تحقيق عميق في حالات سحب البساط، كشف الفوضى في نظام إيثريوم للعملات
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي يتم إصدارها كل يوم؟ هل هذه العملات الجديدة آمنة؟
إن هذه التساؤلات ليست بلا سبب. على مدى الأشهر القليلة الماضية،捕捉ت فرق الأمان العديد من حالات التداول الخاصة بسحب السجادة. ومن الجدير بالذكر أن جميع العملات التي شاركت في هذه الحالات كانت عملات جديدة تم إدراجها على السلسلة للتو.
بعد ذلك، تم إجراء تحقيقات متعمقة على هذه الحالات من عمليات السحب المفاجئ، واكتشف وجود عصابات منظمّة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل شامل لأساليب هذه العصابات، تم اكتشاف طريق محتمل للترويج لعمليات الاحتيال الخاصة بعصابات السحب المفاجئ: مجموعات تيليجرام. تستخدم هذه العصابات ميزة "New Token Tracer" الموجودة في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية ومن ثم تحقيق الأرباح من خلال عمليات السحب المفاجئ.
تمت الإحصاءات لمعلومات دفع العملات من هذه المجموعات في تيليجرام خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، حيث تم اكتشاف أن هناك 93,930 نوعًا جديدًا من العملات تم دفعها، من بينها 46,526 نوعًا تتعلق بعمليات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. وفقًا للإحصاءات، كانت التكلفة الإجمالية للاستثمار من قبل العصابات وراء هذه العملات Rug Pull هي 149,813.72 ايثر، وقد حققوا أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد يصل إلى 188.7%، مما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعة Telegram على شبكة إثيريوم الرئيسية، تم إحصاء بيانات العملات الجديدة الصادرة على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تشير البيانات إلى أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، حيث تمثل العملات التي تم دفعها عبر مجموعة Telegram 89.99% من الشبكة الرئيسية. يتم إنشاء حوالي 370 عملة جديدة يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيقات مستمرة، كانت الحقيقة مقلقة - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، وهو ما يمثل 48.14% من الإجمالي. بعبارة أخرى، كل عملتين جديدتين على شبكة إثيريوم الرئيسية تقريبًا واحدة منهما متورطة في الاحتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب السجادة في شبكات blockchain الأخرى. وهذا يعني أن الوضع الأمني لعملات جديدة في بيئة Web3 لا يقتصر فقط على شبكة إثيريوم الرئيسية، بل هو أكثر خطورة مما هو متوقع. لذلك، تم إعداد هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 في تعزيز الوعي بالوقاية، والحفاظ على اليقظة في مواجهة الاحتيالات المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أمان أصولهم.
رمز ERC-20
قبل أن نبدأ رسميًا في هذا التقرير، دعونا نفهم بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين، حيث تحدد مجموعة من المواصفات التي تتيح للعملات التفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). تنص مواصفة ERC-20 على الوظائف الأساسية للعملة، مثل التحويل، واستعلام الرصيد، وتفويض الأطراف الثالثة لإدارة العملة، وغيرها. بفضل بروتوكول الموحد هذا، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي شخص أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريعهم المالية من خلال بيع العملات مسبقًا. وبسبب الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
USDT و PEPE و DOGE التي نعرفها جميعًا تنتمي إلى عملة ERC-20، يمكن للمستخدمين شراء هذه العملة من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملة ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، وإدراجها في البورصات اللامركزية، ثم تحفيز المستخدمين على الشراء.
حالات احتيال نموذجية لعملة سحب البساط
هنا، نستخدم حالة احتيال لعملة Rug Pull لاستكشاف نموذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull يشير إلى سلوك احتيالي حيث يقوم فريق المشروع في مشاريع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تُصدر خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملات Rug Pull المذكورة في هذه المقالة أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة احتيال الخروج (Exit Scam)"، لكننا سنشير إليها في ما يلي باسم عملات Rug Pull.
