول (الأساس الذي يُستدل به على أن هذه العناوين مزيفة هو أن الأموال المتعلقة بهذه العناوين تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بإطلاق Rug Pull عبر عنوان Rug Puller، وسحب 38,739,354 عملة مباشرة من حوض السيولة من خلال ثغرة في الرمز، ثم استخدم هذه العملات لتفريغ الحوض وسحب حوالي 3.95 ايثر.
المهاجم يرسل الأموال المستخلصة من Rug Pull إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان النقل إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه بعد اكتمال عملية سحب السجادة، سيرسل ساحب السجادة الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو مكان تجميع الأموال لحالات سحب السجادة الكبيرة التي تم رصدها، حيث ستقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة، بينما ستُسحب الكمية المتبقية القليلة من الأموال عبر أحد البورصات.
كود سحب البساط باب خلفي
على الرغم من أن المهاجمين حاولوا من خلال تدمير عملات LP إثبات أنهم غير قادرين على القيام بعملية Rug Pull، إلا أن المهاجمين في الواقع تركوا ثغرة خبيثة في دالة openTrading لعقد عملة TOMMI، حيث تسمح هذه الثغرة عند إنشاء تجمع السيولة بتفويض عنوان Rug Puller بسلطة نقل العملات، مما يتيح لعنوان Rug Puller سحب العملات مباشرة من تجمع السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يتم الحصول على التمويل من خلال أحد البورصات: يقوم المهاجم أولاً بتوفير مصدر التمويل لعنوان المنشئ (Deployer) من خلال إحدى البورصات.
يقوم المنشئ بإنشاء بركة السيولة وحرق رموز LP: بعد إنشاء رموز Rug Pull، يقوم المنشئ على الفور بإنشاء بركة سيولة لها وحرق رموز LP لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم Rug Puller بتبادل كمية كبيرة من العملات للحصول على ETH من صندوق السيولة: عنوان Rug Pull (Rug Puller) يستخدم كمية كبيرة من العملات (غالبًا ما تكون الكمية أكبر بكثير من إجمالي المعروض من العملات) لتبادلها بـ ETH من صندوق السيولة. في حالات أخرى، يقوم Rug Puller أيضًا بإزالة السيولة للحصول على ETH من الصندوق.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالتمويل: سيقوم Rug Puller بنقل ETH الذي حصل عليه إلى عنوان الاحتفاظ بالتمويل، وأحيانًا يتم الانتقال عبر عنوان وسيط.
تتواجد هذه الخصائص بشكل عام في الحالات التي قمنا بالتقاطها، مما يشير إلى أن سلوك سحب السجادة (Rug Pull) له ميزات نمطية واضحة. بالإضافة إلى ذلك، بعد الانتهاء من سحب السجادة، يتم عادة تجميع الأموال في عنوان الاحتفاظ بالأموال، مما يوحي بأن هذه الحالات التي تبدو مستقلة من سحب السجادة قد تتعلق بنفس العصابة أو نفس المجموعة من المحتالين.
استنادًا إلى هذه الميزات، قمنا باستخراج نمط سلوك لعملية سحب البساط، واستخدمنا هذا النمط لمسح الحالات التي تم رصدها، على أمل بناء صورة محتملة لعصابة الاحتيال.
عصابة سرقة الأموال
عنوان الاحتفاظ بالتمويل للتعدين
كما ذُكر أعلاه، عادةً ما تقوم حالات سحب البساط بجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. استنادًا إلى هذه النمط، اخترنا عددًا من عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بخصائص أساليب الاحتيال المرتبطة بها لإجراء تحليل متعمق.
دخلت إلى مجال رؤيتنا سبعة عناوين احتفاظ بالأموال، وهذه العناوين مرتبطة بـ 1,124 حالة سحب للأموال، والتي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ المخطط بنجاح، تقوم عصابات سحب الأموال بجمع الأرباح غير المشروعة في هذه العناوين الاحتفاظ بالأموال. وستقوم هذه العناوين الاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في مخططات سحب الأموال المستقبلية، والتلاعب بركائز السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال بعض بورصات العملات أو منصات تبادل فورية.
