- Tema
79k Popularidad
34k Popularidad
11k Popularidad
4k Popularidad
4k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
13k Popularidad
3k Popularidad
- Anclado
79k Popularidad
34k Popularidad
11k Popularidad
4k Popularidad
4k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
13k Popularidad
3k Popularidad
La ecología de los tokens de Ethereum está agitada: cerca de la mitad de las nuevas monedas están involucradas en fraudes, con pérdidas de hasta 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de Token de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas preguntas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Es importante señalar que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser lanzados en la cadena.
Luego, el equipo de seguridad llevó a cabo una investigación profunda sobre estos casos de Rug Pull, descubriendo que hay detrás una organización de delincuentes, y resumió las características sistemáticas de estos fraudes. A través de un análisis profundo de los métodos delictivos de estos grupos, se identificó una posible vía de promoción de fraude de los grupos de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través del Rug Pull.
Se recopilaron las información sobre las notificaciones de tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, y se descubrió que se habían enviado 93,930 nuevos tokens, de los cuales 46,526 estaban involucrados en Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo total acumulado invertido por los grupos detrás de estos tokens de Rug Pull fue de 149,813.72 Ether, obteniendo una tasa de retorno de hasta el 188.7%, lo que generó ganancias de 282,699.96 Ether, equivalentes a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promovidos en grupos de Telegram en la cadena principal de Ethereum, se recopilaron datos sobre nuevos tokens emitidos en la cadena principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este tiempo se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promovidos a través de grupos de Telegram representaron el 89.99% de la cadena principal. En promedio, nacen aproximadamente 370 nuevos tokens cada día, superando con creces las expectativas razonables. Después de una investigación profunda y continua, la verdad revelada es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la cadena principal de Ethereum está involucrado en una estafa.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la situación de seguridad de todo el ecosistema de nuevos tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, se espera poder ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantenerse alerta ante las estafas que surgen continuamente y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar oficialmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad, definiendo un conjunto de normas que permiten la interoperabilidad de tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consultas de saldo y autorización de terceros para gestionar tokens, entre otros. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando así la creación y uso de tokens. De hecho, cualquier individuo u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar capital inicial para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos proyectos de ICO y finanzas descentralizadas.
Los USDT, PEPE y DOGE que conocemos pertenecen a los tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir sus propios tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude con Token Rug Pull
Aquí, tomamos como ejemplo un caso de fraude con un token Rug Pull para profundizar en el modelo operativo de las estafas de tokens maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a un acto fraudulento en el que el equipo del proyecto retira repentinamente fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que provoca enormes pérdidas a los inversores. Y el token Rug Pull es un token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo a veces también se conocen como "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
· caso
Los atacantes (grupo Rug Pull) desplegaron el Token TOMMI con la dirección Deployer (0x4bAF), luego crearon un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente Tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez y atraer a los usuarios y a los bots de nueva adquisición en la cadena para comprar Tokens TOMMI. Cuando un número suficiente de bots de nueva adquisición cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull, el Rug Puller utiliza 38,739,354 Tokens TOMMI para aplastar el pool de liquidez, canjeando aproximadamente 3.95 ETH. Los Tokens del Rug Puller provienen de la autorización maliciosa de aprobación del contrato del Token TOMMI, el contrato del Token TOMMI otorga permisos de aprobación del pool de liquidez al Rug Puller al desplegarse, lo que permite al Rug Puller retirar directamente Tokens TOMMI del pool de liquidez y luego realizar el Rug Pull.
· Dirección relacionada
· transacciones relacionadas
· Proceso de Rug Pull
1. Preparar los fondos de ataque.
El atacante recargó 2.47309009ETH al Token Deployer (0x4bAF) a través de un intercambio centralizado como capital inicial para el Rug Pull.
2. Desplegar un Token Rug Pull con puerta trasera.
Deployer crea el Token TOMMI, pre-minando 100,000,000 monedas y asignándolas a sí mismo.
3. Crear el grupo de liquidez inicial.
El Deployer utilizó 1.5 ETH y todos los tokens preminados para crear un fondo de liquidez, obteniendo aproximadamente 0.387 tokens LP.
4. Destruir toda la cantidad de suministro de Token preminados.
Token Deployer envía todos los LP Tokens a la dirección 0 para su destrucción. Dado que el contrato de TOMMI no tiene la función Mint, en este momento el Token Deployer ha perdido teóricamente la capacidad de realizar un Rug Pull. (Esta también es una de las condiciones necesarias para atraer a los bots de nueva emisión, ya que algunos bots de nueva emisión evaluarán si los tokens recién ingresados al fondo presentan riesgo de Rug Pull. El Deployer también establece el Owner del contrato en la dirección 0, todo con el fin de engañar a los programas anti-fraude de los bots de nueva emisión).
5. Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, inflando el volumen de transacciones del fondo, lo que atrae aún más a los bots de nueva inversión (la base para determinar que estas direcciones son atacantes disfrazados: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo de Rug Pull).
El atacante inició el Rug Pull a través de la dirección Rug Puller (0x43A9), retirando directamente 38,739,354 Token del fondo de liquidez a través de la puerta trasera del token, y luego utilizó estos Token para hundir el fondo, extrayendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediario 0xD921.
La dirección de transbordo 0xD921 envía fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, cuando se completa el Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se agrupan los fondos de numerosos casos de Rug Pull monitoreados; esta dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que la pequeña cantidad restante se retirará a través de un intercambio centralizado. Se han descubierto varias direcciones de retención de fondos, y 0x2836 es una de ellas.
· código de puerta trasera de Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite a la liquidez aprobar la transferencia de tokens hacia la dirección del Rug Puller al crear el pool de liquidez, lo que permite que la dirección del Rug Puller saque tokens directamente del pool de liquidez.
La implementación de la función openTrading tiene como función principal crear un nuevo pool de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esta función, permitiendo que uniswapV2Pair aprobara a _chefAddress la transferencia de una cantidad de tipo (uint256) de moneda. Donde uniswapV2Pair es la dirección del pool de liquidez y _chefAddress es la dirección del Rug Puller, que se especifica al desplegar el contrato.
· Patrón de delito
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Desplegador obtiene fondos a través de un intercambio centralizado: el atacante primero proporciona una fuente de fondos para la dirección del Desplegador a través de un intercambio centralizado.
El desplegador crea un fondo de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el desplegador inmediatamente crea un fondo de liquidez para él y quema los tokens LP, para aumentar la credibilidad del proyecto y atraer a más inversionistas.
Rug Puller utiliza una gran cantidad de tokens para canjear ETH en el fondo de liquidez: la dirección del Rug Pull (Rug Puller) utiliza una gran cantidad de tokens (generalmente una cantidad que supera con creces el suministro total de tokens) para canjear ETH en el fondo de liquidez. En otros casos, el Rug Puller también puede obtener ETH del fondo al eliminar la liquidez.
Rug Puller transferirá el ETH obtenido de Rug Pull a la dirección de retención de fondos: Rug Puller transferirá el ETH obtenido a la dirección de retención de fondos, a veces a través de una dirección intermedia como transición.
Las características mencionadas anteriormente son comunes en los casos capturados, lo que indica que el comportamiento de Rug Pull tiene características de patrón evidentes. Además, después de completar el Rug Pull, los fondos suelen