حالة
قام المهاجمون (عصابة سحب البساط) بنشر عملة TOMMI باستخدام عنوان Deployer (0x4bAF) ، ثم أنشأوا حوض سيولة باستخدام 1.5 ETH و 100,000,000 عملة TOMMI ، وقاموا بنشاط بشراء عملة TOMMI من عناوين أخرى لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يتم خداع عدد معين من روبوتات الشراء الجديدة ، يقوم المهاجمون باستخدام عنوان Rug Puller (0x43a9) لتنفيذ سحب البساط ، حيث يقوم Rug Puller بضرب حوض السيولة بـ 38,739,354 عملة TOMMI واستبدالها بحوالي 3.95 ETH. تأتي عملات Rug Puller من تفويض الموافقة الضار لعقد عملة TOMMI ، حيث يمنح عقد عملة TOMMI إذن الموافقة لحوض السيولة عند نشره ، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ سحب البساط.
عملية سحب السجادة
إعداد أموال الهجوم.
المهاجم قام بتمويل 2.47309009ETH إلى Token Deployer (0x4bAF) من خلال إحدى البورصات كأموال لبدء عملية Rug Pull.
نشر عملة Rug Pull مزودة بباب خلفي.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة مسبقًا وتوزيعها على نفسه.
إنشاء حوض السيولة الأولي.
قام المُنشئ باستخدام 1.5 ايثر وجميع عملات التعدين المسبق لإنشاء بركة السيولة، وحصل على حوالي 0.387 عملة LP.
تدمير جميع كمية العملات التي تم تعدينها مسبقًا.
تم إرسال جميع عملات LP إلى عنوان 0 للتدمير بواسطة Token Deployer، نظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (هذا أيضًا واحد من الشروط الضرورية لجذب روبوتات الطرح الجديدة، حيث تقوم بعض روبوتات الطرح الجديدة بتقييم ما إذا كانت العملات الجديدة في المسبح تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الطرح الجديدة).
حجم المعاملات المزيف.
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من تجمع السيولة، مما يؤدي إلى رفع حجم التداول في التجمع، وجذب المزيد من روبوتات التداول الجديدة (الأساس في تحديد أن هذه العناوين هي لهجمات مزيفة هو أن الأموال المرتبطة بهذه العناوين تأتي من عنوان تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بإطلاق سحب الغطاء من عنوان Rug Puller (0x43A9) ، وسحب مباشرة 38,739,354 عملة من حوض السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لتفريغ الحوض، وحصل على حوالي 3.95 ايثر.
المهاجم يرسل الأموال المستلمة من سحب البساط إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان النقل إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه بعد الانتهاء من عملية السحب المفاجئ، سيقوم الساحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو المكان الذي تم تجميع فيه الأموال من العديد من حالات السحب المفاجئ المراقبة، وسيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب كمية صغيرة من الأموال عبر أحد البورصات. تم اكتشاف العديد من عناوين الاحتفاظ بالأموال، و0x2836 هو واحد منها.
كود ثغرة سحب السجاد
على الرغم من أن المهاجمين حاولوا إثبات أنهم غير قادرين على تنفيذ عملية سحب البساط من خلال تدمير عملات LP، إلا أن المهاجمين تركوا في الواقع ثغرة خبيثة من خلال وظيفة openTrading في عقد عملة TOMMI، والتي ستسمح عند إنشاء تجمع السيولة بتفويض صلاحيات نقل العملات إلى عنوان ساحب البساط، مما يسمح لعنوان ساحب البساط بسحب العملات مباشرة من تجمع السيولة.
تنفيذ دالة openTrading له الوظيفة الرئيسية هي إنشاء برك السيولة الجديدة، ولكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة، مما يجعل uniswapV2Pair تمنح عنوان _chefAddress صلاحية نقل عدد type(uint256) من العملة. حيث uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، وقد تم تحديد _chefAddress عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المهاجمون بالحصول على مصدر تمويل لعنوان المُنشئ (Deployer) من خلال أحد البورصات.
يقوم المطور بإنشاء حوض السيولة وتدمير رموز LP: بعد أن يقوم المطور بإنشاء رموز Rug Pull، يقوم على الفور بإنشاء حوض السيولة الخاص بها، وتدمير رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم ساحب السجادة Exchange大量 العملات في تجمع السيولة للحصول على ETH: عنوان ساحب السجادة (Rug Puller) يستخدم大量 العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي المعروض من العملات) Exchange للحصول على ETH من تجمع السيولة. في حالات أخرى، يقوم ساحب السجادة أيضًا بإزالة السيولة للحصول على ETH من التجمع.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم الانتقال عبر عنوان وسطي.
توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يشير إلى أن سلوك سحب السجادة يتميز بسمات نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، يتم عادة تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات المستقلة من سحب السجادة قد تنطوي على نفس المجموعة أو حتى نفس العصابة.
استنادًا إلى هذه الخصائص، تم استخراج نمط سلوك Rug Pull، واستخدام هذا النمط لمسح الحالات التي تم مراقبتها، بهدف بناء صورة محتملة لعصابات الاحتيال.
عصابة سحب السجادة
عنوان الاحتفاظ بأموال التعدين
كما ذُكر سابقًا، عادةً ما تقوم حالات Rug Pull بجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. بناءً على هذا النموذج، تم اختيار عدد من عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بأسلوب تنفيذ الحالات المرتبطة بها لإجراء تحليل عميق.
هناك 7 عناوين للاحتفاظ بالأموال التي ظهرت في الأفق، وترتبط هذه العناوين بـ 1,124 حالة من حالات السحب غير المشروع (Rug Pull) التي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على الشبكة. بعد نجاح تنفيذ الخداع، يقوم عصابة السحب غير المشروع بجمع الأرباح غير القانونية في هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في خدع السحب غير المشروع المستقبلية، والتلاعب في برك السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال تبادل أو منصة تحويل فوري.
من خلال إحصاء تكلفة وإيرادات جميع عمليات الاحتيال Rug Pull في كل عنوان محتفظ بالأموال، تم الحصول على البيانات ذات الصلة.
في عملية احتيال Rug Pull كاملة، عادةً ما تستخدم عصابة Rug Pull عنوانًا واحدًا كمنشئ (Deployer) لعملة Rug Pull، وتحصل على تمويل البداية عن طريق سحب الأموال من خلال إحدى البورصات لإنشاء عملة Rug Pull وحوض السيولة المناسب. عندما يتم جذب عدد كافٍ من المستخدمين أو روبوتات الشراء الجديدة لشراء عملة Rug Pull باستخدام ETH، ستستخدم عصابة Rug Pull عنوانًا آخر كمنفذ (Rug Puller) للعملية، لنقل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة أعلاه، يتم اعتبار ETH الذي حصل عليه Deployer من خلال البورصة، أو ETH الذي استثمره Deployer عند إنشاء حوض السيولة، كتكلفة سحب السجادة (كيفية حساب ذلك بالضبط)
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
8
مشاركة
تعليق
0/400
ImpermanentPhilosopher
· منذ 18 س
الذين يلعبون في التشفير هم حمقى، إن الهروب من النظام البيئي أمر حتمي.
شاهد النسخة الأصليةرد0
MetaverseLandlord
· منذ 21 س
ضع دائرة حول المال وهرب ، لقد رأيت الكثير
شاهد النسخة الأصليةرد0
Rugman_Walking
· منذ 22 س
حمقى永远在路上
شاهد النسخة الأصليةرد0
BloodInStreets
· 08-04 17:53
حمقى يموتون دائماً في المشاريع الجديدة
شاهد النسخة الأصليةرد0
LightningPacketLoss
· 08-04 00:20
عالم العملات الرقمية حمقى有这么多 真是哭都哭不完
شاهد النسخة الأصليةرد0
MainnetDelayedAgain
· 08-04 00:16
وفقًا لقاعدة البيانات، فإن سرعة انهيار المشاريع الجديدة قد سبقت سرعة تأخير الشبكة الرئيسية بثلاثة أشهر... في انتظار الزهور لتزهر
إثيريوم جديدة عملة بيئة مقلقة: نحو نصف مشتبه به في عملية سحب البساط المبلغ المتورط يصل إلى 8 مليارات دولار
تحقيق عميق في حالات سحب البساط، كشف الفوضى في نظام إيثريوم للعملات
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي يتم إصدارها كل يوم؟ هل هذه العملات الجديدة آمنة؟
إن هذه التساؤلات ليست بلا سبب. على مدى الأشهر القليلة الماضية،捕捉ت فرق الأمان العديد من حالات التداول الخاصة بسحب السجادة. ومن الجدير بالذكر أن جميع العملات التي شاركت في هذه الحالات كانت عملات جديدة تم إدراجها على السلسلة للتو.
