L'écosystème des nouveaux jetons Ethereum suscite des inquiétudes : près de la moitié des cas suspects de Rug Pull impliquent un montant de 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, dévoilant le chaos de l'écosystème de jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont sans exception des nouveaux jetons qui viennent d'être mis en chaîne.
Ensuite, une enquête approfondie a été menée sur ces cas de Rug Pull, révélant l'existence de gangs organisés derrière eux, et résumant les caractéristiques schématiques de ces escroqueries. À travers une analyse approfondie des méthodes de ces gangs, une voie de promotion possible des escroqueries de Rug Pull a été découverte : les groupes Telegram. Ces gangs exploitent la fonctionnalité "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des profits grâce au Rug Pull.
Des informations sur les jetons poussés dans ces groupes Telegram ont été collectées entre novembre 2023 et début août 2024, révélant un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons liés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total investi par les groupes derrière ces jetons Rug Pull s'élève à 149 813,72 Éther, réalisant un profit de 282 699,96 Éther avec un taux de retour allant jusqu'à 188,7 %, ce qui équivaut à environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par des groupes Telegram sur le réseau principal Ethereum, les données des nouveaux jetons émis sur le réseau principal Ethereum durant la même période ont été compilées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % provenaient de jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après des enquêtes approfondies, la vérité révélée est troublante : au moins 48 265 jetons sont impliqués dans des escroqueries Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux de blockchain. Cela signifie que non seulement la chaîne principale d'Ethereum, mais la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face à une multitude d'escroqueries et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, examinons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). La norme ERC-20 spécifie les fonctionnalités de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de la gestion des jetons par des tiers. Grâce à ce protocole standardisé, les développeurs peuvent plus facilement émettre et gérer des jetons, simplifiant ainsi leur création et leur utilisation. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur la norme ERC-20 et lever des fonds de démarrage pour divers projets financiers en pré-vendant des jetons. C'est précisément en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certaines bandes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés, puis inciter les utilisateurs à les acheter.
Cas typique de fraude avec des jetons Rug Pull
Ici, nous empruntons un exemple de fraude avec un jeton Rug Pull pour examiner de plus près le modèle d'exploitation des arnaques liées aux jetons malveillants. Tout d'abord, il faut préciser que le Rug Pull fait référence à un acte de fraude dans lequel l'équipe du projet retire soudainement des fonds ou abandonne le projet dans des projets de finance décentralisée, entraînant de lourdes pertes pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mettre en œuvre ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans le texte ci-dessous, nous les appellerons uniformément jetons Rug Pull.
cas
L'attaquant (un groupe de Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI par d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de nouvelle émission sur la chaîne à acheter des jetons TOMMI. Lorsqu'un certain nombre de robots de nouvelle émission se font avoir, l'attaquant utilise l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour frapper le pool de liquidité, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat de jeton TOMMI, le contrat de jeton TOMMI, lors de son déploiement, accorde au Rug Puller les droits d'approbation du pool de liquidité, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.
processus de Rug Pull
Préparer les fonds pour l'attaque.
L'attaquant a rechargé 2,47309009ETH vers le Token Deployer (0x4bAF) via un échange, comme capital de démarrage pour un Rug Pull.
Déployer des jetons Rug Pull avec porte dérobée.
Le Deployer crée le jeton TOMMI, pré-mine 100,000,000 jetons et les attribue à lui-même.
Créer le pool de liquidités initial.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Détruire l'ensemble de l'approvisionnement en Jetons pré-minés.
Le Déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Comme le contrat TOMMI n'a pas de fonction Mint, à ce stade, le Déployeur de jetons a théoriquement perdu la capacité de Rug Pull. (C'est aussi l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés dans le pool présentent un risque de Rug Pull. Le Déployeur a également défini le propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
Volume de transactions faux.
Les attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions dans le pool et attirant davantage de robots de nouvelles (la preuve que ces adresses sont déguisées par des attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du gang Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), transférant directement 38 739 354 jetons du pool de liquidités par la porte dérobée du token, puis a utilisé ces jetons pour faire chuter le pool, extrayant environ 3,95 ETH.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit envoie des fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après qu'un Rug Pull soit terminé, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds de nombreux cas de Rug Pull détectés, et cette adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite quantité des fonds sera retirée via un certain échange. Plusieurs adresses de conservation des fonds ont été trouvées, 0x2836 en est une.
