Nghiên cứu sâu về các trường hợp Rug Pull, tiết lộ những bất ổn trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi, mỗi ngày có bao nhiêu token mới được phát hành không? Những token mới này có an toàn không?
Sự xuất hiện của những nghi vấn này không phải là vô căn cứ. Trong vài tháng qua, đội ngũ an ninh đã ghi nhận một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan đến những trường hợp này đều là các token mới vừa được niêm yết.
Sau đó, những trường hợp Rug Pull này đã được điều tra sâu sắc, phát hiện có sự tồn tại của băng nhóm tổ chức đứng sau, và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu sắc các phương thức hoạt động của những băng nhóm này, đã phát hiện một con đường quảng bá lừa đảo khả thi của băng nhóm Rug Pull: Nhóm Telegram. Những băng nhóm này tận dụng tính năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua các đồng tiền lừa đảo và cuối cùng thu lợi qua Rug Pull.
Đã thống kê thông tin đẩy token từ các nhóm Telegram này trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện ra tổng cộng 93,930 loại token mới được đẩy, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các nhóm đứng sau những token Rug Pull này là 149,813.72 Ether, và đã thu lợi nhuận 282,699.96 Ether với tỷ lệ hoàn vốn cao tới 188.7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token mới được phát hành qua nhóm Telegram trên mạng chính Ethereum, dữ liệu của các Token mới phát hành trên mạng chính Ethereum trong cùng khoảng thời gian đã được thống kê. Dữ liệu cho thấy, trong thời gian này đã có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được phát hành qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa dự đoán hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện là đáng lo ngại - trong số đó có ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, trên mạng chính Ethereum gần như cứ hai Token mới thì có một Token liên quan đến lừa đảo.
Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình trạng an ninh của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với mong đợi. Do đó, bản báo cáo nghiên cứu này đã được viết ra với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao ý thức phòng ngừa, giữ sự cảnh giác khi đối mặt với các trò lừa đảo xuất hiện liên tục, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy chuẩn cho phép token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển khoản, tra cứu số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính nhờ vào sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng của nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về token ERC-20, người dùng có thể mua những token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể phát hành những token ERC-20 độc hại có mã backdoor, niêm yết chúng trên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện giao dịch.
Ví dụ điển hình về lừa đảo Rug Pull Token
Tại đây, chúng tôi sẽ mượn một ví dụ về vụ lừa đảo Token Rug Pull để tìm hiểu sâu về mô hình hoạt động của lừa đảo Token độc hại. Trước tiên, cần phải làm rõ rằng Rug Pull đề cập đến hành vi gian lận mà trong đó bên dự án đột ngột rút tiền hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Trong khi đó, Token Rug Pull là các Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Trong bài viết này, các Token Rug Pull được đề cập, đôi khi còn được gọi là "Token Mật" hoặc "Token Lừa Đảo Rút Lui", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi là Token Rug Pull.
trường hợp
Kẻ tấn công (băng nhóm Rug Pull) đã triển khai Token TOMMI bằng địa chỉ Deployer (0x4bAF), sau đó sử dụng 1,5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua Token TOMMI thông qua các địa chỉ khác để làm giả khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và các bot mới trên chuỗi mua Token TOMMI. Khi có một số lượng bot mới nhất định bị mắc bẫy, kẻ tấn công sử dụng địa chỉ Rug Puller (0x43a9) để thực hiện Rug Pull, Rug Puller đã dùng 38.739.354 TOMMI để phá vỡ bể thanh khoản, đổi lấy khoảng 3,95 ETH. Nguồn token của Rug Puller đến từ sự ủy quyền xấu của Token TOMMI trong hợp đồng, hợp đồng Token TOMMI khi được triển khai sẽ cấp quyền approve cho Rug Puller đối với bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
Quá trình Rug Pull
Chuẩn bị quỹ tấn công.
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer (0x4bAF) thông qua một sàn giao dịch để làm vốn khởi động cho Rug Pull.
Triển khai Token Rug Pull có cửa hậu.
Deployer tạo ra Token TOMMI, đào trước 100.000.000 Token và phân bổ cho chính mình.