في عملية احتيال كاملة تُعرف باسم Rug Pull، عادةً ما يستخدم عصابة Rug Pull عنوانًا واحدًا كمنشئ (Deployer) لرمز Rug Pull، ويقومون بسحب الأموال من خلال تبادل ما للحصول على رأس المال اللازم لإنشاء رمز Rug Pull وحوض السيولة المناسب. عندما يتم جذب عدد كافٍ من المستخدمين أو روبوتات الشراء الجديدة لشراء رموز Rug Pull باستخدام ETH، تقوم عصابة Rug Pull باستخدام عنوان آخر كمنفذ (Rug Puller) لتنفيذ العملية، وتحويل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة أعلاه، سيتم اعتبار ETH الذي حصل عليه Deployer من خلال البورصة، أو ETH الذي استثمره Deployer عند إنشاء بركة السيولة، كتكاليف Rug Pull (تحدد كيفية الحساب بناءً على سلوك Deployer). بينما يتم اعتبار ETH الذي يتم نقله بعد الانتهاء من Rug Pull إلى عنوان الاحتفاظ بالأموال (أو عنوان وسيط آخر) كدخل لـ Rug Pull هذه.
من المهم أن نلاحظ أن عصابات Rug Pull عند تنفيذ الاحتيال، ستقوم أيضًا بشكل نشط باستخدام ايثر لشراء عملات Rug Pull التي أنشأوها بأنفسهم، لمحاكاة أنشطة تجمع السيولة الطبيعية، وبالتالي جذب روبوتات الشراء الجديدة. لكن هذه التكاليف لم يتم احتسابها، لذا فإن البيانات تبالغ في تقدير الأرباح الفعلية لعصابات Rug Pull، والأرباح الحقيقية ستكون أقل نسبيًا.
في الواقع، حتى لو تم تجميع الأموال في عناوين احتفاظ أموال مختلفة، إلا أنه بسبب وجود العديد من القواسم المشتركة بين الحالات المرتبطة بهذه العناوين (مثل طريقة تنفيذ ثغرات Rug Pull، ومسارات تحويل الأموال، وما إلى ذلك)، لا يزال لدينا شكوك قوية حول احتمال أن تنتمي هذه العناوين إلى نفس العصابة.
ارتباط بين عنوان احتياطي أموال التعدين
مؤشر مهم للتحقق مما إذا كانت هناك علاقة بين عناوين الاحتفاظ بالأموال هو النظر في ما إذا كانت هناك علاقة تحويل مباشرة بين هذه العناوين. للتحقق من العلاقة بين عناوين الاحتفاظ بالأموال،
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
إثيريوم جديدة عملة بيئة كبيرة دراسة: 48% تتعلق بعمليات احتيال Rug Pull خسائر تصل إلى 8 مليارات دولار
تحقيق عميق في حالات سحب البساط، يكشف الفوضى في نظام عملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا كم عدد العملات الجديدة التي تصدر كل يوم؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس عبثيًا. على مدار الأشهر القليلة الماضية، تمكن فريق الأمان من捕捉 إلى عدد كبير من حالات عمليات سحب البساط. ومن الجدير بالذكر أن جميع العملات التي تم تضمينها في هذه الحالات هي عملات جديدة تم إدراجها مؤخرًا في السلسلة.
بعد ذلك، تم إجراء تحقيقات معمقة حول هذه الحالات من سحب البساط، واكتشف وجود عصابات منظمين وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال التحليل العميق لأساليب عمل هذه العصابات، تم اكتشاف أحد طرق الاحتيال المحتملة لعصابات سحب البساط: مجموعات تيليجرام. تستغل هذه العصابات ميزة "مغير الرموز الجديدة" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الربح من خلال سحب البساط.
