Web3 dünyasında yeni Token'lar sürekli ortaya çıkıyor. Her gün ne kadar yeni Token'ın piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni Token'lar güvenli mi?
Bu soruların ortaya çıkması boşuna değil. Son birkaç ay içinde, güvenlik ekibi çok sayıda Rug Pull işlem vakası yakaladı. Dikkate değer olan, bu vakalarda yer alan Token'ların hepsinin yeni bir şekilde zincire eklenmiş Token'lar olması.
Sonrasında, bu Rug Pull vakaları üzerinde derinlemesine bir araştırma yapıldı ve arkasında organize bir suç çetesi olduğu tespit edildi. Bu dolandırıcılıkların kalıplaşmış özellikleri özetlendi. Bu çetelerin suç işleme yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolu olarak Telegram gruplarını keşfettik. Bu çeteler, bazı gruplardaki "New Token Tracer" işlevini kullanarak kullanıcıları dolandırıcı token satın almaya teşvik ediyor ve sonunda Rug Pull ile kazanç sağlıyor.
2023 Kasım ile 2024 Ağustos başı arasında bu Telegram gruplarının Token gönderim bilgileri istatistik olarak toplandı ve toplamda 93,930 yeni Token gönderildiği tespit edildi; bunlardan 46,526'sı Rug Pull ile ilgili olup, oranı %49,53'e kadar çıkmaktadır. İstatistiklere göre, bu Rug Pull Token'larının arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 Eter olup, %188.7'ye varan bir getiri oranı ile 282,699.96 Eter kazanç sağlanmış, bu da yaklaşık 800 milyon dolara denk gelmektedir.
Telegram grubunun yeni Token'lerinin Ethereum ana ağındaki payını değerlendirmek için, aynı zaman diliminde Ethereum ana ağında çıkarılan yeni Token verileri istatistiksel olarak incelendi. Veriler, bu süre zarfında toplam 100.260 yeni Token'in çıkarıldığını ve bunlardan Telegram grubuyla gönderilen Token'lerin ana ağın %89.99'unu oluşturduğunu gösteriyor. Ortalama olarak her gün yaklaşık 370 yeni Token doğuyor, bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine yapılan araştırmaların ardından ortaya çıkan gerçek endişe verici - en az 48.265 Token'in Rug Pull dolandırıcılığı ile ilişkili olduğu ve bu oranın %48.14'e ulaştığı tespit edildi. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni Token'den biri dolandırıcılıkla ilişkili.
Ayrıca, diğer blok zinciri ağlarında daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağının değil, tüm Web3 yeni çıkan token ekosisteminin güvenlik durumunun beklentilerden çok daha ciddi olduğunu göstermektedir. Bu araştırma raporunu yazma amacı, tüm Web3 üyelerinin önlem alma bilincini artırabilmek, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli kalmalarını sağlamak ve zamanında gerekli önleyici tedbirleri alarak varlık güvenliklerini korumalarına yardımcı olmaktır.
ERC-20 Token
Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.
ERC-20 Token, blockchain üzerinde en yaygın token standartlarından biridir ve tokenların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında birlikte çalışabilmesini sağlamak için bir dizi standart tanımlar. ERC-20 standardı, tokenın temel işlevlerini belirler, örneğin transfer, bakiye sorgulama, üçüncü tarafın token yönetimini yetkilendirme gibi. Bu standart protokol sayesinde, geliştiriciler tokenları daha kolay bir şekilde çıkarabilir ve yönetebilir, böylece token yaratma ve kullanımını basitleştirir. Gerçekte, herhangi bir birey veya kuruluş, ERC-20 standardına dayalı kendi tokenını çıkarabilir ve çeşitli finansal projeler için başlangıç fonu toplamak amacıyla tokenları ön satış yoluyla satabilir. ERC-20 Token'ın geniş kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.
