深入調查Rug Pull案例，揭祕以太坊代幣生態亂象

簡介

在Web3世界中，新代幣不斷湧現。你是否想過，每天究竟有多少新代幣在發行？這些新代幣都安全嗎？

這些疑問的產生並非無的放矢。在過去數月裏，安全團隊捕捉到了大量的Rug Pull交易案例。值得注意的是，這些案例中所涉及的代幣無一例外都是剛剛上鏈的新代幣。

隨後，安全團隊對這些Rug Pull案例進行了深入調查，發現背後存在組織化的作案團夥，並總結了這些騙局的模式化特徵。通過深入分析這些團夥的作案手法，發現了Rug Pull團夥一種可能的詐騙推廣途徑：Telegram羣組。這些團夥利用某些羣組中的"New Token Tracer"功能吸引用戶購買詐騙代幣並最終通過Rug Pull牟利。

統計了從2023年11月至2024年8月初期間這些Telegram羣組的代幣推送信息，發現共推送了93,930種新代幣，其中涉及Rug Pull的代幣共有46,526種，佔比高達49.53%。據統計，這些Rug Pull代幣背後團夥的累計投入成本爲149,813.72 ETH，並以高達188.7%的回報率牟利282,699.96 ETH，折合約8億美元。

爲了評估Telegram羣組推送的新代幣在以太坊主網中的佔比，統計了相同時間段內以太坊主網上發行的新代幣數據。數據顯示，在此期間共有100,260種新代幣發行，其中通過Telegram羣組推送的代幣佔主網的89.99%。平均每天約有370種新代幣誕生，遠超合理預期。在經過不斷深入地調查之後，發現的真相令人不安——其中至少48,265種代幣涉及Rug Pull詐騙，佔比高達48.14%。換句話說，以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外，還在其他區塊鏈網路中發現了更多的Rug Pull案例。這意味着不僅是以太坊主網，整個Web3新發代幣生態的安全狀況遠比預期更加嚴峻。因此，希望能夠幫助所有Web3成員提升防範意識，在面對層出不窮的騙局時保持警惕，並及時採取必要的預防措施，保護好自己的資產安全。

ERC-20 代幣（Token）

在正式開始本報告之前，我們先來了解一些基礎概念。

ERC-20代幣是目前區塊鏈上最常見的代幣標準之一，它定義了一組規範，使得代幣可以在不同的智能合約和去中心化應用程式（dApp）之間進行互操作。ERC-20標準規定了代幣的基本功能，例如轉帳、查詢餘額、授權第三方管理代幣等。由於這一標準化的協議，開發者可以更輕鬆地發行和管理代幣，從而簡化了代幣的創建和使用。實際上，任何個人或組織都可以基於ERC-20標準發行自己的代幣，並通過預售代幣爲各種金融項目籌集啓動資金。正因爲ERC-20代幣的廣泛應用，它成爲了許多ICO和去中心化金融項目的基礎。

我們熟悉的USDT、PEPE、DOGE都屬於ERC-20代幣，用戶可以通過去中心化交易所購買這些代幣。然而，某些詐騙團夥也可能自行發行帶有代碼後門的惡意ERC-20代幣，將其上架到去中心化交易所，再誘導用戶進行購買。

Rug Pull代幣的典型詐騙案例

在這裏，我們借用一個Rug Pull代幣的詐騙案例，深入了解惡意代幣詐騙的運營模式。首先需要說明的是，Rug Pull是指項目方在去中心化金融項目中，突然抽走資金或放棄項目，導致投資者蒙受巨大損失的欺詐行爲。而Rug Pull代幣則是專門爲實施這種詐騙行爲而發行的代幣。

本文中提到的Rug Pull代幣，有時也被稱爲"蜜罐（Honey Pot）代幣"或"退出騙局（Exit Scam）代幣"，但在下文中我們將統一稱其爲Rug Pull代幣。

· 案例

攻擊者（Rug Pull團夥）用Deployer地址（0x4bAF）部署TOMMI代幣，然後用1.5個ETH和100,000,000個TOMMI創建流動性池，並通過其他地址主動購買TOMMI代幣來僞造流動性池交易量以吸引用戶和鏈上的打新機器人購買TOMMI代幣。當有一定數量的打新機器人上當後，攻擊者用Rug Puller地址（0x43a9）來執行Rug Pull，Rug Puller用38,739,354TOMMI代幣砸流動性池，兌換出約3.95個ETH。Rug Puller的代幣來源於TOMMI代幣合約的惡意Approve授權，TOMMI代幣合約部署時會爲Rug Puller授予流動性池的approve權限，這使得Rug Puller可以直接從流動性池裏轉出TOMMI代幣然後進行Rug Pull。