Code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer de Rug Pull en détruisant les jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI, cette porte dérobée permet au pool de liquidité d'approuver le transfert de jetons vers l'adresse du Rug Puller lors de la création du pool de liquidité, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
La fonction openTrading a pour principale fonction de créer de nouvelles pools de liquidité, mais un attaquant a appelé la fonction de porte dérobée onInit à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver à l'adresse _chefAddress un montant de type (uint256) pour le transfert de jetons. Parmi eux, uniswapV2Pair est l'adresse de la pool de liquidité et _chefAddress est l'adresse du Rug Puller, qui est spécifiée lors du déploiement du contrat.
Mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via une certaine bourse : l'attaquant fournit d'abord une source de fonds à l'adresse du déployeur (Deployer) via une certaine bourse.
Le déployeur crée un pool de liquidités et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur créera immédiatement un pool de liquidités et détruira les jetons LP, afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidités : l'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger contre de l'ETH dans le pool de liquidités. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par le Rug Pull vers une adresse de conservation des fonds : le Rug Puller transfère l'ETH récupéré vers une adresse de conservation des fonds, parfois via une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont couramment présentes dans les cas capturés, ce qui indique que le comportement de Rug Pull a des caractéristiques de modélisation évidentes. De plus, après la réalisation d'un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, un modèle de comportement de Rug Pull a été extrait et ce modèle a été utilisé pour scanner et détecter les cas surveillés, dans le but de construire un portrait des éventuels groupes de fraude.
Gang de Rug Pull
adresse de conservation des fonds minés
Comme mentionné précédemment, les cas de Rug Pull regroupent généralement les fonds vers une adresse de conservation des fonds à la fin. Sur la base de ce modèle, nous avons sélectionné plusieurs adresses de conservation des fonds très actives, dont les caractéristiques des méthodes de crime associées sont clairement visibles, pour une analyse approfondie.
Il y a 7 adresses de conservation des fonds qui sont entrées dans le viseur, et ces adresses sont liées à un total de 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques sur la chaîne. Après avoir réussi à mettre en œuvre leur escroquerie, les groupes de Rug Pull rassemblent leurs bénéfices illégaux dans ces adresses de conservation des fonds. Ces adresses de conservation des fonds vont diviser les fonds accumulés pour créer de nouveaux jetons dans de futures escroqueries de Rug Pull, manipuler des pools de liquidité, etc. De plus, une petite partie des fonds accumulés est liquidée via une certaine plateforme d'échange ou de conversion instantanée.
En analysant le coût et les revenus de toutes les arnaques Rug Pull dans chaque adresse de conservation des fonds, des données pertinentes ont été obtenues.
Dans un stratagème complet de Rug Pull, les groupes de Rug Pull utilisent généralement une adresse comme déployeur de jeton Rug Pull (Deployer) et retirent des fonds de démarrage via un échange pour créer le jeton Rug Pull et le pool de liquidités correspondant. Une fois qu'un nombre suffisant d'utilisateurs ou de bots de prévente achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur de Rug Pull (Rug Puller) pour transférer les fonds vers une adresse de conservation des fonds.
Dans le processus décrit ci-dessus, l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidité, est considéré comme le coût du Rug Pull (comment cela est calculé précisément)
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
8
Partager
Commentaire
0/400
ImpermanentPhilosopher
· Il y a 21h
Ceux qui jouent au chiffrement sont des pigeons, les Rug Pull dans l'écosystème sont inévitables.
Voir l'originalRépondre0
MetaverseLandlord
· 08-06 20:16
C'est juste un Rug Pull, non ? J'en ai assez vu.
Voir l'originalRépondre0
Rugman_Walking
· 08-06 19:54
pigeons sont toujours en route
Voir l'originalRépondre0
BloodInStreets
· 08-04 17:53
Les pigeons meurent toujours dans les nouveaux projets.
Voir l'originalRépondre0
LightningPacketLoss
· 08-04 00:20
L'univers de la cryptomonnaie a tant de pigeons, c'est vraiment à ne plus savoir pleurer.
Voir l'originalRépondre0
MainnetDelayedAgain
· 08-04 00:16
Selon la base de données, la vitesse à laquelle le nouveau projet a explosé a déjà devancé celle du report du Mainnet de trois mois... Attendre que les fleurs s'ouvrent.
Voir l'originalRépondre0
GasFeeCrying
· 08-04 00:06
Eh, qui n'a jamais été exploité ?
Voir l'originalRépondre0
GasGuzzler
· 08-04 00:05
On ne peut pas apprendre la leçon de 800 millions de dollars, c'est pitoyable.
L'écosystème des nouveaux jetons Ethereum suscite des inquiétudes : près de la moitié des cas suspects de Rug Pull impliquent un montant de 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, dévoilant le chaos de l'écosystème de jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces questions ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont sans exception des nouveaux jetons qui viennent d'être mis en chaîne.