Bizim bildiğimiz USDT, PEPE, DOGE ERC-20 Token'ına aittir ve kullanıcılar bu Token'ları merkeziyetsiz borsalardan satın alabilirler. Ancak, bazı dolandırıcılık çeteleri de kötü niyetli ERC-20 Token'ları, arka kapı kodlarıyla birlikte kendi başlarına yayınlayabilir, bunları merkeziyetsiz borsalarda listeleyebilir ve kullanıcıları satın almaya teşvik edebilir.
Rug Pull Token'un tipik dolandırıcılık vakası
Burada, bir Rug Pull Token dolandırıcılık örneğinden yararlanarak kötü niyetli token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. Öncelikle, Rug Pull'ün, proje sahiplerinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeden vazgeçmesi sonucu yatırımcıların büyük kayıplar yaşadığı dolandırıcılık eylemi olduğunu belirtmek gerekir. Rug Pull tokenler ise bu tür dolandırıcılık eylemlerini gerçekleştirmek için özel olarak ihraç edilen tokenlerdir.
Bu yazıda bahsedilen Rug Pull Token'ları, bazen "Honey Pot Token" veya "Exit Scam Token" olarak da adlandırılmaktadır, ancak aşağıda bunları tek tip olarak Rug Pull Token olarak adlandıracağız.
örnek
Saldırganlar (Rug Pull çetesi) Deployer adresi (0x4bAF) ile TOMMI token'ını dağıtıp, ardından 1.5 ETH ve 100,000,000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden TOMMI token'ını aktif olarak satın alarak sahte likidite havuzu işlem hacmi oluşturdu. Bu şekilde kullanıcıları ve zincir üzerindeki yeni token alım botlarını TOMMI token'ını satın almaya çektiler. Belirli sayıda yeni token alım botu tuzağa düştüğünde, saldırgan Rug Puller adresi (0x43a9) kullanarak Rug Pull işlemini gerçekleştirdi. Rug Puller, 38,739,354 TOMMI token'ını likidite havuzuna atarak yaklaşık 3.95 ETH aldı. Rug Puller'ın token kaynağı, TOMMI token sözleşmesinin kötü niyetli Onaylama yetkisi ile geldi; TOMMI token sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisi verilmiştir. Bu, Rug Puller'ın doğrudan likidite havuzundan TOMMI token'ını çekmesine ve ardından Rug Pull yapmasına olanak tanımıştır.
Rug Pull süreci
Saldırı fonlarını hazırlayın.
Saldırgan, bir borsa aracılığıyla Token Deployer'a (0x4bAF) Rug Pull'ü başlatmak için 2.47309009 Eter yatırdı.
Arka kapı içeren Rug Pull Token'ları dağıtmak.
Deployer, 100.000.000 Token ön madencilik yaparak TOMMI Token'ı oluşturur ve bunları kendisine tahsis eder.
İlk likidite havuzunu oluşturun.
Deployer, 1.5 Eter ve önceden madenciliği yapılmış tüm Token'leri kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı elde etti.
Tüm ön madencilik yapılmış Token arzını yok et.
Token Deployer, tüm LP Token'larını 0 adrese göndererek imha eder. TOMMI sözleşmesinde Mint işlevi bulunmadığı için, bu aşamada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. (Bu, yeni token'ların piyasaya girmesi için gerekli koşullardan biridir; bazı yeni token alım robotları, yeni havuzda bulunan token'ların Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca sözleşmenin sahibi olarak 0 adresini ayarlayarak, yeni token alım robotlarının dolandırıcılık tespit programlarını aşmayı hedefler).
Sahte işlem hacmi.
Saldırganlar, likidite havuzundan TOMMI token'lerini aktif olarak birden fazla adresle satın alarak havuzun işlem hacmini artırıyor ve daha fazla yeni token alım botunun devreye girmesini sağlıyor (bu adreslerin saldırganların kılık değiştirdiği kanıtıdır: ilgili adreslerin fonları, Rug Pull çetelerinin geçmiş fon transferi adreslerinden gelmektedir).
Saldırgan, Rug Puller adresi (0x43A9) aracılığıyla Rug Pull başlattı, token'ın arka kapısından doğrudan likidite havuzundan 38,739,354 adet Token transfer etti ve ardından bu Token'ları havuza atarak yaklaşık 3.95 adet Eter çıkardı.