بعد ذلك، تم إجراء تحقيقات متعمقة على هذه الحالات من عمليات السحب المفاجئ، واكتشف وجود عصابات منظمّة وراءها، وتم تلخيص الخصائص النمطية لهذه الاحتيالات. من خلال تحليل شامل لأساليب هذه العصابات، تم اكتشاف طريق محتمل للترويج لعمليات الاحتيال الخاصة بعصابات السحب المفاجئ: مجموعات تيليجرام. تستخدم هذه العصابات ميزة "New Token Tracer" الموجودة في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية ومن ثم تحقيق الأرباح من خلال عمليات السحب المفاجئ.
تمت الإحصاءات لمعلومات دفع العملات من هذه المجموعات في تيليجرام خلال الفترة من نوفمبر 2023 حتى أوائل أغسطس 2024، حيث تم اكتشاف أن هناك 93,930 نوعًا جديدًا من العملات تم دفعها، من بينها 46,526 نوعًا تتعلق بعمليات Rug Pull، مما يمثل نسبة تصل إلى 49.53%. وفقًا للإحصاءات، كانت التكلفة الإجمالية للاستثمار من قبل العصابات وراء هذه العملات Rug Pull هي 149,813.72 ايثر، وقد حققوا أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد يصل إلى 188.7%، مما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعة Telegram على شبكة إثيريوم الرئيسية، تم إحصاء بيانات العملات الجديدة الصادرة على شبكة إثيريوم الرئيسية خلال نفس الفترة الزمنية. تشير البيانات إلى أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، حيث تمثل العملات التي تم دفعها عبر مجموعة Telegram 89.99% من الشبكة الرئيسية. يتم إنشاء حوالي 370 عملة جديدة يوميًا، وهو ما يتجاوز التوقعات المعقولة. بعد تحقيقات مستمرة، كانت الحقيقة مقلقة - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، وهو ما يمثل 48.14% من الإجمالي. بعبارة أخرى، كل عملتين جديدتين على شبكة إثيريوم الرئيسية تقريبًا واحدة منهما متورطة في الاحتيال.
بالإضافة إلى ذلك، تم اكتشاف المزيد من حالات سحب السجادة في شبكات blockchain الأخرى. وهذا يعني أن الوضع الأمني لعملات جديدة في بيئة Web3 لا يقتصر فقط على شبكة إثيريوم الرئيسية، بل هو أكثر خطورة مما هو متوقع. لذلك، تم إعداد هذا التقرير البحثي، على أمل أن يساعد جميع أعضاء Web3 في تعزيز الوعي بالوقاية، والحفاظ على اليقظة في مواجهة الاحتيالات المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أمان أصولهم.
رمز ERC-20
قبل أن نبدأ رسميًا في هذا التقرير، دعونا نفهم بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين، حيث تحدد مجموعة من المواصفات التي تتيح للعملات التفاعل بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). تنص مواصفة ERC-20 على الوظائف الأساسية للعملة، مثل التحويل، واستعلام الرصيد، وتفويض الأطراف الثالثة لإدارة العملة، وغيرها. بفضل بروتوكول الموحد هذا، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي شخص أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريعهم المالية من خلال بيع العملات مسبقًا. وبسبب الاستخدام الواسع لعملات ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
USDT و PEPE و DOGE التي نعرفها جميعًا تنتمي إلى عملة ERC-20، يمكن للمستخدمين شراء هذه العملة من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال أيضًا بإصدار عملة ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، وإدراجها في البورصات اللامركزية، ثم تحفيز المستخدمين على الشراء.
حالات احتيال نموذجية لعملة سحب البساط
هنا، نستخدم حالة احتيال لعملة Rug Pull لاستكشاف نموذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب توضيح أن Rug Pull يشير إلى سلوك احتيالي حيث يقوم فريق المشروع في مشاريع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يتسبب في خسائر كبيرة للمستثمرين. بينما عملة Rug Pull هي عملة تُصدر خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملات Rug Pull المذكورة في هذه المقالة أحيانًا باسم "عملة وعاء العسل (Honey Pot)" أو "عملة احتيال الخروج (Exit Scam)"، لكننا سنشير إليها في ما يلي باسم عملات Rug Pull.