تم إحصاء معلومات دفع العملات من مجموعات Telegram هذه من نوفمبر 2023 حتى أوائل أغسطس 2024، ووجد أنه تم دفع 93,930 نوعًا جديدًا من العملات، منها 46,526 نوعًا من العملات المتعلقة بعمليات Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. وفقًا للإحصاءات، كانت التكلفة الإجمالية التي استثمرتها العصابات وراء هذه العملات التي تعرضت لعمليات Rug Pull هي 149,813.72 إيثيريوم، وقد حققوا أرباحًا تصل إلى 282,699.96 إيثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم حصة العملة الجديدة التي تم دفعها من خلال مجموعة تيليغرام في شبكة إثيريوم الرئيسية، تم إحصاء بيانات العملات الجديدة التي أصدرت في شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تظهر البيانات أنه تم إصدار 100,260 عملة جديدة خلال هذه الفترة، حيث تشكل العملات المدفوعة من خلال مجموعة تيليغرام 89.99% من الشبكة الرئيسية. يولد حوالي 370 عملة جديدة يوميًا في المتوسط، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيقات متعمقة، كانت الحقيقة مقلقة ------ حيث أن ما لا يقل عن 48,265 عملة تتعلق بعمليات احتيال من نوع Rug Pull، مما يشكل نسبة عالية تصل إلى 48.14%. بعبارة أخرى، فإن واحدة من كل عملتين جديدتين على شبكة إثيريوم الرئيسية تقريبًا تتعلق بعملية احتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب البساط في شبكات blockchain الأخرى. وهذا يعني أن الوضع الأمني لكل من عملات التوكن الجديدة في بيئة Web3 أكثر خطورة مما كان متوقعًا، وليس فقط في الشبكة الرئيسية لإثيريوم. لذلك، تم إعداد هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 في تعزيز وعيهم بالوقاية، والحفاظ على اليقظة في مواجهة الاحتيالات التي لا تنتهي، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20
قبل أن نبدأ هذا التقرير رسميًا، دعنا نفهم بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تتيح للعملات العمل بشكل متبادل بين عقود ذكية وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، والتحقق من الرصيد، وتفويض إدارة العملة لطرف ثالث، وغيرها. بفضل هذا البروتوكول الموحد، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي شخص أو منظمة إصدار عملتها الخاصة بناءً على معيار ERC-20، وجمع الأموال لمشاريع مالية متنوعة من خلال بيع العملات مسبقًا. وبسبب الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT و PEPE و DOGE التي نعرفها جميعًا عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 ضارة تحتوي على أبواب خلفية في الشيفرة، ثم إدراجها في البورصات اللامركزية، مما يؤدي إلى إغراء المستخدمين للشراء.
حالات الاحتيال النموذجية لعملة سحب السجادة
هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم نمط تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull يشير إلى تصرف احتيالي حيث يقوم الفريق القائم على المشروع في مشاريع التمويل اللامركزية بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما فإن عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملة Rug Pull المذكورة في هذه المقالة أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة خدعة الخروج (Exit Scam)", ولكن في النص أدناه سنشير إليها بشكل موحد باسم عملة Rug Pull.
حالة
المهاجمون (عصابة Rug Pull) استخدموا عنوان Deployer لنشر عملة TOMMI، ثم قاموا باستخدام 1.5 ETH و100,000,000 عملة TOMMI لإنشاء بركة سيولة، وشراء عملة TOMMI من عناوين أخرى بشكل نشط لتزوير حجم تداول بركة السيولة من أجل جذب المستخدمين وروبوتات الشراء على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء في الفخ، يستخدم المهاجم عنوان Rug Puller لتنفيذ Rug Pull، حيث يقوم Rug Puller ببيع 38,739,354 عملة TOMMI من بركة السيولة، واستبدالها بحوالي 3.95 ETH. مصدر عملات Rug Puller يأتي من تفويض approve الخبيث لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات approve لبركة السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من بركة السيولة ثم تنفيذ Rug Pull.