Tạo bể thanh khoản ban đầu.
Deployer sử dụng 1.5 ETH và tất cả các token đã được khai thác trước để tạo ra pool thanh khoản, nhận được khoảng 0.387 LP token.
Hủy bỏ toàn bộ nguồn cung Token được khai thác trước.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy, vì trong hợp đồng TOMMI không có chức năng Mint, nên vào thời điểm này Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút các bot đánh mới vào cuộc, một số bot đánh mới sẽ đánh giá xem các Token mới vào hồ có tồn tại nguy cơ Rug Pull hay không, Deployer cũng đã đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm qua mặt chương trình chống lừa đảo của các bot đánh mới).
Khối lượng giao dịch giả.
Kẻ tấn công sử dụng nhiều địa chỉ để chủ động mua token TOMMI từ bể thanh khoản, làm tăng khối lượng giao dịch của bể, từ đó thu hút các robot đấu thầu mới vào sân (căn cứ để xác định những địa chỉ này là của kẻ tấn công: nguồn tiền của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công đã thực hiện Rug Pull thông qua địa chỉ Rug Puller (0x43A9), chuyển trực tiếp 38,739,354 Token từ hồ bơi thanh khoản thông qua lối sau của token, sau đó sử dụng những Token này để phá hủy hồ bơi, rút ra khoảng 3.95 Ether.
Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây chúng ta có thể thấy, khi Rug Pull hoàn tất, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập trung tiền của nhiều vụ Rug Pull mà chúng tôi đã theo dõi, địa chỉ giữ tiền sẽ phân tách phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua một sàn giao dịch nào đó. Đã phát hiện ra một số địa chỉ giữ tiền, 0x2836 là một trong số đó.
mã backdoor Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép hợp đồng khi tạo pool thanh khoản phê duyệt quyền chuyển Token tới địa chỉ Rug Puller, khiến cho địa chỉ Rug Puller có thể trực tiếp rút Token từ pool thanh khoản.
Chức năng thực hiện của hàm openTrading chủ yếu là tạo ra các bể thanh khoản mới, nhưng kẻ tấn công đã gọi hàm backdoor onInit bên trong hàm đó, cho phép uniswapV2Pair phê duyệt số lượng là type(uint256) để chuyển quyền của token tới địa chỉ _chefAddress. Trong đó, uniswapV2Pair là địa chỉ bể thanh khoản, _chefAddress là địa chỉ Rug Puller, và _chefAddress được chỉ định khi triển khai hợp đồng.
phương thức phạm tội hóa.
Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể rút ra 4 đặc điểm sau:
Deployer nhận được nguồn vốn từ một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua một sàn giao dịch.
Deployer tạo ra bể thanh khoản và tiêu hủy LP Token: Người triển khai ngay sau khi tạo ra Token Rug Pull, sẽ ngay lập tức tạo ra bể thanh khoản cho nó và tiêu hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường lớn hơn rất nhiều so với tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong các trường hợp khác, Rug Puller cũng có hành vi thu hồi thanh khoản để lấy ETH trong bể.
Rug Puller sẽ chuyển ETH nhận được từ Rug Pull đến địa chỉ lưu giữ quỹ: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ lưu giữ quỹ, đôi khi thông qua địa chỉ trung gian để quá cảnh.
Những đặc điểm trên thường tồn tại trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng về tính mô hình. Ngoài ra, sau khi hoàn tất Rug Pull, tiền thường được tập hợp vào một địa chỉ giữ tiền, điều này ngụ ý rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí là cùng một băng nhóm.
Dựa trên những đặc điểm này, đã trích xuất ra một mô hình hành vi của Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, nhằm xây dựng hình ảnh của các băng nhóm lừa đảo có thể.
Băng nhóm thực hiện Rug Pull
Địa chỉ lưu giữ quỹ khai thác
Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ tập trung vốn vào địa chỉ giữ vốn cuối cùng. Dựa trên mô hình này, đã chọn một số địa chỉ giữ vốn có hoạt động cao và có đặc điểm rõ ràng trong phương thức gây án của các trường hợp liên quan để phân tích sâu.
