El nuevo ecosistema de Token de Ethereum es preocupante: cerca de la mitad de los casos sospechosos de Rug Pull involucran montos que alcanzan los 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos del ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas dudas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado numerosos casos de transacciones de Rug Pull. Cabe destacar que todos los tokens involucrados en estos casos son tokens nuevos que acaban de ser lanzados en la cadena.
Posteriormente, se realizó una investigación exhaustiva sobre estos casos de Rug Pull, descubriendo que detrás de ellos existía una organización criminal, y se resumieron las características sistemáticas de estos fraudes. A través de un análisis profundo de los métodos utilizados por estos grupos, se identificó una posible vía de promoción de fraude de los grupos de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través del Rug Pull.
Se han contabilizado las informaciones de envío de tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, encontrando un total de 93,930 nuevos tokens enviados, de los cuales 46,526 tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo total invertido por los grupos detrás de estos tokens de Rug Pull es de 149,813.72 ETH, y han obtenido beneficios de 282,699.96 ETH con una tasa de retorno de hasta el 188.7%, equivalente a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promocionados en grupos de Telegram en la red principal de Ethereum, se recopilaron datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este tiempo se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promocionados a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen aproximadamente 370 nuevos tokens al día, superando con creces las expectativas razonables. Después de una investigación exhaustiva, la verdad descubierta es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, prácticamente uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en una estafa.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la mainnet de Ethereum, sino que la seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, se redactó este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantener la vigilancia frente a las estafas que surgen constantemente y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad, y definen un conjunto de normas que permiten que los tokens sean interoperables entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consultas de saldo y autorización de terceros para gestionar los tokens. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando así la creación y el uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.
Los USDT, PEPE y DOGE que conocemos pertenecen a los tokens ERC-20, y los usuarios pueden comprar estos tokens a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de estafa de Token Rug Pull
Aquí, tomamos un caso de fraude de un Token de Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a un comportamiento fraudulento en el que el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que causa grandes pérdidas a los inversores. Un Token de Rug Pull es un token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se les llama "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
caso
Los atacantes (el grupo Rug Pull) utilizaron la dirección Deployer (0x4bAF) para desplegar el token TOMMI, luego crearon un grupo de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones del grupo de liquidez y atraer a los usuarios y a los bots de nuevos lanzamientos en la cadena a comprar tokens TOMMI. Cuando un número suficiente de bots de nuevos lanzamientos cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull, el Rug Puller inunda el grupo de liquidez con 38,739,354 tokens TOMMI, intercambiando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de una autorización maliciosa de Approve del contrato del token TOMMI; cuando se despliega el contrato del token TOMMI, se otorgan permisos de aprobación del grupo de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del grupo de liquidez y luego llevar a cabo el Rug Pull.
proceso de Rug Pull
Preparar fondos para el ataque.
Los atacantes recargaron 2.47309009ETH al Token Deployer (0x4bAF) a través de un intercambio como capital inicial para el Rug Pull.
Desplegar Token de Rug Pull con puerta trasera.
Deployer crea el Token TOMMI, pre-minando 100,000,000 tokens y asignándolos a sí mismo.
Crear un grupo de liquidez inicial.
El Deployer creó un pool de liquidez con 1.5 ETH y todos los tokens pre-minados, obteniendo aproximadamente 0.387 tokens LP.
Destruir toda la oferta de Token pre-minados.
Token Deployer envía todos los LP Tokens a la dirección 0 para destruirlos. Dado que el contrato TOMMI no tiene la función Mint, en este momento, el Token Deployer teóricamente ha perdido la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer bots de nuevas inversiones, algunos bots de nuevas inversiones evaluarán si el token recién agregado a la piscina presenta riesgos de Rug Pull. El Deployer también establece el Owner del contrato en la dirección 0, todo con el fin de engañar a los programas antifraude de los bots de nuevas inversiones).
Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente Tokens TOMMI del grupo de liquidez, elevando el volumen de transacciones del grupo y atrayendo aún más a los bots de nuevas ofertas (la base para determinar que estas direcciones son disfrazadas de atacantes es que los fondos de las direcciones relacionadas provienen de las direcciones de transferencia de fondos históricas del grupo Rug Pull).
El atacante inició un Rug Pull a través de la dirección Rug Puller (0x43A9), retirando directamente 38,739,354 Token del fondo de liquidez a través de una puerta trasera del token, y luego utilizó estos tokens para aplastar el fondo, obteniendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediación.
La dirección de transferencia enviará los fondos a la dirección de retención de fondos. A partir de aquí, podemos ver que, cuando se completa un Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se agrupan la gran cantidad de casos de Rug Pull monitoreados; la dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que la cantidad restante será retirada a través de algún intercambio. Se han descubierto varias direcciones de retención de fondos, 0x2836 es una de ellas.
código de puerta trasera de Rug Pull
Los atacantes, aunque han intentado demostrar al exterior que no pueden realizar un Rug Pull a través de la destrucción de los LP Token, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que al crear un pool de liquidez, el pool apruebe la transferencia de tokens al dirección del Rug Puller, lo que permite que la dirección del Rug Puller pueda retirar directamente los tokens del pool de liquidez.
La implementación de la función openTrading tiene como función principal crear una nueva piscina de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esa función, lo que permitió que uniswapV2Pair aprobara la transferencia de tokens por un monto de type(uint256) a la dirección _chefAddress. Donde uniswapV2Pair es la dirección de la piscina de liquidez y _chefAddress es la dirección del Rug Puller, que se especifica al desplegar el contrato.
modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Desplegador obtiene fondos a través de un intercambio: el atacante primero proporciona una fuente de fondos para la dirección del Desplegador a través de un intercambio.
El Desplegador crea un pool de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el desplegador inmediatamente crea un pool de liquidez para él y quema los tokens LP, para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Tokens para canjear ETH en el pool de liquidez: la dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Tokens (normalmente una cantidad mucho mayor que el suministro total de Tokens) para canjear ETH en el pool de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del pool al eliminar la liquidez.
Rug Puller transfiere el ETH obtenido del Rug Pull a la dirección de retención de fondos: Rug Puller transfiere el ETH obtenido a la dirección de retención de fondos, a veces a través de una dirección intermedia como transición.
Las características mencionadas anteriormente están comúnmente presentes en los casos capturados, lo que indica que el comportamiento de Rug Pull tiene características de patrón claramente definidas. Además, después de completar un Rug Pull, los fondos suelen ser agrupados en una dirección de retención de fondos, lo que sugiere que estos aparentes casos independientes de Rug Pull podrían involucrar al mismo grupo de estafadores o incluso a la misma estafa.
Basado en estas características, se ha extraído un patrón de comportamiento de Rug Pull y se ha utilizado este patrón para escanear y detectar casos monitorizados, con el objetivo de construir un posible perfil de los grupos de estafa.
Grupo de delincuentes de Rug Pull
dirección de retención de fondos de minería
Como se mencionó anteriormente, los casos de Rug Pull suelen reunir fondos en una dirección de retención de fondos al final. Basado en este modelo, se seleccionaron algunas direcciones de retención de fondos que son altamente activas y cuyos métodos de operación son claramente evidentes para un análisis más profundo.
Se han detectado un total de 7 direcciones de retención de fondos, que están asociadas con 1,124 casos de Rug Pull, capturados con éxito por el sistema de monitoreo de ataques en cadena. Después de llevar a cabo el engaño con éxito, los grupos de Rug Pull reúnen las ganancias ilícitas en estas direcciones de retención de fondos. Estas direcciones de retención de fondos dividen los fondos acumulados para crear nuevos tokens y manipular pools de liquidez en futuros engaños de Rug Pull. Además, una pequeña parte de los fondos acumulados se convierte en efectivo a través de algún intercambio o plataforma de intercambio rápido.
A través de la estadística del costo y los ingresos de todas las estafas de Rug Pull en cada dirección de retención de fondos, se obtuvieron datos relevantes.