عملية سحب السجادة
المهاجم يقوم بتحميل 2.47309009 ايثر إلى منشئ العملة من خلال تبادل معين كأموال بدء لسحب البساط.
Deployer أنشأ عملة TOMMI، وتم تعدين 100,000,000 عملة وتوزيعها على نفسه.
قام المطور بإنشاء حوض السيولة باستخدام 1.5 ايثر وجميع العملات التي تم تعدينها مسبقًا، وحصل على حوالي 0.387 من عملات LP.
سيقوم Token Deployer بإرسال جميع عملات LP إلى عنوان 0 للتدمير، ونظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (وهذا أيضًا أحد الشروط اللازمة لجذب روبوتات الاشتراك الجديدة، حيث ستقوم بعض روبوتات الاشتراك الجديدة بتقييم ما إذا كانت العملة الجديدة الموجودة في الحوض تحمل مخاطر Rug Pull، كما أن Deployer سيقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك من أجل خداع برامج مكافحة الاحتيال الخاصة بروبوتات الاشتراك الجديدة).
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من مجمع السيولة، مما يرفع حجم التداول في المجمع، ويجذب المزيد من روبوتات الطرح الأول (الأساس الذي يُستدل به على أن هذه العناوين مزيفة هو أن الأموال المتعلقة بهذه العناوين تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بإطلاق Rug Pull عبر عنوان Rug Puller، وسحب 38,739,354 عملة مباشرة من حوض السيولة من خلال ثغرة في الرمز، ثم استخدم هذه العملات لتفريغ الحوض وسحب حوالي 3.95 ايثر.
المهاجم يرسل الأموال المستخلصة من Rug Pull إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان النقل إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه بعد اكتمال عملية سحب السجادة، سيرسل ساحب السجادة الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو مكان تجميع الأموال لحالات سحب السجادة الكبيرة التي تم رصدها، حيث ستقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب السجادة، بينما ستُسحب الكمية المتبقية القليلة من الأموال عبر أحد البورصات.
كود سحب البساط باب خلفي
على الرغم من أن المهاجمين حاولوا من خلال تدمير عملات LP إثبات أنهم غير قادرين على القيام بعملية Rug Pull، إلا أن المهاجمين في الواقع تركوا ثغرة خبيثة في دالة openTrading لعقد عملة TOMMI، حيث تسمح هذه الثغرة عند إنشاء تجمع السيولة بتفويض عنوان Rug Puller بسلطة نقل العملات، مما يتيح لعنوان Rug Puller سحب العملات مباشرة من تجمع السيولة.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يتم الحصول على التمويل من خلال أحد البورصات: يقوم المهاجم أولاً بتوفير مصدر التمويل لعنوان المنشئ (Deployer) من خلال إحدى البورصات.
يقوم المنشئ بإنشاء بركة السيولة وحرق رموز LP: بعد إنشاء رموز Rug Pull، يقوم المنشئ على الفور بإنشاء بركة سيولة لها وحرق رموز LP لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم Rug Puller بتبادل كمية كبيرة من العملات للحصول على ETH من صندوق السيولة: عنوان Rug Pull (Rug Puller) يستخدم كمية كبيرة من العملات (غالبًا ما تكون الكمية أكبر بكثير من إجمالي المعروض من العملات) لتبادلها بـ ETH من صندوق السيولة. في حالات أخرى، يقوم Rug Puller أيضًا بإزالة السيولة للحصول على ETH من الصندوق.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالتمويل: سيقوم Rug Puller بنقل ETH الذي حصل عليه إلى عنوان الاحتفاظ بالتمويل، وأحيانًا يتم الانتقال عبر عنوان وسيط.
تتواجد هذه الخصائص بشكل عام في الحالات التي قمنا بالتقاطها، مما يشير إلى أن سلوك سحب السجادة (Rug Pull) له ميزات نمطية واضحة. بالإضافة إلى ذلك، بعد الانتهاء من سحب السجادة، يتم عادة تجميع الأموال في عنوان الاحتفاظ بالأموال، مما يوحي بأن هذه الحالات التي تبدو مستقلة من سحب السجادة قد تتعلق بنفس العصابة أو نفس المجموعة من المحتالين.
