Análisis en profundidad de un caso de Rug Pull de 800 millones de dólares en el ecosistema de Ethereum relacionado con posibles fraudes de nuevos Tokens.
Revelando el caos del ecosistema de Tokens de Ethereum: investigación profunda de casos de Rug Pull
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas dudas no son infundadas. En los últimos meses, un equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Es notable que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser añadidos a la cadena.
Luego, el equipo de seguridad realizó una investigación exhaustiva sobre estos casos de Rug Pull, descubriendo que detrás de ellos existía una organización de grupos delictivos, y resumió las características sistemáticas de estos fraudes. A través de un análisis profundo de los métodos de operación de estos grupos, se identificó una posible vía de promoción de fraudes de los grupos de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y finalmente obtener beneficios a través de Rug Pull.
El equipo de seguridad ha recopilado información sobre las promociones de tokens en estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, encontrando un total de 93,930 nuevos tokens promovidos, de los cuales 46,526 estaban involucrados en Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo acumulado de inversión de los grupos detrás de estos tokens de Rug Pull fue de 149,813.72 Ether, obteniendo un beneficio de 282,699.96 Ether con una tasa de retorno de hasta 188.7%, equivalente a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens enviados a través de grupos de Telegram en la red principal de Ethereum, el equipo de seguridad recopiló datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que se emitieron un total de 100,260 nuevos tokens durante este tiempo, de los cuales los tokens enviados a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen aproximadamente 370 nuevos tokens cada día, superando con creces las expectativas razonables. Tras una investigación profunda y continua, la verdad descubierta es inquietante: al menos 48,265 de estos tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en estafas.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo esperado. Por lo tanto, este informe espera poder ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantener la vigilancia frente a las constantes estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain actualmente, definiendo un conjunto de normas que permiten la interoperabilidad de los tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas ( dApp ). El estándar ERC-20 establece las funciones básicas de los tokens, como transferencias, consulta de saldo, autorización de terceros para gestionar tokens, etc. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando la creación y uso de los tokens. De hecho, cualquier individuo u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE pertenecen a los tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude de Token Rug Pull
Aquí, tomamos el caso de un token de tipo Rug Pull como un ejemplo de fraude para profundizar en el modelo operativo de las estafas de tokens maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a un comportamiento fraudulento en el que el equipo del proyecto, en un proyecto de finanzas descentralizadas, retira repentinamente los fondos o abandona el proyecto, lo que provoca grandes pérdidas a los inversores. Los tokens de Rug Pull son tokens emitidos específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se conocen como "Honey Pot(" o "Exit Scam)", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
( caso
El atacante ) del grupo Rug Pull ### utilizó la dirección Deployer ( 0x4bAF ) para desplegar el Token TOMMI, luego creó un pool de liquidez con 1.5 Ether y 100,000,000 de TOMMI, y compró activamente el Token TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez y atraer a los usuarios y a los bots de novedad en la cadena a comprar el Token TOMMI. Cuando un número suficiente de bots de novedad cae en la trampa, el atacante utiliza la dirección Rug Puller ( 0x43a9) para ejecutar el Rug Pull, el Rug Puller desploma el pool de liquidez con 38,739,354 de TOMMI, canjeando aproximadamente 3.95 Ether. La fuente de los tokens del Rug Puller proviene de la autorización maliciosa de Approve del contrato del Token TOMMI, el contrato del Token TOMMI al ser desplegado otorgará permisos de approve al pool de liquidez para el Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del pool de liquidez y luego realizar el Rug Pull.
Rug Puller disfrazado de usuario ) uno de ###:0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
Dirección de transferencia de fondos de Rug Pull:0x1d3970677aa2324E4822b293e500220958d493d0
Dirección de retención de fondos de Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
( transacciones relacionadas
El Deployer obtiene capital inicial del intercambio: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
Desplegar el token TOMMI:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
Crear un fondo de liquidez:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
La dirección de transferencia de fondos envía fondos a uno de los usuarios disfrazados ) ###:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
Disfrazar al usuario que compra Token ( uno de ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
Rug Pull envía los fondos obtenidos a la dirección de intermediación: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
La dirección de transferencia enviará los fondos a la dirección de retención de fondos:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
( Proceso de Rug Pull
Preparar fondos para el ataque.