Saldırgan, Rug Pull'dan elde edilen fonları aracı adrese gönderir.
Ara adres, fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları bir fon saklama adresine gönderdiğini görebiliriz. Fon saklama adresi, izlenen birçok Rug Pull vakasının fonlarının toplandığı yerdir, fon saklama adresi, aldığı fonların büyük bir kısmını yeni bir Rug Pull başlatmak için bölerken, geri kalan az miktardaki fonlar bir borsa aracılığıyla çekilecektir. Birkaç fon saklama adresi tespit edilmiştir, 0x2836 bunlardan biridir.
Rug Pull kod arka kapısı
Saldırganlar, LP Token'larını yok ederek dışarıya Rug Pull yapamayacaklarını kanıtlamaya çalışsalar da, aslında TOMMI token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir approve arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzu oluşturulurken likidite havuzunun Rug Puller adresine token transfer yetkisini approve etmesine neden olur, bu da Rug Puller adresinin doğrudan likidite havuzundan token çekebilmesine olanak tanır.
openTrading fonksiyonunun uygulanmasının ana işlevi yeni bir likidite havuzu oluşturmaktır, ancak saldırgan bu fonksiyon içinde onInit arka kapı fonksiyonunu çağırarak uniswapV2Pair'in _chefAddress adresine type(uint256) miktarında Token transfer yetkisi vermesini sağladı. Burada uniswapV2Pair likidite havuzu adresidir ve _chefAddress Rug Puller adresidir, _chefAddress sözleşme dağıtımı sırasında belirlenmiştir.
suç işleme modeli
TOMMI vakasını analiz ederek, aşağıdaki 4 özelliği özetleyebiliriz:
Deployer bir borsa aracılığıyla fon elde eder: Saldırgan önce bir borsa aracılığıyla Deployer adresine (Deployer) fon kaynağı sağlar.
Deployer likidite havuzu oluşturur ve LP Token'larını yok eder: Dağıtıcı, Rug Pull token'ını oluşturduktan hemen sonra onun için likidite havuzu oluşturur ve LP Token'larını yok eder, böylece projenin güvenilirliğini artırır ve daha fazla yatırımcıyı çeker.
Rug Puller, likidite havuzundaki ETH'yi büyük miktarda Token ile değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda Token (genellikle toplam Token arzını aşan miktarlar) kullanır. Diğer durumlarda, Rug Puller havuzdaki ETH'yi elde etmek için likiditeyi kaldırarak da hareket edebilir.
Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine transfer eder: Rug Puller, elde ettiği ETH'yi fon saklama adresine aktarır, bazen ara adresler aracılığıyla geçiş yapar.
Yukarıda belirtilen bu özellikler, ele geçirilen vakalarda yaygın olarak bulunmakta olup, Rug Pull davranışının belirgin bir kalıplaşmış özelliğe sahip olduğunu göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu da bu görünüşte bağımsız Rug Pull vakalarının arkasında aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini ima etmektedir.
Bu özelliklere dayanarak, bir Rug Pull davranış modeli çıkarılmıştır ve bu model kullanılarak izlenen vakalar taranarak olası dolandırıcılık çetelerinin profili oluşturulmaya çalışılmıştır.
Rug Pull Suç Çetesi
Kazı fonu saklama adresi
Yukarıda belirtildiği gibi, Rug Pull vakaları genellikle sonunda fonları bir fon tutma adresinde toplar. Bu modele dayanarak, belirgin suçlama yöntemleri olan yüksek derecede aktif birkaç fon tutma adresi seçildi ve derinlemesine analiz edildi.
Görünümde toplam 7 adet fon tutma adresi var, bu adreslerle ilişkili Rug Pull vakalarının sayısı 1.124'tür ve bunlar blok zinciri üzerindeki saldırı izleme sistemi tarafından başarıyla tespit edilmiştir. Rug Pull çeteleri, dolandırıcılığı başarıyla uyguladıktan sonra, yasa dışı kazançları bu fon tutma adreslerinde toplayacaklardır. Bu fon tutma adresleri, birikmiş fonları bölerek gelecekteki yeni Rug Pull dolandırıcılıklarında yeni Token yaratmak, likidite havuzlarını manipüle etmek gibi faaliyetlerde kullanılacaktır. Ayrıca, bir miktar birikmiş fon, belirli bir borsa veya hızlı değiştirme platformu aracılığıyla nakde çevrilecektir.