En un esquema completo de Rug Pull, el grupo de Rug Pull suele utilizar una dirección como el desplegador (Deployer) del token de Rug Pull y obtiene fondos iniciales a través de un intercambio para crear el token de Rug Pull y el correspondiente pool de liquidez. Cuando atraen a un número suficiente de usuarios o bots de compra para usar Ether (ETH) para comprar el token de Rug Pull, el grupo de Rug Pull utiliza otra dirección como el ejecutor de Rug Pull (Rug Puller) para llevar a cabo la operación, transfiriendo los fondos obtenidos a una dirección de retención de fondos.
En el proceso anterior, se considerará el ETH obtenido por el Deployer a través del intercambio, o el ETH que el Deployer invirtió al crear el pool de liquidez, como el costo del Rug Pull (específicamente, cómo se calcula).
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
8
Compartir
Comentar
0/400
ImpermanentPhilosopher
· 08-06 23:56
Los que juegan con encriptación son tontos, el Rug Pull en el ecosistema es inevitable.
Ver originalesResponder0
MetaverseLandlord
· 08-06 20:16
¿Rug Pull? He visto demasiado.
Ver originalesResponder0
Rugman_Walking
· 08-06 19:54
tontos siempre están en el camino
Ver originalesResponder0
BloodInStreets
· 08-04 17:53
tontos siempre mueren en nuevos proyectos
Ver originalesResponder0
LightningPacketLoss
· 08-04 00:20
mundo Cripto tontos hay tantos, realmente no puedo dejar de llorar.
Ver originalesResponder0
MainnetDelayedAgain
· 08-04 00:16
Según la base de datos, la velocidad de explosión de nuevos proyectos ya ha superado la velocidad de retraso del Mainnet en tres meses... Esperando a que florezca.
Ver originalesResponder0
GasFeeCrying
· 08-04 00:06
Ay, ¿quién no ha sido engañado alguna vez?
Ver originalesResponder0
GasGuzzler
· 08-04 00:05
No se puede aprender la lección de 800 millones de dólares, qué triste.
El nuevo ecosistema de Token de Ethereum es preocupante: cerca de la mitad de los casos sospechosos de Rug Pull involucran montos que alcanzan los 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos del ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas dudas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado numerosos casos de transacciones de Rug Pull. Cabe destacar que todos los tokens involucrados en estos casos son tokens nuevos que acaban de ser lanzados en la cadena.
Posteriormente, se realizó una investigación exhaustiva sobre estos casos de Rug Pull, descubriendo que detrás de ellos existía una organización criminal, y se resumieron las características sistemáticas de estos fraudes. A través de un análisis profundo de los métodos utilizados por estos grupos, se identificó una posible vía de promoción de fraude de los grupos de Rug Pull: los grupos de Telegram. Estos grupos utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través del Rug Pull.
Se han contabilizado las informaciones de envío de tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, encontrando un total de 93,930 nuevos tokens enviados, de los cuales 46,526 tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo total invertido por los grupos detrás de estos tokens de Rug Pull es de 149,813.72 ETH, y han obtenido beneficios de 282,699.96 ETH con una tasa de retorno de hasta el 188.7%, equivalente a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens promocionados en grupos de Telegram en la red principal de Ethereum, se recopilaron datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que durante este tiempo se emitieron un total de 100,260 nuevos tokens, de los cuales los tokens promocionados a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen aproximadamente 370 nuevos tokens al día, superando con creces las expectativas razonables. Después de una investigación exhaustiva, la verdad descubierta es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa un 48.14%. En otras palabras, prácticamente uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en una estafa.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la mainnet de Ethereum, sino que la seguridad de todo el nuevo ecosistema de tokens de Web3 es mucho más grave de lo que se esperaba. Por lo tanto, se redactó este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a aumentar su conciencia de prevención, mantener la vigilancia frente a las estafas que surgen constantemente y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero entendamos algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad, y definen un conjunto de normas que permiten que los tokens sean interoperables entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 especifica las funciones básicas de los tokens, como transferencias, consultas de saldo y autorización de terceros para gestionar los tokens. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens más fácilmente, simplificando así la creación y el uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos ICO y proyectos de finanzas descentralizadas.