حالة
قام المهاجمون (عصابة سحب البساط) بنشر عملة TOMMI باستخدام عنوان Deployer (0x4bAF) ، ثم أنشأوا حوض سيولة باستخدام 1.5 ETH و 100,000,000 عملة TOMMI ، وقاموا بنشاط بشراء عملة TOMMI من عناوين أخرى لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يتم خداع عدد معين من روبوتات الشراء الجديدة ، يقوم المهاجمون باستخدام عنوان Rug Puller (0x43a9) لتنفيذ سحب البساط ، حيث يقوم Rug Puller بضرب حوض السيولة بـ 38,739,354 عملة TOMMI واستبدالها بحوالي 3.95 ETH. تأتي عملات Rug Puller من تفويض الموافقة الضار لعقد عملة TOMMI ، حيث يمنح عقد عملة TOMMI إذن الموافقة لحوض السيولة عند نشره ، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم تنفيذ سحب البساط.
عملية سحب السجادة
المهاجم قام بتمويل 2.47309009ETH إلى Token Deployer (0x4bAF) من خلال إحدى البورصات كأموال لبدء عملية Rug Pull.
قام Deployer بإنشاء عملة TOMMI، وتم تعدين 100,000,000 عملة مسبقًا وتوزيعها على نفسه.
قام المُنشئ باستخدام 1.5 ايثر وجميع عملات التعدين المسبق لإنشاء بركة السيولة، وحصل على حوالي 0.387 عملة LP.
تم إرسال جميع عملات LP إلى عنوان 0 للتدمير بواسطة Token Deployer، نظرًا لعدم وجود وظيفة Mint في عقد TOMMI، فإن Token Deployer قد فقد نظريًا القدرة على Rug Pull في هذه المرحلة. (هذا أيضًا واحد من الشروط الضرورية لجذب روبوتات الطرح الجديدة، حيث تقوم بعض روبوتات الطرح الجديدة بتقييم ما إذا كانت العملات الجديدة في المسبح تحتوي على مخاطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الطرح الجديدة).
المهاجمون يستخدمون عدة عناوين لشراء عملة TOMMI بنشاط من تجمع السيولة، مما يؤدي إلى رفع حجم التداول في التجمع، وجذب المزيد من روبوتات التداول الجديدة (الأساس في تحديد أن هذه العناوين هي لهجمات مزيفة هو أن الأموال المرتبطة بهذه العناوين تأتي من عنوان تحويل الأموال التاريخية لعصابة Rug Pull).
قام المهاجم بإطلاق سحب الغطاء من عنوان Rug Puller (0x43A9) ، وسحب مباشرة 38,739,354 عملة من حوض السيولة عبر ثغرة في الرمز، ثم استخدم هذه العملات لتفريغ الحوض، وحصل على حوالي 3.95 ايثر.
المهاجم يرسل الأموال المستلمة من سحب البساط إلى عنوان وسيط.
سيتم إرسال الأموال من عنوان النقل إلى عنوان الاحتفاظ بالأموال. من هنا يمكننا أن نرى أنه بعد الانتهاء من عملية السحب المفاجئ، سيقوم الساحب المفاجئ بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان الاحتفاظ بالأموال هو المكان الذي تم تجميع فيه الأموال من العديد من حالات السحب المفاجئ المراقبة، وسيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من السحب المفاجئ، بينما سيتم سحب كمية صغيرة من الأموال عبر أحد البورصات. تم اكتشاف العديد من عناوين الاحتفاظ بالأموال، و0x2836 هو واحد منها.
كود ثغرة سحب السجاد
على الرغم من أن المهاجمين حاولوا إثبات أنهم غير قادرين على تنفيذ عملية سحب البساط من خلال تدمير عملات LP، إلا أن المهاجمين تركوا في الواقع ثغرة خبيثة من خلال وظيفة openTrading في عقد عملة TOMMI، والتي ستسمح عند إنشاء تجمع السيولة بتفويض صلاحيات نقل العملات إلى عنوان ساحب البساط، مما يسمح لعنوان ساحب البساط بسحب العملات مباشرة من تجمع السيولة.
تنفيذ دالة openTrading له الوظيفة الرئيسية هي إنشاء برك السيولة الجديدة، ولكن المهاجم استدعى دالة الباب الخلفي onInit داخل هذه الدالة، مما يجعل uniswapV2Pair تمنح عنوان _chefAddress صلاحية نقل عدد type(uint256) من العملة. حيث uniswapV2Pair هو عنوان بركة السيولة، و _chefAddress هو عنوان Rug Puller، وقد تم تحديد _chefAddress عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربعة التالية:
يقوم المهاجمون بالحصول على مصدر تمويل لعنوان المُنشئ (Deployer) من خلال أحد البورصات.