Her bir fon saklama adresindeki tüm Rug Pull dolandırıcılıklarının maliyetleri ve gelirleri istatistiksel olarak incelenerek ilgili veriler elde edilmiştir.
Tam bir Rug Pull dolandırıcılığında, Rug Pull çetesi genellikle bir adresi Rug Pull tokeninin dağıtımcısı (Deployer) olarak kullanır ve bir borsa üzerinden para çekerek başlangıç sermayesi elde etmek için Rug Pull tokenini ve ilgili likidite havuzunu oluşturur. Yeterli sayıda kullanıcı veya yeni token alım robotu ETH kullanarak Rug Pull tokenini satın aldıktan sonra, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak işlem yapar ve elde edilen fonları fon saklama adresine aktarır.
Yukarıdaki süreçte, Deployer'ın borsa aracılığıyla elde ettiği ETH'yi veya Deployer'ın likidite havuzu oluştururken yatırdığı ETH'yi Rug Pull maliyeti olarak değerlendirin (hesaplamanın nasıl yapılacağına dair detaylar)
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
8
Share
Comment
0/400
ImpermanentPhilosopher
· 21h ago
Şifreleme yapan herkes enayiler, ekosistem Rug Pull'ları kaçınılmazdır.
View OriginalReply0
MetaverseLandlord
· 08-06 20:16
Para toplamak ve kaçmak mı? Çok gördüm.
View OriginalReply0
Rugman_Walking
· 08-06 19:54
enayiler her zaman yolda
View OriginalReply0
BloodInStreets
· 08-04 17:53
enayiler her zaman yeni projelerde ölür
View OriginalReply0
LightningPacketLoss
· 08-04 00:20
kripto dünyası enayilerinin bu kadar çok olması gerçekten de ağlanacak haldesiniz.
View OriginalReply0
MainnetDelayedAgain
· 08-04 00:16
Veritabanına göre, yeni projelerin çöküş hızı Ana Ağ'ın ertelenme hızını üç ay geride bıraktı... Çiçeklerin açmasını bekliyoruz
Ethereum yeni Token ekosisteminin endişe verici durumu: Yaklaşık yarısı şüpheli Rug Pull olan olayların toplam tutarı 800 milyon dolar.
Rug Pull vakalarını derinlemesine inceleme, Ethereum Token ekosistemindeki kaosun sırlarını ortaya çıkarma
Giriş
Web3 dünyasında yeni Token'lar sürekli ortaya çıkıyor. Her gün ne kadar yeni Token'ın piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni Token'lar güvenli mi?
Bu soruların ortaya çıkması boşuna değil. Son birkaç ay içinde, güvenlik ekibi çok sayıda Rug Pull işlem vakası yakaladı. Dikkate değer olan, bu vakalarda yer alan Token'ların hepsinin yeni bir şekilde zincire eklenmiş Token'lar olması.
Sonrasında, bu Rug Pull vakaları üzerinde derinlemesine bir araştırma yapıldı ve arkasında organize bir suç çetesi olduğu tespit edildi. Bu dolandırıcılıkların kalıplaşmış özellikleri özetlendi. Bu çetelerin suç işleme yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolu olarak Telegram gruplarını keşfettik. Bu çeteler, bazı gruplardaki "New Token Tracer" işlevini kullanarak kullanıcıları dolandırıcı token satın almaya teşvik ediyor ve sonunda Rug Pull ile kazanç sağlıyor.