El atacante recargó 2.47309009ETH al Token Deployer)0x4bAF### a través del intercambio como capital inicial para el Rug Pull.
Desplegar un Token de Rug Pull con puerta trasera.
Deployer crea el Token TOMMI, premina 100,000,000 Tokens y los asigna a sí mismo.
Crear el fondo de liquidez inicial.
El Deployer creó un pool de liquidez con 1.5 ETH y todos los tokens preminados, obteniendo aproximadamente 0.387 tokens LP.
Destruir toda la oferta de Token preminados.
Token Deployer envía todos los LP Tokens a la dirección 0 para ser destruidos. Debido a que el contrato TOMMI no tiene la función de Mint, en este momento, Token Deployer teóricamente ha perdido la capacidad de Rug Pull. ( esta también es una de las condiciones necesarias para atraer a los bots de nuevas entradas. Algunos bots de nuevas entradas evaluarán si los tokens recién introducidos en el pool presentan riesgo de Rug Pull. Deployer también establecerá al propietario del contrato en la dirección 0, todo con el fin de engañar los programas antifraude de los bots de nuevas entradas ).
Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, aumentando el volumen de transacciones del fondo, lo que atrae aún más a los bots de nuevas ofertas a participar. (. La base para determinar que estas direcciones son disfrazadas por los atacantes es que los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull. ).
El atacante inicia un Rug Pull a través de la dirección Rug Puller (0x43A9), transfiriendo directamente 38,739,354 tokens del fondo de liquidez a través de una puerta trasera del token, y luego utiliza esos tokens para inundar el fondo, obteniendo aproximadamente 3.95 Ether.
El atacante envió los fondos obtenidos del Rug Pull a la dirección de intermediación 0xD921.
La dirección de transferencia 0xD921 envió fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, cuando se completa un Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se acumulan los fondos de numerosos casos de Rug Pull detectados, la dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que la restante pequeña cantidad de fondos será retirada a través de un intercambio. Se han encontrado varias direcciones de retención de fondos, 0x2836 es una de ellas.
( código de puerta trasera de Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull mediante la destrucción de LP Tokens, en realidad, los atacantes han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, la cual permite que el pool de liquidez apruebe la transferencia de tokens a la dirección del Rug Puller al crear el pool de liquidez, permitiendo que la dirección del Rug Puller retire tokens directamente del pool de liquidez.
La implementación de la función openTrading se muestra en la figura 9, cuya función principal es crear un nuevo pool de liquidez, pero el atacante invocó la función de puerta trasera onInit) dentro de esa función, como se muestra en la figura 10, permitiendo que uniswapV2Pair apruebe a la dirección _chefAddress una cantidad de tipo###uint256( para la transferencia de tokens. Donde uniswapV2Pair es la dirección del pool de liquidez, _chefAddress es la dirección del Rug Puller, y _chefAddress se especifica al desplegar el contrato), como se muestra en la figura 11.
( modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Deployer obtiene fondos a través del intercambio: el atacante primero proporciona una fuente de fondos para la dirección del desplegador ) Deployer ( a través del intercambio.
El Desarrollador crea un pool de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el desarrollador inmediatamente creará un pool de liquidez para él y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Token para canjear ETH en el fondo de liquidez: Dirección de Rug Pull ) Rug Puller ### utiliza una gran cantidad de Token (, normalmente una cantidad que supera con creces el suministro total de Token ) para canjear ETH en el fondo de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del fondo al eliminar liquidez.
Rug Puller transferirá el ETH obtenido de Rug Pull a la dirección de retención de fondos: Rug Puller transferirá el ETH obtenido a la dirección de retención de fondos, a veces a través de
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
6
Compartir
Comentar
0/400
MoneyBurner
· 07-29 19:02
El precio mínimo fue rasurado y solo entonces supe que en la cadena solo hay trampas... Esta vez la mentalidad se rompió, ¡la próxima vez apostaré fuerte en una orden larga para recuperar la inversión!