يقوم المطور بإنشاء حوض السيولة وتدمير رموز LP: بعد أن يقوم المطور بإنشاء رموز Rug Pull، يقوم على الفور بإنشاء حوض السيولة الخاص بها، وتدمير رموز LP، لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
يقوم ساحب السجادة Exchange大量 العملات في تجمع السيولة للحصول على ETH: عنوان ساحب السجادة (Rug Puller) يستخدم大量 العملات (عادة ما تكون الكمية أكبر بكثير من إجمالي المعروض من العملات) Exchange للحصول على ETH من تجمع السيولة. في حالات أخرى، يقوم ساحب السجادة أيضًا بإزالة السيولة للحصول على ETH من التجمع.
يقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان الاحتفاظ بالأموال: سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه إلى عنوان الاحتفاظ بالأموال، وأحيانًا يتم الانتقال عبر عنوان وسطي.
توجد هذه الخصائص بشكل شائع في الحالات الملتقطة، مما يشير إلى أن سلوك سحب السجادة يتميز بسمات نمطية واضحة. بالإضافة إلى ذلك، بعد إتمام سحب السجادة، يتم عادة تجميع الأموال في عنوان احتفاظ بالأموال، مما يوحي بأن هذه الحالات المستقلة من سحب السجادة قد تنطوي على نفس المجموعة أو حتى نفس العصابة.
استنادًا إلى هذه الخصائص، تم استخراج نمط سلوك Rug Pull، واستخدام هذا النمط لمسح الحالات التي تم مراقبتها، بهدف بناء صورة محتملة لعصابات الاحتيال.
عصابة سحب السجادة
عنوان الاحتفاظ بأموال التعدين
كما ذُكر سابقًا، عادةً ما تقوم حالات Rug Pull بجمع الأموال في النهاية إلى عنوان الاحتفاظ بالأموال. بناءً على هذا النموذج، تم اختيار عدد من عناوين الاحتفاظ بالأموال النشطة للغاية والتي تتميز بوضوح بأسلوب تنفيذ الحالات المرتبطة بها لإجراء تحليل عميق.
هناك 7 عناوين للاحتفاظ بالأموال التي ظهرت في الأفق، وترتبط هذه العناوين بـ 1,124 حالة من حالات السحب غير المشروع (Rug Pull) التي تم التقاطها بنجاح بواسطة نظام مراقبة الهجمات على الشبكة. بعد نجاح تنفيذ الخداع، يقوم عصابة السحب غير المشروع بجمع الأرباح غير القانونية في هذه العناوين للاحتفاظ بالأموال. وستقوم هذه العناوين للاحتفاظ بالأموال بتقسيم الأموال المحتجزة لاستخدامها في إنشاء عملات جديدة في خدع السحب غير المشروع المستقبلية، والتلاعب في برك السيولة، وغيرها من الأنشطة. بالإضافة إلى ذلك، يتم تحويل جزء صغير من الأموال المحتجزة إلى نقد من خلال تبادل أو منصة تحويل فوري.
من خلال إحصاء تكلفة وإيرادات جميع عمليات الاحتيال Rug Pull في كل عنوان محتفظ بالأموال، تم الحصول على البيانات ذات الصلة.
في عملية احتيال Rug Pull كاملة، عادةً ما تستخدم عصابة Rug Pull عنوانًا واحدًا كمنشئ (Deployer) لعملة Rug Pull، وتحصل على تمويل البداية عن طريق سحب الأموال من خلال إحدى البورصات لإنشاء عملة Rug Pull وحوض السيولة المناسب. عندما يتم جذب عدد كافٍ من المستخدمين أو روبوتات الشراء الجديدة لشراء عملة Rug Pull باستخدام ETH، ستستخدم عصابة Rug Pull عنوانًا آخر كمنفذ (Rug Puller) للعملية، لنقل الأموال المكتسبة إلى عنوان الاحتفاظ بالأموال.
في العملية المذكورة أعلاه، يتم اعتبار ETH الذي حصل عليه Deployer من خلال البورصة، أو ETH الذي استثمره Deployer عند إنشاء حوض السيولة، كتكلفة سحب السجادة (كيفية حساب ذلك بالضبط)