استنادًا إلى هذه الميزات، قمنا باستخراج نمط سلوك لعملية سحب البساط، واستخدمنا هذا النمط لمسح الحالات التي تم رصدها، على أمل بناء صورة محتملة لعصابة الاحتيال.
عصابة سرقة الأموال
عنوان الاحتفاظ بالتمويل للتعدين
كما ذُكر أعلاه، عادةً ما تقوم حالات سحب البساط بجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. استنادًا إلى هذه النمط، اخترنا عددًا من عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بخصائص أساليب الاحتيال المرتبطة بها لإجراء تحليل متعمق.
دخلت إلى مجال رؤيتنا سبعة عناوين احتفاظ بالأموال، وهذه العناوين مرتبطة بـ 1,124 حالة سحب للأموال، والتي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على السلسلة. بعد تنفيذ المخطط بنجاح، تقوم عصابات سحب الأموال بجمع الأرباح غير المشروعة في هذه العناوين الاحتفاظ بالأموال. وستقوم هذه العناوين الاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في مخططات سحب الأموال المستقبلية، والتلاعب بركائز السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال بعض بورصات العملات أو منصات تبادل فورية.
في عملية احتيال كاملة تُعرف باسم Rug Pull، عادةً ما يستخدم عصابة Rug Pull عنوانًا واحدًا كمنشئ (Deployer) لرمز Rug Pull، ويقومون بسحب الأموال من خلال تبادل ما للحصول على رأس المال اللازم لإنشاء رمز Rug Pull وحوض السيولة المناسب. عندما يتم جذب عدد كافٍ من المستخدمين أو روبوتات الشراء الجديدة لشراء رموز Rug Pull باستخدام ETH، تقوم عصابة Rug Pull باستخدام عنوان آخر كمنفذ (Rug Puller) لتنفيذ العملية، وتحويل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة أعلاه، سيتم اعتبار ETH الذي حصل عليه Deployer من خلال البورصة، أو ETH الذي استثمره Deployer عند إنشاء بركة السيولة، كتكاليف Rug Pull (تحدد كيفية الحساب بناءً على سلوك Deployer). بينما يتم اعتبار ETH الذي يتم نقله بعد الانتهاء من Rug Pull إلى عنوان الاحتفاظ بالأموال (أو عنوان وسيط آخر) كدخل لـ Rug Pull هذه.
من المهم أن نلاحظ أن عصابات Rug Pull عند تنفيذ الاحتيال، ستقوم أيضًا بشكل نشط باستخدام ايثر لشراء عملات Rug Pull التي أنشأوها بأنفسهم، لمحاكاة أنشطة تجمع السيولة الطبيعية، وبالتالي جذب روبوتات الشراء الجديدة. لكن هذه التكاليف لم يتم احتسابها، لذا فإن البيانات تبالغ في تقدير الأرباح الفعلية لعصابات Rug Pull، والأرباح الحقيقية ستكون أقل نسبيًا.
في الواقع، حتى لو تم تجميع الأموال في عناوين احتفاظ أموال مختلفة، إلا أنه بسبب وجود العديد من القواسم المشتركة بين الحالات المرتبطة بهذه العناوين (مثل طريقة تنفيذ ثغرات Rug Pull، ومسارات تحويل الأموال، وما إلى ذلك)، لا يزال لدينا شكوك قوية حول احتمال أن تنتمي هذه العناوين إلى نفس العصابة.
ارتباط بين عنوان احتياطي أموال التعدين
مؤشر مهم للتحقق مما إذا كانت هناك علاقة بين عناوين الاحتفاظ بالأموال هو النظر في ما إذا كانت هناك علاقة تحويل مباشرة بين هذه العناوين. للتحقق من العلاقة بين عناوين الاحتفاظ بالأموال،