Có 7 địa chỉ lưu giữ quỹ xuất hiện trong tầm nhìn, những địa chỉ này liên quan đến 1.124 trường hợp Rug Pull, đã được hệ thống giám sát tấn công trên chuỗi ghi lại thành công. Sau khi thực hiện thành công trò lừa đảo, băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ lưu giữ quỹ này. Những địa chỉ lưu giữ quỹ này sẽ phân chia quỹ tích trữ để tạo ra token mới cho các trò lừa đảo Rug Pull trong tương lai, thao túng các bể thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ tích trữ sẽ được quy đổi qua một sàn giao dịch hoặc nền tảng hoán đổi nhanh.
Bằng cách thống kê chi phí và doanh thu từ tất cả các vụ lừa đảo Rug Pull trong từng địa chỉ giữ tiền, đã thu được dữ liệu liên quan.
Trong một vụ lừa đảo Rug Pull hoàn chỉnh, băng nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) cho đồng tiền Rug Pull và rút tiền từ một sàn giao dịch để có vốn khởi động tạo ra đồng tiền Rug Pull và hồ bơi thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot mua mới sử dụng Ether để mua đồng tiền Rug Pull, băng nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển tiền thu được đến địa chỉ lưu giữ quỹ.
Trong quá trình nêu trên, ETH mà Deployer nhận được qua sàn giao dịch, hoặc ETH mà Deployer投入 vào khi tạo pool thanh khoản, được coi là chi phí cho Rug Pull (cách tính cụ thể như thế nào)
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
8
Chia sẻ
Bình luận
0/400
ImpermanentPhilosopher
· 21giờ trước
Những người chơi mã hóa đều là đồ ngốc, việc sinh thái跑路 là điều tất yếu.
Xem bản gốcTrả lời0
MetaverseLandlord
· 08-06 20:16
Quyên tiền rồi bỏ trốn mà, nhìn nhiều quá.
Xem bản gốcTrả lời0
Rugman_Walking
· 08-06 19:54
đồ ngốc mãi mãi trên đường
Xem bản gốcTrả lời0
BloodInStreets
· 08-04 17:53
đồ ngốc mãi mãi chết trong dự án mới
Xem bản gốcTrả lời0
LightningPacketLoss
· 08-04 00:20
thế giới tiền điện tử đồ ngốc có nhiều như vậy thật sự là khóc cũng không xong
Xem bản gốcTrả lời0
MainnetDelayedAgain
· 08-04 00:16
Theo dữ liệu từ cơ sở dữ liệu, tốc độ dự án mới sụp đổ đã vượt qua tốc độ hoãn Mạng chính ba tháng... Chờ đợi hoa nở.
Hệ sinh thái Token mới của Ethereum đang gặp khó khăn: Gần một nửa nghi ngờ là Rug Pull với số tiền liên quan lên tới 8 triệu USD
Nghiên cứu sâu về các trường hợp Rug Pull, tiết lộ những bất ổn trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi, mỗi ngày có bao nhiêu token mới được phát hành không? Những token mới này có an toàn không?
Sự xuất hiện của những nghi vấn này không phải là vô căn cứ. Trong vài tháng qua, đội ngũ an ninh đã ghi nhận một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan đến những trường hợp này đều là các token mới vừa được niêm yết.
Sau đó, những trường hợp Rug Pull này đã được điều tra sâu sắc, phát hiện có sự tồn tại của băng nhóm tổ chức đứng sau, và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu sắc các phương thức hoạt động của những băng nhóm này, đã phát hiện một con đường quảng bá lừa đảo khả thi của băng nhóm Rug Pull: Nhóm Telegram. Những băng nhóm này tận dụng tính năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua các đồng tiền lừa đảo và cuối cùng thu lợi qua Rug Pull.