· 相關地址

• Deployer：0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI代幣：0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller：0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller僞裝的用戶（其中之一）：0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Rug Pull資金中轉地址：0x1d3970677aa2324E4822b293e500220958d493d0
• Rug Pull資金留存地址：0x28367D2656434b928a6799E0B091045e2ee84722

· 相關交易

• Deployer從中心化交易所獲取啓動資金：0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• 部署TOMMI代幣：0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• 創建流動性池：0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• 資金中轉地址發送資金給僞裝用戶（其中之一）：0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• 僞裝用戶購買代幣（其中之一）：0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull：0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull將所得資金發送至中轉地址：0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• 中轉地址將資金發送至資金留存地址：0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Rug Pull過程

1. 準備攻擊資金。

攻擊者通過中心化交易所，向Token Deployer（0x4bAF）充值2.47309009ETH作爲Rug Pull的啓動資金。

2. 部署帶後門的Rug Pull代幣。

Deployer創建TOMMI代幣，預挖100,000,000個代幣並分配給自身。

3. 創建初始流動性池。

Deployer用1.5個ETH和預挖的所有代幣創建流動性池，獲得了約0.387個LP代幣。

4. 銷毀所有預挖的Token供應量。

Token Deployer將所有LP代幣發送至0地址銷毀，由於TOMMI合約中沒有Mint功能，因此此時Token Deployer理論上已經失去了Rug Pull能力。（這也是吸引打新機器人入場的必要條件之一，部分打新機器人會評估新入池的代幣是否存在Rug Pull風險，Deployer還將合約的Owner設置爲0地址，都是爲了騙過打新機器人的反詐程序）。

5. 僞造交易量。

攻擊者用多個地址主動從流動性池中購買TOMMI代幣，炒高池子的交易量，進一步吸引打新機器人入場（判斷這些地址是攻擊者僞裝的依據：相關地址的資金來自Rug Pull團夥的歷史資金中轉地址）。

6. 攻擊者通過Rug Puller地址（0x43A9）發起Rug Pull，通過token的後門直接從流動性池中轉出38,739,354個代幣，然後再用這些代幣砸池子，套出約3.95個ETH。

7. 攻擊者將Rug Pull所得資金發送至中轉地址0xD921。

8. 中轉地址0xD921將資金發送至資金留存地址0x2836。從這裏我們可以看出，當Rug Pull完成後，Rug Puller會將資金發送至某個資金留存地址。資金留存地址是監控到的大量Rug Pull案例的資金歸集處，資金留存地址會將收到的大部分資金進行拆分以開始新一輪的Rug Pull，而其餘少量資金會經由中心化交易所提現。發現了資金留存地址若幹，0x2836是其中之一。

· Rug Pull代碼後門

攻擊者雖然已經通過銷毀LP代幣來試圖向外界證明他們沒辦法進行Rug Pull，但是實際上攻擊者卻在TOMMI代幣合約的openTrading函數中留下一個惡意approve的後門，這個後門會在創建流動性池時讓流動性池向Rug Puller地址approve代幣的轉移權限，使得Rug Puller地址可以直接從流動性池中轉走代幣。

openTrading函數的實現主要功能是創建新的流動性池，但攻擊者卻在該函數內調用了後門函數onInit，讓uniswapV2Pair向_chefAddress地址approve數量爲type(uint256)的代幣轉移權限。其中uniswapV2Pair爲流動性池地址，_chefAddress爲Rug Puller地址，_chefAddress在合約部署時指定。

· 作案模式化

通過分析TOMMI案例，我們可以總結出以下4個特點：

1. Deployer通過中心化交易所獲取資金：攻擊者首先通過中心化交易所爲部署者地址（Deployer）提供資金來源。

2. Deployer創建流動性池並銷毀LP代幣：部署者在創建完Rug Pull代幣後，會立刻爲其創建流動性池，並銷毀LP代幣，以增加項目的可信度，吸引更多投資者。

3. Rug Puller用大量代幣兌換流動性池中的ETH：Rug Pull地址（Rug Puller）使用大量代幣（通常數量遠超代幣總供應量）來兌換流動性池中的ETH。其他案例中，Rug Puller也有通過移除流動性來獲取池中ETH的情況。

4. Rug Puller將Rug Pull獲得的ETH轉移至資金留存地址：Rug Puller會將獲取到的ETH轉移到資金留存地址，有時通過中間地址進行過渡。

上述這些特點普遍存在於捕獲的案例中，這表明Rug Pull行爲有着明顯的模式化特徵。此外，在完成Rug Pull後，資金通常會