2023 Kasım ile 2024 Ağustos başı arasında bu Telegram gruplarının Token gönderim bilgileri istatistik olarak toplandı ve toplamda 93,930 yeni Token gönderildiği tespit edildi; bunlardan 46,526'sı Rug Pull ile ilgili olup, oranı %49,53'e kadar çıkmaktadır. İstatistiklere göre, bu Rug Pull Token'larının arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 Eter olup, %188.7'ye varan bir getiri oranı ile 282,699.96 Eter kazanç sağlanmış, bu da yaklaşık 800 milyon dolara denk gelmektedir.
Telegram grubunun yeni Token'lerinin Ethereum ana ağındaki payını değerlendirmek için, aynı zaman diliminde Ethereum ana ağında çıkarılan yeni Token verileri istatistiksel olarak incelendi. Veriler, bu süre zarfında toplam 100.260 yeni Token'in çıkarıldığını ve bunlardan Telegram grubuyla gönderilen Token'lerin ana ağın %89.99'unu oluşturduğunu gösteriyor. Ortalama olarak her gün yaklaşık 370 yeni Token doğuyor, bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine yapılan araştırmaların ardından ortaya çıkan gerçek endişe verici - en az 48.265 Token'in Rug Pull dolandırıcılığı ile ilişkili olduğu ve bu oranın %48.14'e ulaştığı tespit edildi. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni Token'den biri dolandırıcılıkla ilişkili.
Ayrıca, diğer blok zinciri ağlarında daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağının değil, tüm Web3 yeni çıkan token ekosisteminin güvenlik durumunun beklentilerden çok daha ciddi olduğunu göstermektedir. Bu araştırma raporunu yazma amacı, tüm Web3 üyelerinin önlem alma bilincini artırabilmek, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli kalmalarını sağlamak ve zamanında gerekli önleyici tedbirleri alarak varlık güvenliklerini korumalarına yardımcı olmaktır.
ERC-20 Token
Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.
ERC-20 Token, blockchain üzerinde en yaygın token standartlarından biridir ve tokenların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında birlikte çalışabilmesini sağlamak için bir dizi standart tanımlar. ERC-20 standardı, tokenın temel işlevlerini belirler, örneğin transfer, bakiye sorgulama, üçüncü tarafın token yönetimini yetkilendirme gibi. Bu standart protokol sayesinde, geliştiriciler tokenları daha kolay bir şekilde çıkarabilir ve yönetebilir, böylece token yaratma ve kullanımını basitleştirir. Gerçekte, herhangi bir birey veya kuruluş, ERC-20 standardına dayalı kendi tokenını çıkarabilir ve çeşitli finansal projeler için başlangıç fonu toplamak amacıyla tokenları ön satış yoluyla satabilir. ERC-20 Token'ın geniş kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.
Bizim bildiğimiz USDT, PEPE, DOGE ERC-20 Token'ına aittir ve kullanıcılar bu Token'ları merkeziyetsiz borsalardan satın alabilirler. Ancak, bazı dolandırıcılık çeteleri de kötü niyetli ERC-20 Token'ları, arka kapı kodlarıyla birlikte kendi başlarına yayınlayabilir, bunları merkeziyetsiz borsalarda listeleyebilir ve kullanıcıları satın almaya teşvik edebilir.
Rug Pull Token'un tipik dolandırıcılık vakası
Burada, bir Rug Pull Token dolandırıcılık örneğinden yararlanarak kötü niyetli token dolandırıcılığının işletim modelini derinlemesine inceleyeceğiz. Öncelikle, Rug Pull'ün, proje sahiplerinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeden vazgeçmesi sonucu yatırımcıların büyük kayıplar yaşadığı dolandırıcılık eylemi olduğunu belirtmek gerekir. Rug Pull tokenler ise bu tür dolandırıcılık eylemlerini gerçekleştirmek için özel olarak ihraç edilen tokenlerdir.
Bu yazıda bahsedilen Rug Pull Token'ları, bazen "Honey Pot Token" veya "Exit Scam Token" olarak da adlandırılmaktadır, ancak aşağıda bunları tek tip olarak Rug Pull Token olarak adlandıracağız.
