- Rubrique
79k Popularité
34k Popularité
11k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
13k Popularité
3k Popularité
- Épingler
79k Popularité
34k Popularité
11k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
13k Popularité
3k Popularité
Écosystème des jetons Ethereum en eaux troubles : près de la moitié des nouvelles monnaies suspectées de fraude, avec des pertes s'élevant à 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélation des anomalies dans l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Avez-vous déjà pensé à combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement lancés sur la chaîne.
Ensuite, l'équipe de sécurité a mené une enquête approfondie sur ces cas de Rug Pull, découvrant l'existence de gangs organisés derrière ces actes, et a résumé les caractéristiques schématiques de ces arnaques. En analysant en profondeur les méthodes d'opération de ces gangs, une possible voie de promotion de l'escroquerie a été identifiée : les groupes Telegram. Ces gangs utilisent la fonctionnalité "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des profits grâce au Rug Pull.
Des informations sur les jetons diffusés par ces groupes Telegram ont été compilées pour la période allant de novembre 2023 à début août 2024, révélant un total de 93 930 nouveaux jetons, dont 46 526 sont liés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, générant un bénéfice de 282 699,96 ETH avec un taux de rendement allant jusqu'à 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par les groupes Telegram dans le réseau principal Ethereum, les données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période ont été statistiques. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont les jetons poussés par les groupes Telegram représentent 89,99 % du réseau principal. En moyenne, environ 370 nouveaux jetons naissent chaque jour, ce qui dépasse largement les attentes raisonnables. Après une enquête approfondie, la vérité révélée est troublante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux blockchain. Cela signifie que non seulement la chaîne principale Ethereum, mais la sécurité de l'écosystème des nouveaux jetons Web3 est bien plus sévère que prévu. Par conséquent, nous espérons pouvoir aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face à l'apparition incessante d'escroqueries et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, comprenons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jeton les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 stipule les fonctions de base des jetons, telles que le transfert, la consultation de solde, l'autorisation de la gestion des jetons par des tiers, etc. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi la création et l'utilisation des jetons. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers en pré-vendant des jetons. C'est précisément grâce à l'application répandue des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent à des jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certaines bandes de fraudeurs peuvent également émettre des jetons ERC-20 malveillants avec des portes dérobées de code, les lister sur des échanges décentralisés, puis inciter les utilisateurs à les acheter.
Cas typique d'escroquerie de jeton Rug Pull
Ici, nous empruntons un exemple de fraude par un jeton Rug Pull pour examiner de plus près le modèle opérationnel des arnaques de jetons malveillants. Tout d'abord, il convient de préciser que le Rug Pull fait référence à un comportement frauduleux dans lequel les développeurs d'un projet retirent soudainement des fonds ou abandonnent le projet dans le cadre d'un projet de finance décentralisée, entraînant d'énormes pertes pour les investisseurs. Les jetons Rug Pull sont des jetons émis spécifiquement pour mener à bien ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans ce qui suit, nous les appellerons uniformément jetons Rug Pull.
· Cas
L'attaquant (le groupe Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidités avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidités afin d'attirer les utilisateurs et les robots de lancement sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de lancement se sont fait avoir, l'attaquant a utilisé l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller a écrasé le pool de liquidités avec 38 739 354 jetons TOMMI, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent d'une autorisation malveillante d'Approve du contrat de jeton TOMMI, lors du déploiement du contrat de jeton TOMMI, des droits d'approbation pour le pool de liquidités sont accordés au Rug Puller, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidités et d'effectuer le Rug Pull.
· Adresse connexe
· Transactions connexes
· Processus de Rug Pull
1. Préparez les fonds pour l'attaque.
L'attaquant a rechargé 2.47309009ETH vers le Token Deployer (0x4bAF) via une bourse centralisée comme capital de démarrage pour le Rug Pull.
2. Déployer des jetons Rug Pull avec porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 jetons et les attribue à lui-même.
3. Créer un pool de liquidités initial.
Le déployeur a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
4. Détruire l'ensemble de l'approvisionnement en Jetons pré-minés.
Le Déployeur de Jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Déployeur de Jetons a théoriquement perdu sa capacité à faire un Rug Pull. (C'est également l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés au pool présentent un risque de Rug Pull. Le Déployeur a également défini le Propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
5. Volume de transactions falsifié.
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidités, augmentant ainsi le volume des transactions du pool et attirant davantage de robots de lancement de nouveaux jetons (la preuve que ces adresses sont celles de l'attaquant déguisé : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), en retirant directement 38 739 354 jetons du pool de liquidités par la porte dérobée du token, puis en utilisant ces jetons pour faire chuter le pool, récupérant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à l'adresse de transit 0xD921.
L'adresse de transit 0xD921 enverra des fonds à l'adresse de conservation des fonds 0x2836. D'ici, nous pouvons voir qu'une fois le Rug Pull terminé, le Rug Puller enverra les fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds de nombreux cas de Rug Pull observés, cette adresse de conservation des fonds divisera la majorité des fonds reçus pour commencer une nouvelle série de Rug Pulls, tandis qu'une petite quantité de fonds sera retirée via des échanges centralisés. Plusieurs adresses de conservation des fonds ont été découvertes, 0x2836 en est une.
· Code de la porte dérobée Rug Pull
Bien que les attaquants aient essayé de prouver au monde extérieur qu'ils ne pouvaient pas effectuer un Rug Pull en détruisant les jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI. Cette porte dérobée permettra, lors de la création du pool de liquidité, au pool de liquidité d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
La fonction openTrading est principalement utilisée pour créer de nouvelles pools de liquidités, mais un attaquant a appelé la fonction de porte dérobée onInit à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver le transfert de jetons pour une quantité de type (uint256) vers l'adresse _chefAddress. Ici, uniswapV2Pair est l'adresse de la pool de liquidités, et _chefAddress est l'adresse du Rug Puller, spécifiée lors du déploiement du contrat.
· Mode opératoire
En analysant le cas de TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via des échanges centralisés : l'attaquant commence par fournir une source de financement à l'adresse du déployeur (Deployer) via un échange centralisé.
Le déployeur crée un pool de liquidités et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur crée immédiatement un pool de liquidités et détruit les jetons LP, afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : L'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement bien supérieure à l'offre totale de jetons) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par le Rug Pull vers l'adresse de conservation des fonds : le Rug Puller transférera l'ETH obtenu vers l'adresse de conservation des fonds, parfois par le biais d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont couramment présentes dans les cas capturés, ce qui indique que le comportement de Rug Pull présente des caractéristiques de modélisation évidentes. De plus, après l'achèvement du Rug Pull, les fonds sont généralement