Ensuite, une enquête approfondie a été menée sur ces cas de Rug Pull, révélant l'existence de gangs organisés derrière eux, et résumant les caractéristiques schématiques de ces escroqueries. À travers une analyse approfondie des méthodes de ces gangs, une voie de promotion possible des escroqueries de Rug Pull a été découverte : les groupes Telegram. Ces gangs exploitent la fonctionnalité "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement réaliser des profits grâce au Rug Pull.
Des informations sur les jetons poussés dans ces groupes Telegram ont été collectées entre novembre 2023 et début août 2024, révélant un total de 93 930 nouveaux jetons, dont 46 526 étaient des jetons liés à des Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total investi par les groupes derrière ces jetons Rug Pull s'élève à 149 813,72 Éther, réalisant un profit de 282 699,96 Éther avec un taux de retour allant jusqu'à 188,7 %, ce qui équivaut à environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons poussés par des groupes Telegram sur le réseau principal Ethereum, les données des nouveaux jetons émis sur le réseau principal Ethereum durant la même période ont été compilées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont 89,99 % provenaient de jetons poussés par des groupes Telegram. En moyenne, environ 370 nouveaux jetons naissent chaque jour, dépassant largement les attentes raisonnables. Après des enquêtes approfondies, la vérité révélée est troublante : au moins 48 265 jetons sont impliqués dans des escroqueries Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux de blockchain. Cela signifie que non seulement la chaîne principale d'Ethereum, mais la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus grave que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face à une multitude d'escroqueries et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer officiellement ce rapport, examinons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain aujourd'hui. Ils définissent un ensemble de spécifications permettant aux jetons d'interopérer entre différents contrats intelligents et applications décentralisées (dApp). La norme ERC-20 spécifie les fonctionnalités de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de la gestion des jetons par des tiers. Grâce à ce protocole standardisé, les développeurs peuvent plus facilement émettre et gérer des jetons, simplifiant ainsi leur création et leur utilisation. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur la norme ERC-20 et lever des fonds de démarrage pour divers projets financiers en pré-vendant des jetons. C'est précisément en raison de l'application généralisée des jetons ERC-20 qu'ils sont devenus la base de nombreux ICO et projets de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certaines bandes de fraudeurs peuvent également émettre leurs propres jetons ERC-20 malveillants avec des portes dérobées dans le code, les lister sur des échanges décentralisés, puis inciter les utilisateurs à les acheter.
Cas typique de fraude avec des jetons Rug Pull
Ici, nous empruntons un exemple de fraude avec un jeton Rug Pull pour examiner de plus près le modèle d'exploitation des arnaques liées aux jetons malveillants. Tout d'abord, il faut préciser que le Rug Pull fait référence à un acte de fraude dans lequel l'équipe du projet retire soudainement des fonds ou abandonne le projet dans des projets de finance décentralisée, entraînant de lourdes pertes pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mettre en œuvre ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais dans le texte ci-dessous, nous les appellerons uniformément jetons Rug Pull.
cas
L'attaquant (un groupe de Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer (0x4bAF), puis a créé un pool de liquidité avec 1,5 ETH et 100 000 000 TOMMI, et a acheté activement des jetons TOMMI par d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de nouvelle émission sur la chaîne à acheter des jetons TOMMI. Lorsqu'un certain nombre de robots de nouvelle émission se font avoir, l'attaquant utilise l'adresse Rug Puller (0x43a9) pour exécuter le Rug Pull, le Rug Puller utilise 38 739 354 jetons TOMMI pour frapper le pool de liquidité, échangeant environ 3,95 ETH. Les jetons du Rug Puller proviennent de l'autorisation malveillante d'Approve du contrat de jeton TOMMI, le contrat de jeton TOMMI, lors de son déploiement, accorde au Rug Puller les droits d'approbation du pool de liquidité, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et d'effectuer le Rug Pull.
processus de Rug Pull
L'attaquant a rechargé 2,47309009ETH vers le Token Deployer (0x4bAF) via un échange, comme capital de démarrage pour un Rug Pull.
Le Deployer crée le jeton TOMMI, pré-mine 100,000,000 jetons et les attribue à lui-même.
Le Deployer a créé un pool de liquidité avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Le Déployeur de jetons envoie tous les jetons LP à l'adresse 0 pour les détruire. Comme le contrat TOMMI n'a pas de fonction Mint, à ce stade, le Déployeur de jetons a théoriquement perdu la capacité de Rug Pull. (C'est aussi l'une des conditions nécessaires pour attirer les robots de lancement, certains robots de lancement évaluent si les jetons nouvellement ajoutés dans le pool présentent un risque de Rug Pull. Le Déployeur a également défini le propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de lancement).