örnek
Saldırganlar (Rug Pull çetesi) Deployer adresi (0x4bAF) ile TOMMI token'ını dağıtıp, ardından 1.5 ETH ve 100,000,000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden TOMMI token'ını aktif olarak satın alarak sahte likidite havuzu işlem hacmi oluşturdu. Bu şekilde kullanıcıları ve zincir üzerindeki yeni token alım botlarını TOMMI token'ını satın almaya çektiler. Belirli sayıda yeni token alım botu tuzağa düştüğünde, saldırgan Rug Puller adresi (0x43a9) kullanarak Rug Pull işlemini gerçekleştirdi. Rug Puller, 38,739,354 TOMMI token'ını likidite havuzuna atarak yaklaşık 3.95 ETH aldı. Rug Puller'ın token kaynağı, TOMMI token sözleşmesinin kötü niyetli Onaylama yetkisi ile geldi; TOMMI token sözleşmesi dağıtıldığında Rug Puller'a likidite havuzunun onay yetkisi verilmiştir. Bu, Rug Puller'ın doğrudan likidite havuzundan TOMMI token'ını çekmesine ve ardından Rug Pull yapmasına olanak tanımıştır.
Rug Pull süreci
Saldırgan, bir borsa aracılığıyla Token Deployer'a (0x4bAF) Rug Pull'ü başlatmak için 2.47309009 Eter yatırdı.
Deployer, 100.000.000 Token ön madencilik yaparak TOMMI Token'ı oluşturur ve bunları kendisine tahsis eder.
Deployer, 1.5 Eter ve önceden madenciliği yapılmış tüm Token'leri kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı elde etti.
Token Deployer, tüm LP Token'larını 0 adrese göndererek imha eder. TOMMI sözleşmesinde Mint işlevi bulunmadığı için, bu aşamada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. (Bu, yeni token'ların piyasaya girmesi için gerekli koşullardan biridir; bazı yeni token alım robotları, yeni havuzda bulunan token'ların Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca sözleşmenin sahibi olarak 0 adresini ayarlayarak, yeni token alım robotlarının dolandırıcılık tespit programlarını aşmayı hedefler).
Saldırganlar, likidite havuzundan TOMMI token'lerini aktif olarak birden fazla adresle satın alarak havuzun işlem hacmini artırıyor ve daha fazla yeni token alım botunun devreye girmesini sağlıyor (bu adreslerin saldırganların kılık değiştirdiği kanıtıdır: ilgili adreslerin fonları, Rug Pull çetelerinin geçmiş fon transferi adreslerinden gelmektedir).
Saldırgan, Rug Puller adresi (0x43A9) aracılığıyla Rug Pull başlattı, token'ın arka kapısından doğrudan likidite havuzundan 38,739,354 adet Token transfer etti ve ardından bu Token'ları havuza atarak yaklaşık 3.95 adet Eter çıkardı.
Saldırgan, Rug Pull'dan elde edilen fonları aracı adrese gönderir.
Ara adres, fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları bir fon saklama adresine gönderdiğini görebiliriz. Fon saklama adresi, izlenen birçok Rug Pull vakasının fonlarının toplandığı yerdir, fon saklama adresi, aldığı fonların büyük bir kısmını yeni bir Rug Pull başlatmak için bölerken, geri kalan az miktardaki fonlar bir borsa aracılığıyla çekilecektir. Birkaç fon saklama adresi tespit edilmiştir, 0x2836 bunlardan biridir.
Rug Pull kod arka kapısı
Saldırganlar, LP Token'larını yok ederek dışarıya Rug Pull yapamayacaklarını kanıtlamaya çalışsalar da, aslında TOMMI token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir approve arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzu oluşturulurken likidite havuzunun Rug Puller adresine token transfer yetkisini approve etmesine neden olur, bu da Rug Puller adresinin doğrudan likidite havuzundan token çekebilmesine olanak tanır.
openTrading fonksiyonunun uygulanmasının ana işlevi yeni bir likidite havuzu oluşturmaktır, ancak saldırgan bu fonksiyon içinde onInit arka kapı fonksiyonunu çağırarak uniswapV2Pair'in _chefAddress adresine type(uint256) miktarında Token transfer yetkisi vermesini sağladı. Burada uniswapV2Pair likidite havuzu adresidir ve _chefAddress Rug Puller adresidir, _chefAddress sözleşme dağıtımı sırasında belirlenmiştir.
suç işleme modeli
TOMMI vakasını analiz ederek, aşağıdaki 4 özelliği özetleyebiliriz:
Deployer bir borsa aracılığıyla fon elde eder: Saldırgan önce bir borsa aracılığıyla Deployer adresine (Deployer) fon kaynağı sağlar.