Đã thống kê thông tin đẩy token từ các nhóm Telegram này trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện ra tổng cộng 93,930 loại token mới được đẩy, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các nhóm đứng sau những token Rug Pull này là 149,813.72 Ether, và đã thu lợi nhuận 282,699.96 Ether với tỷ lệ hoàn vốn cao tới 188.7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token mới được phát hành qua nhóm Telegram trên mạng chính Ethereum, dữ liệu của các Token mới phát hành trên mạng chính Ethereum trong cùng khoảng thời gian đã được thống kê. Dữ liệu cho thấy, trong thời gian này đã có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được phát hành qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa dự đoán hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện là đáng lo ngại - trong số đó có ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, trên mạng chính Ethereum gần như cứ hai Token mới thì có một Token liên quan đến lừa đảo.
Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình trạng an ninh của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với mong đợi. Do đó, bản báo cáo nghiên cứu này đã được viết ra với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao ý thức phòng ngừa, giữ sự cảnh giác khi đối mặt với các trò lừa đảo xuất hiện liên tục, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy chuẩn cho phép token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển khoản, tra cứu số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính nhờ vào sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng của nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về token ERC-20, người dùng có thể mua những token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể phát hành những token ERC-20 độc hại có mã backdoor, niêm yết chúng trên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện giao dịch.
Ví dụ điển hình về lừa đảo Rug Pull Token
Tại đây, chúng tôi sẽ mượn một ví dụ về vụ lừa đảo Token Rug Pull để tìm hiểu sâu về mô hình hoạt động của lừa đảo Token độc hại. Trước tiên, cần phải làm rõ rằng Rug Pull đề cập đến hành vi gian lận mà trong đó bên dự án đột ngột rút tiền hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Trong khi đó, Token Rug Pull là các Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Trong bài viết này, các Token Rug Pull được đề cập, đôi khi còn được gọi là "Token Mật" hoặc "Token Lừa Đảo Rút Lui", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi là Token Rug Pull.
trường hợp
Kẻ tấn công (băng nhóm Rug Pull) đã triển khai Token TOMMI bằng địa chỉ Deployer (0x4bAF), sau đó sử dụng 1,5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua Token TOMMI thông qua các địa chỉ khác để làm giả khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và các bot mới trên chuỗi mua Token TOMMI. Khi có một số lượng bot mới nhất định bị mắc bẫy, kẻ tấn công sử dụng địa chỉ Rug Puller (0x43a9) để thực hiện Rug Pull, Rug Puller đã dùng 38.739.354 TOMMI để phá vỡ bể thanh khoản, đổi lấy khoảng 3,95 ETH. Nguồn token của Rug Puller đến từ sự ủy quyền xấu của Token TOMMI trong hợp đồng, hợp đồng Token TOMMI khi được triển khai sẽ cấp quyền approve cho Rug Puller đối với bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
Quá trình Rug Pull
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer (0x4bAF) thông qua một sàn giao dịch để làm vốn khởi động cho Rug Pull.
Deployer tạo ra Token TOMMI, đào trước 100.000.000 Token và phân bổ cho chính mình.
Deployer sử dụng 1.5 ETH và tất cả các token đã được khai thác trước để tạo ra pool thanh khoản, nhận được khoảng 0.387 LP token.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy, vì trong hợp đồng TOMMI không có chức năng Mint, nên vào thời điểm này Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút các bot đánh mới vào cuộc, một số bot đánh mới sẽ đánh giá xem các Token mới vào hồ có tồn tại nguy cơ Rug Pull hay không, Deployer cũng đã đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm qua mặt chương trình chống lừa đảo của các bot đánh mới).
Kẻ tấn công sử dụng nhiều địa chỉ để chủ động mua token TOMMI từ bể thanh khoản, làm tăng khối lượng giao dịch của bể, từ đó thu hút các robot đấu thầu mới vào sân (căn cứ để xác định những địa chỉ này là của kẻ tấn công: nguồn tiền của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công đã thực hiện Rug Pull thông qua địa chỉ Rug Puller (0x43A9), chuyển trực tiếp 38,739,354 Token từ hồ bơi thanh khoản thông qua lối sau của token, sau đó sử dụng những Token này để phá hủy hồ bơi, rút ra khoảng 3.95 Ether.
Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây chúng ta có thể thấy, khi Rug Pull hoàn tất, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập trung tiền của nhiều vụ Rug Pull mà chúng tôi đã theo dõi, địa chỉ giữ tiền sẽ phân tách phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua một sàn giao dịch nào đó. Đã phát hiện ra một số địa chỉ giữ tiền, 0x2836 là một trong số đó.
mã backdoor Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép hợp đồng khi tạo pool thanh khoản phê duyệt quyền chuyển Token tới địa chỉ Rug Puller, khiến cho địa chỉ Rug Puller có thể trực tiếp rút Token từ pool thanh khoản.
Chức năng thực hiện của hàm openTrading chủ yếu là tạo ra các bể thanh khoản mới, nhưng kẻ tấn công đã gọi hàm backdoor onInit bên trong hàm đó, cho phép uniswapV2Pair phê duyệt số lượng là type(uint256) để chuyển quyền của token tới địa chỉ _chefAddress. Trong đó, uniswapV2Pair là địa chỉ bể thanh khoản, _chefAddress là địa chỉ Rug Puller, và _chefAddress được chỉ định khi triển khai hợp đồng.
phương thức phạm tội hóa.
Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể rút ra 4 đặc điểm sau:
Deployer nhận được nguồn vốn từ một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua một sàn giao dịch.
Deployer tạo ra bể thanh khoản và tiêu hủy LP Token: Người triển khai ngay sau khi tạo ra Token Rug Pull, sẽ ngay lập tức tạo ra bể thanh khoản cho nó và tiêu hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường lớn hơn rất nhiều so với tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong các trường hợp khác, Rug Puller cũng có hành vi thu hồi thanh khoản để lấy ETH trong bể.
Rug Puller sẽ chuyển ETH nhận được từ Rug Pull đến địa chỉ lưu giữ quỹ: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ lưu giữ quỹ, đôi khi thông qua địa chỉ trung gian để quá cảnh.
Những đặc điểm trên thường tồn tại trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng về tính mô hình. Ngoài ra, sau khi hoàn tất Rug Pull, tiền thường được tập hợp vào một địa chỉ giữ tiền, điều này ngụ ý rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí là cùng một băng nhóm.
Dựa trên những đặc điểm này, đã trích xuất ra một mô hình hành vi của Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, nhằm xây dựng hình ảnh của các băng nhóm lừa đảo có thể.
Băng nhóm thực hiện Rug Pull
Địa chỉ lưu giữ quỹ khai thác
Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ tập trung vốn vào địa chỉ giữ vốn cuối cùng. Dựa trên mô hình này, đã chọn một số địa chỉ giữ vốn có hoạt động cao và có đặc điểm rõ ràng trong phương thức gây án của các trường hợp liên quan để phân tích sâu.
Có 7 địa chỉ lưu giữ quỹ xuất hiện trong tầm nhìn, những địa chỉ này liên quan đến 1.124 trường hợp Rug Pull, đã được hệ thống giám sát tấn công trên chuỗi ghi lại thành công. Sau khi thực hiện thành công trò lừa đảo, băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ lưu giữ quỹ này. Những địa chỉ lưu giữ quỹ này sẽ phân chia quỹ tích trữ để tạo ra token mới cho các trò lừa đảo Rug Pull trong tương lai, thao túng các bể thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ tích trữ sẽ được quy đổi qua một sàn giao dịch hoặc nền tảng hoán đổi nhanh.
Bằng cách thống kê chi phí và doanh thu từ tất cả các vụ lừa đảo Rug Pull trong từng địa chỉ giữ tiền, đã thu được dữ liệu liên quan.
Trong một vụ lừa đảo Rug Pull hoàn chỉnh, băng nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) cho đồng tiền Rug Pull và rút tiền từ một sàn giao dịch để có vốn khởi động tạo ra đồng tiền Rug Pull và hồ bơi thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot mua mới sử dụng Ether để mua đồng tiền Rug Pull, băng nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển tiền thu được đến địa chỉ lưu giữ quỹ.
Trong quá trình nêu trên, ETH mà Deployer nhận được qua sàn giao dịch, hoặc ETH mà Deployer投入 vào khi tạo pool thanh khoản, được coi là chi phí cho Rug Pull (cách tính cụ thể như thế nào)