Les attaquants utilisent plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions dans le pool et attirant davantage de robots de nouvelles (la preuve que ces adresses sont déguisées par des attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du gang Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller (0x43A9), transférant directement 38 739 354 jetons du pool de liquidités par la porte dérobée du token, puis a utilisé ces jetons pour faire chuter le pool, extrayant environ 3,95 ETH.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit envoie des fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après qu'un Rug Pull soit terminé, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds de nombreux cas de Rug Pull détectés, et cette adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer un nouveau cycle de Rug Pull, tandis qu'une petite quantité des fonds sera retirée via un certain échange. Plusieurs adresses de conservation des fonds ont été trouvées, 0x2836 en est une.
Code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer de Rug Pull en détruisant les jetons LP, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat de jeton TOMMI, cette porte dérobée permet au pool de liquidité d'approuver le transfert de jetons vers l'adresse du Rug Puller lors de la création du pool de liquidité, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidité.
La fonction openTrading a pour principale fonction de créer de nouvelles pools de liquidité, mais un attaquant a appelé la fonction de porte dérobée onInit à l'intérieur de cette fonction, permettant à uniswapV2Pair d'approuver à l'adresse _chefAddress un montant de type (uint256) pour le transfert de jetons. Parmi eux, uniswapV2Pair est l'adresse de la pool de liquidité et _chefAddress est l'adresse du Rug Puller, qui est spécifiée lors du déploiement du contrat.
Mode opératoire
En analysant le cas TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Deployer obtient des fonds via une certaine bourse : l'attaquant fournit d'abord une source de fonds à l'adresse du déployeur (Deployer) via une certaine bourse.
Le déployeur crée un pool de liquidités et détruit les jetons LP : après avoir créé le jeton Rug Pull, le déployeur créera immédiatement un pool de liquidités et détruira les jetons LP, afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidités : l'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger contre de l'ETH dans le pool de liquidités. Dans d'autres cas, le Rug Puller a également obtenu de l'ETH du pool en retirant la liquidité.
Rug Puller transfère l'ETH obtenu par le Rug Pull vers une adresse de conservation des fonds : le Rug Puller transfère l'ETH récupéré vers une adresse de conservation des fonds, parfois via une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont couramment présentes dans les cas capturés, ce qui indique que le comportement de Rug Pull a des caractéristiques de modélisation évidentes. De plus, après la réalisation d'un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, un modèle de comportement de Rug Pull a été extrait et ce modèle a été utilisé pour scanner et détecter les cas surveillés, dans le but de construire un portrait des éventuels groupes de fraude.
Gang de Rug Pull
adresse de conservation des fonds minés
Comme mentionné précédemment, les cas de Rug Pull regroupent généralement les fonds vers une adresse de conservation des fonds à la fin. Sur la base de ce modèle, nous avons sélectionné plusieurs adresses de conservation des fonds très actives, dont les caractéristiques des méthodes de crime associées sont clairement visibles, pour une analyse approfondie.
Il y a 7 adresses de conservation des fonds qui sont entrées dans le viseur, et ces adresses sont liées à un total de 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques sur la chaîne. Après avoir réussi à mettre en œuvre leur escroquerie, les groupes de Rug Pull rassemblent leurs bénéfices illégaux dans ces adresses de conservation des fonds. Ces adresses de conservation des fonds vont diviser les fonds accumulés pour créer de nouveaux jetons dans de futures escroqueries de Rug Pull, manipuler des pools de liquidité, etc. De plus, une petite partie des fonds accumulés est liquidée via une certaine plateforme d'échange ou de conversion instantanée.
En analysant le coût et les revenus de toutes les arnaques Rug Pull dans chaque adresse de conservation des fonds, des données pertinentes ont été obtenues.
Dans un stratagème complet de Rug Pull, les groupes de Rug Pull utilisent généralement une adresse comme déployeur de jeton Rug Pull (Deployer) et retirent des fonds de démarrage via un échange pour créer le jeton Rug Pull et le pool de liquidités correspondant. Une fois qu'un nombre suffisant d'utilisateurs ou de bots de prévente achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur de Rug Pull (Rug Puller) pour transférer les fonds vers une adresse de conservation des fonds.
Dans le processus décrit ci-dessus, l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidité, est considéré comme le coût du Rug Pull (comment cela est calculé précisément)