Ver originalesResponder0
BearMarketBro
· 07-29 18:57
tontos una y otra vez toman a la gente por tonta...
Ver originalesResponder0
ZkProofPudding
· 07-29 18:55
Los tontos todavía están locos por obtener nuevas monedas.
Ver originalesResponder0
AlwaysAnon
· 07-29 18:52
Hola, todavía estás soñando con comprar la caída.
Ver originalesResponder0
ContractHunter
· 07-29 18:52
Ya vi a través de esas trampas en el grupo tg.
Ver originalesResponder0
MetaDreamer
· 07-29 18:35
tontos aún no han crecido completamente y ya han sido arrancados.
Análisis en profundidad de un caso de Rug Pull de 800 millones de dólares en el ecosistema de Ethereum relacionado con posibles fraudes de nuevos Tokens.
Revelando el caos del ecosistema de Tokens de Ethereum: investigación profunda de casos de Rug Pull
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas dudas no son infundadas. En los últimos meses, un equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Es notable que todos los tokens involucrados en estos casos son, sin excepción, nuevos tokens que acaban de ser añadidos a la cadena.
Luego, el equipo de seguridad realizó una investigación exhaustiva sobre estos casos de Rug Pull, descubriendo que detrás de ellos existía una organización de grupos delictivos, y resumió las características sistemáticas de estos fraudes. A través de un análisis profundo de los métodos de operación de estos grupos, se identificó una posible vía de promoción de fraudes de los grupos de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y finalmente obtener beneficios a través de Rug Pull.
El equipo de seguridad ha recopilado información sobre las promociones de tokens en estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, encontrando un total de 93,930 nuevos tokens promovidos, de los cuales 46,526 estaban involucrados en Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo acumulado de inversión de los grupos detrás de estos tokens de Rug Pull fue de 149,813.72 Ether, obteniendo un beneficio de 282,699.96 Ether con una tasa de retorno de hasta 188.7%, equivalente a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens enviados a través de grupos de Telegram en la red principal de Ethereum, el equipo de seguridad recopiló datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que se emitieron un total de 100,260 nuevos tokens durante este tiempo, de los cuales los tokens enviados a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen aproximadamente 370 nuevos tokens cada día, superando con creces las expectativas razonables. Tras una investigación profunda y continua, la verdad descubierta es inquietante: al menos 48,265 de estos tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en estafas.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo esperado. Por lo tanto, este informe espera poder ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantener la vigilancia frente a las constantes estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain actualmente, definiendo un conjunto de normas que permiten la interoperabilidad de los tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas ( dApp ). El estándar ERC-20 establece las funciones básicas de los tokens, como transferencias, consulta de saldo, autorización de terceros para gestionar tokens, etc. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando la creación y uso de los tokens. De hecho, cualquier individuo u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE pertenecen a los tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude de Token Rug Pull
Aquí, tomamos el caso de un token de tipo Rug Pull como un ejemplo de fraude para profundizar en el modelo operativo de las estafas de tokens maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a un comportamiento fraudulento en el que el equipo del proyecto, en un proyecto de finanzas descentralizadas, retira repentinamente los fondos o abandona el proyecto, lo que provoca grandes pérdidas a los inversores. Los tokens de Rug Pull son tokens emitidos específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se conocen como "Honey Pot(" o "Exit Scam)", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
( caso
El atacante ) del grupo Rug Pull ### utilizó la dirección Deployer ( 0x4bAF ) para desplegar el Token TOMMI, luego creó un pool de liquidez con 1.5 Ether y 100,000,000 de TOMMI, y compró activamente el Token TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez y atraer a los usuarios y a los bots de novedad en la cadena a comprar el Token TOMMI. Cuando un número suficiente de bots de novedad cae en la trampa, el atacante utiliza la dirección Rug Puller ( 0x43a9) para ejecutar el Rug Pull, el Rug Puller desploma el pool de liquidez con 38,739,354 de TOMMI, canjeando aproximadamente 3.95 Ether. La fuente de los tokens del Rug Puller proviene de la autorización maliciosa de Approve del contrato del Token TOMMI, el contrato del Token TOMMI al ser desplegado otorgará permisos de approve al pool de liquidez para el Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del pool de liquidez y luego realizar el Rug Pull.