Los USDT, PEPE y DOGE que conocemos pertenecen a los tokens ERC-20, y los usuarios pueden comprar estos tokens a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de estafa de Token Rug Pull
Aquí, tomamos un caso de fraude de un Token de Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a un comportamiento fraudulento en el que el equipo del proyecto retira repentinamente los fondos o abandona el proyecto en un proyecto de finanzas descentralizadas, lo que causa grandes pérdidas a los inversores. Un Token de Rug Pull es un token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se les llama "tokens Honey Pot" o "tokens Exit Scam", pero en lo que sigue nos referiremos a ellos de manera uniforme como tokens Rug Pull.
caso
Los atacantes (el grupo Rug Pull) utilizaron la dirección Deployer (0x4bAF) para desplegar el token TOMMI, luego crearon un grupo de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compraron activamente tokens TOMMI a través de otras direcciones para falsificar el volumen de transacciones del grupo de liquidez y atraer a los usuarios y a los bots de nuevos lanzamientos en la cadena a comprar tokens TOMMI. Cuando un número suficiente de bots de nuevos lanzamientos cae en la trampa, los atacantes utilizan la dirección Rug Puller (0x43a9) para ejecutar el Rug Pull, el Rug Puller inunda el grupo de liquidez con 38,739,354 tokens TOMMI, intercambiando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de una autorización maliciosa de Approve del contrato del token TOMMI; cuando se despliega el contrato del token TOMMI, se otorgan permisos de aprobación del grupo de liquidez al Rug Puller, lo que permite al Rug Puller retirar directamente los tokens TOMMI del grupo de liquidez y luego llevar a cabo el Rug Pull.
proceso de Rug Pull
Los atacantes recargaron 2.47309009ETH al Token Deployer (0x4bAF) a través de un intercambio como capital inicial para el Rug Pull.
Deployer crea el Token TOMMI, pre-minando 100,000,000 tokens y asignándolos a sí mismo.
El Deployer creó un pool de liquidez con 1.5 ETH y todos los tokens pre-minados, obteniendo aproximadamente 0.387 tokens LP.
Token Deployer envía todos los LP Tokens a la dirección 0 para destruirlos. Dado que el contrato TOMMI no tiene la función Mint, en este momento, el Token Deployer teóricamente ha perdido la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer bots de nuevas inversiones, algunos bots de nuevas inversiones evaluarán si el token recién agregado a la piscina presenta riesgos de Rug Pull. El Deployer también establece el Owner del contrato en la dirección 0, todo con el fin de engañar a los programas antifraude de los bots de nuevas inversiones).
Los atacantes utilizan múltiples direcciones para comprar activamente Tokens TOMMI del grupo de liquidez, elevando el volumen de transacciones del grupo y atrayendo aún más a los bots de nuevas ofertas (la base para determinar que estas direcciones son disfrazadas de atacantes es que los fondos de las direcciones relacionadas provienen de las direcciones de transferencia de fondos históricas del grupo Rug Pull).
El atacante inició un Rug Pull a través de la dirección Rug Puller (0x43A9), retirando directamente 38,739,354 Token del fondo de liquidez a través de una puerta trasera del token, y luego utilizó estos tokens para aplastar el fondo, obteniendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediación.
La dirección de transferencia enviará los fondos a la dirección de retención de fondos. A partir de aquí, podemos ver que, cuando se completa un Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se agrupan la gran cantidad de casos de Rug Pull monitoreados; la dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que la cantidad restante será retirada a través de algún intercambio. Se han descubierto varias direcciones de retención de fondos, 0x2836 es una de ellas.
código de puerta trasera de Rug Pull
Los atacantes, aunque han intentado demostrar al exterior que no pueden realizar un Rug Pull a través de la destrucción de los LP Token, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que al crear un pool de liquidez, el pool apruebe la transferencia de tokens al dirección del Rug Puller, lo que permite que la dirección del Rug Puller pueda retirar directamente los tokens del pool de liquidez.