Deployer likidite havuzu oluşturur ve LP Token'larını yok eder: Dağıtıcı, Rug Pull token'ını oluşturduktan hemen sonra onun için likidite havuzu oluşturur ve LP Token'larını yok eder, böylece projenin güvenilirliğini artırır ve daha fazla yatırımcıyı çeker.
Rug Puller, likidite havuzundaki ETH'yi büyük miktarda Token ile değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda Token (genellikle toplam Token arzını aşan miktarlar) kullanır. Diğer durumlarda, Rug Puller havuzdaki ETH'yi elde etmek için likiditeyi kaldırarak da hareket edebilir.
Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine transfer eder: Rug Puller, elde ettiği ETH'yi fon saklama adresine aktarır, bazen ara adresler aracılığıyla geçiş yapar.
Yukarıda belirtilen bu özellikler, ele geçirilen vakalarda yaygın olarak bulunmakta olup, Rug Pull davranışının belirgin bir kalıplaşmış özelliğe sahip olduğunu göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu da bu görünüşte bağımsız Rug Pull vakalarının arkasında aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini ima etmektedir.
Bu özelliklere dayanarak, bir Rug Pull davranış modeli çıkarılmıştır ve bu model kullanılarak izlenen vakalar taranarak olası dolandırıcılık çetelerinin profili oluşturulmaya çalışılmıştır.
Rug Pull Suç Çetesi
Kazı fonu saklama adresi
Yukarıda belirtildiği gibi, Rug Pull vakaları genellikle sonunda fonları bir fon tutma adresinde toplar. Bu modele dayanarak, belirgin suçlama yöntemleri olan yüksek derecede aktif birkaç fon tutma adresi seçildi ve derinlemesine analiz edildi.
Görünümde toplam 7 adet fon tutma adresi var, bu adreslerle ilişkili Rug Pull vakalarının sayısı 1.124'tür ve bunlar blok zinciri üzerindeki saldırı izleme sistemi tarafından başarıyla tespit edilmiştir. Rug Pull çeteleri, dolandırıcılığı başarıyla uyguladıktan sonra, yasa dışı kazançları bu fon tutma adreslerinde toplayacaklardır. Bu fon tutma adresleri, birikmiş fonları bölerek gelecekteki yeni Rug Pull dolandırıcılıklarında yeni Token yaratmak, likidite havuzlarını manipüle etmek gibi faaliyetlerde kullanılacaktır. Ayrıca, bir miktar birikmiş fon, belirli bir borsa veya hızlı değiştirme platformu aracılığıyla nakde çevrilecektir.
Her bir fon saklama adresindeki tüm Rug Pull dolandırıcılıklarının maliyetleri ve gelirleri istatistiksel olarak incelenerek ilgili veriler elde edilmiştir.
Tam bir Rug Pull dolandırıcılığında, Rug Pull çetesi genellikle bir adresi Rug Pull tokeninin dağıtımcısı (Deployer) olarak kullanır ve bir borsa üzerinden para çekerek başlangıç sermayesi elde etmek için Rug Pull tokenini ve ilgili likidite havuzunu oluşturur. Yeterli sayıda kullanıcı veya yeni token alım robotu ETH kullanarak Rug Pull tokenini satın aldıktan sonra, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak işlem yapar ve elde edilen fonları fon saklama adresine aktarır.
Yukarıdaki süreçte, Deployer'ın borsa aracılığıyla elde ettiği ETH'yi veya Deployer'ın likidite havuzu oluştururken yatırdığı ETH'yi Rug Pull maliyeti olarak değerlendirin (hesaplamanın nasıl yapılacağına dair detaylar)