( dirección relacionada
( transacciones relacionadas
( Proceso de Rug Pull
El atacante recargó 2.47309009ETH al Token Deployer)0x4bAF### a través del intercambio como capital inicial para el Rug Pull.
Deployer crea el Token TOMMI, premina 100,000,000 Tokens y los asigna a sí mismo.
El Deployer creó un pool de liquidez con 1.5 ETH y todos los tokens preminados, obteniendo aproximadamente 0.387 tokens LP.
Token Deployer envía todos los LP Tokens a la dirección 0 para ser destruidos. Debido a que el contrato TOMMI no tiene la función de Mint, en este momento, Token Deployer teóricamente ha perdido la capacidad de Rug Pull. ( esta también es una de las condiciones necesarias para atraer a los bots de nuevas entradas. Algunos bots de nuevas entradas evaluarán si los tokens recién introducidos en el pool presentan riesgo de Rug Pull. Deployer también establecerá al propietario del contrato en la dirección 0, todo con el fin de engañar los programas antifraude de los bots de nuevas entradas ).
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, aumentando el volumen de transacciones del fondo, lo que atrae aún más a los bots de nuevas ofertas a participar. (. La base para determinar que estas direcciones son disfrazadas por los atacantes es que los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull. ).
El atacante inicia un Rug Pull a través de la dirección Rug Puller (0x43A9), transfiriendo directamente 38,739,354 tokens del fondo de liquidez a través de una puerta trasera del token, y luego utiliza esos tokens para inundar el fondo, obteniendo aproximadamente 3.95 Ether.
El atacante envió los fondos obtenidos del Rug Pull a la dirección de intermediación 0xD921.
La dirección de transferencia 0xD921 envió fondos a la dirección de retención de fondos 0x2836. De aquí podemos ver que, cuando se completa un Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se acumulan los fondos de numerosos casos de Rug Pull detectados, la dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que la restante pequeña cantidad de fondos será retirada a través de un intercambio. Se han encontrado varias direcciones de retención de fondos, 0x2836 es una de ellas.
( código de puerta trasera de Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull mediante la destrucción de LP Tokens, en realidad, los atacantes han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, la cual permite que el pool de liquidez apruebe la transferencia de tokens a la dirección del Rug Puller al crear el pool de liquidez, permitiendo que la dirección del Rug Puller retire tokens directamente del pool de liquidez.
La implementación de la función openTrading se muestra en la figura 9, cuya función principal es crear un nuevo pool de liquidez, pero el atacante invocó la función de puerta trasera onInit) dentro de esa función, como se muestra en la figura 10, permitiendo que uniswapV2Pair apruebe a la dirección _chefAddress una cantidad de tipo###uint256( para la transferencia de tokens. Donde uniswapV2Pair es la dirección del pool de liquidez, _chefAddress es la dirección del Rug Puller, y _chefAddress se especifica al desplegar el contrato), como se muestra en la figura 11.
( modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Deployer obtiene fondos a través del intercambio: el atacante primero proporciona una fuente de fondos para la dirección del desplegador ) Deployer ( a través del intercambio.
El Desarrollador crea un pool de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el desarrollador inmediatamente creará un pool de liquidez para él y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Token para canjear ETH en el fondo de liquidez: Dirección de Rug Pull ) Rug Puller ### utiliza una gran cantidad de Token (, normalmente una cantidad que supera con creces el suministro total de Token ) para canjear ETH en el fondo de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del fondo al eliminar liquidez.
Rug Puller transferirá el ETH obtenido de Rug Pull a la dirección de retención de fondos: Rug Puller transferirá el ETH obtenido a la dirección de retención de fondos, a veces a través de