La implementación de la función openTrading tiene como función principal crear una nueva piscina de liquidez, pero el atacante llamó a la función de puerta trasera onInit dentro de esa función, lo que permitió que uniswapV2Pair aprobara la transferencia de tokens por un monto de type(uint256) a la dirección _chefAddress. Donde uniswapV2Pair es la dirección de la piscina de liquidez y _chefAddress es la dirección del Rug Puller, que se especifica al desplegar el contrato.
modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Desplegador obtiene fondos a través de un intercambio: el atacante primero proporciona una fuente de fondos para la dirección del Desplegador a través de un intercambio.
El Desplegador crea un pool de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el desplegador inmediatamente crea un pool de liquidez para él y quema los tokens LP, para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Tokens para canjear ETH en el pool de liquidez: la dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Tokens (normalmente una cantidad mucho mayor que el suministro total de Tokens) para canjear ETH en el pool de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del pool al eliminar la liquidez.
Rug Puller transfiere el ETH obtenido del Rug Pull a la dirección de retención de fondos: Rug Puller transfiere el ETH obtenido a la dirección de retención de fondos, a veces a través de una dirección intermedia como transición.
Las características mencionadas anteriormente están comúnmente presentes en los casos capturados, lo que indica que el comportamiento de Rug Pull tiene características de patrón claramente definidas. Además, después de completar un Rug Pull, los fondos suelen ser agrupados en una dirección de retención de fondos, lo que sugiere que estos aparentes casos independientes de Rug Pull podrían involucrar al mismo grupo de estafadores o incluso a la misma estafa.
Basado en estas características, se ha extraído un patrón de comportamiento de Rug Pull y se ha utilizado este patrón para escanear y detectar casos monitorizados, con el objetivo de construir un posible perfil de los grupos de estafa.
Grupo de delincuentes de Rug Pull
dirección de retención de fondos de minería
Como se mencionó anteriormente, los casos de Rug Pull suelen reunir fondos en una dirección de retención de fondos al final. Basado en este modelo, se seleccionaron algunas direcciones de retención de fondos que son altamente activas y cuyos métodos de operación son claramente evidentes para un análisis más profundo.
Se han detectado un total de 7 direcciones de retención de fondos, que están asociadas con 1,124 casos de Rug Pull, capturados con éxito por el sistema de monitoreo de ataques en cadena. Después de llevar a cabo el engaño con éxito, los grupos de Rug Pull reúnen las ganancias ilícitas en estas direcciones de retención de fondos. Estas direcciones de retención de fondos dividen los fondos acumulados para crear nuevos tokens y manipular pools de liquidez en futuros engaños de Rug Pull. Además, una pequeña parte de los fondos acumulados se convierte en efectivo a través de algún intercambio o plataforma de intercambio rápido.
A través de la estadística del costo y los ingresos de todas las estafas de Rug Pull en cada dirección de retención de fondos, se obtuvieron datos relevantes.
En un esquema completo de Rug Pull, el grupo de Rug Pull suele utilizar una dirección como el desplegador (Deployer) del token de Rug Pull y obtiene fondos iniciales a través de un intercambio para crear el token de Rug Pull y el correspondiente pool de liquidez. Cuando atraen a un número suficiente de usuarios o bots de compra para usar Ether (ETH) para comprar el token de Rug Pull, el grupo de Rug Pull utiliza otra dirección como el ejecutor de Rug Pull (Rug Puller) para llevar a cabo la operación, transfiriendo los fondos obtenidos a una dirección de retención de fondos.
En el proceso anterior, se considerará el ETH obtenido por el Deployer a través del intercambio, o el ETH que el Deployer invirtió al crear el pool de liquidez, como el costo del Rug Pull (específicamente, cómo se calcula).