تحقيق عميق في حالات سحب البساط، يكشف عن فوضى نظام عملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات لم يكن بدون سبب. على مدى الأشهر القليلة الماضية، قامت إحدى الفرق الأمنية捕捉到 عدد كبير من حالات عمليات السحب المفاجئ. ومن الجدير بالذكر أن العملات المرتبطة بهذه الحالات كانت جميعها عملات جديدة تم إطلاقها للتو.
بعد ذلك، قام الفريق بالتحقيق بعمق في حالات سحب البساط هذه، واكتشف وجود عصابات منظمة وراءها، واستخلصوا السمات النمطية لهذه الاحتيالات. من خلال تحليل عميق لأساليب هذه العصابات، تم اكتشاف وسيلة محتملة للترويج للاحتيالات من قبل عصابات سحب البساط: مجموعات تيليجرام. تستخدم هذه العصابات ميزة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية وفي النهاية تحقيق الربح من خلال سحب البساط.
قام الفريق بجمع إحصائيات حول معلومات دفع العملات في مجموعات Telegram من نوفمبر 2023 حتى أوائل أغسطس 2024، واكتشف أنه تم دفع 93,930 عملة جديدة، منها 46,526 عملة تتعلق بعمليات Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصائيات، بلغت التكاليف التراكمية لمجموعات Rug Pull حوالي 149,813.72 إثيريوم، مع تحقيق أرباح تصل إلى 282,699.96 إثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملة الجديدة التي تم دفعها عبر مجموعات Telegram في الشبكة الرئيسية لإثيريوم، قامت الفريق بإحصاء بيانات العملات الجديدة التي تم إصدارها في الشبكة الرئيسية لإثيريوم خلال نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، حيث تشكل العملات المدفوعة عبر مجموعات Telegram 89.99% من الشبكة الرئيسية. يتم إنشاء حوالي 370 عملة جديدة يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيق معمق مستمر، كانت الحقيقة المزعجة التي تم اكتشافها هي أن ما لا يقل عن 48,265 عملة تتعلق بعمليات احتيال Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن واحدة من كل عملتين جديدتين تقريبًا على الشبكة الرئيسية لإثيريوم تتعلق بالاحتيال.
بالإضافة إلى ذلك، اكتشف الفريق المزيد من حالات سحب البساط في شبكات blockchain الأخرى. وهذا يعني أنه ليس فقط على الشبكة الرئيسية لإيثيريوم، بل إن حالة الأمان لبيئة رموز العملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا. لذلك، كتب الفريق هذا التقرير البحثي على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء متيقظين عند مواجهة عمليات الاحتيال المتكررة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رموز ERC-20 (عملة)
قبل أن نبدأ هذا التقرير بشكل رسمي، دعونا نتعرف على بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تجعل العملات قابلة للتشغيل البيني بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، الاستعلام عن الرصيد، وتفويض إدارة العملة لأطراف ثالثة. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت قاعدة للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT وPEPE وDOGE من عملات ERC-20 المعروفة لدينا، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، وطرحها في البورصات اللامركزية، ثم تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب السجادة
هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم نمط تشغيل الاحتيال بالعملات الضارة. أولاً، من المهم توضيح أن Rug Pull تشير إلى سلوك الاحتيال حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر فادحة. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات التي تم ذكرها في هذه المقالة، تُعرف أحيانًا باسم "عملة فخ العسل (Honey Pot)" أو "عملة احتيال الخروج (Exit Scam)"، لكن في النص أدناه سنشير إليها بشكل موحد باسم عملة فخ.
حالة
المهاجمون (عصابة سحب السجادة) استخدموا عنوان Deployer (0x4bAF) لنشر عملة TOMMI، ثم استخدموا 1.5 من ايثر و100,000,000 من عملة TOMMI لإنشاء حوض سيولة، وقاموا من خلال عناوين أخرى بشراء عملة TOMMI بشكل نشط لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الطرح الأول على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الطرح الأول في الفخ، يستخدم المهاجمون عنوان Rug Puller (0x43a9) لتنفيذ سحب السجادة، حيث يقوم Rug Puller باستخدام 38,739,354 من عملة TOMMI لضرب حوض السيولة، واستبدالها بحوالي 3.95 من ايثر. مصدر عملات Rug Puller يأتي من تفويض approve الخبيث لعقد عملة TOMMI، حيث سيتم منح Rug Puller إذن approve لحوض السيولة عند نشر عقد عملة TOMMI، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم القيام بسحب السجادة.
سحب السجادة أرسل الأموال إلى عنوان الوسيط: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
سيتم إرسال الأموال من عنوان النقل إلى عنوان الاحتفاظ بالأموال: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
عملية سحب السجاد
إعداد أموال الهجوم.
قام المهاجمون من خلال البورصات المركزية بإيداع 2.47309009ETH إلى Token Deployer (0x4bAF) كتمويل لبدء عملية Rug Pull.
نشر عملة Rug Pull بها أبواب خلفية.
إنشاء Deployer لعملة TOMMI، تم تعدين مسبقًا 100,000,000 عملة وتوزيعها على نفسه.
إنشاء حوض السيولة الأولي.
قام المطور بإنشاء تجمع السيولة باستخدام 1.5 ايثر وجميع العملات المُعدة مسبقًا، وحصل على حوالي 0.387 من رموز LP.
تدمير جميع كمية عملة التوكن التي تم تعدينها مسبقًا.
سيقوم منشئ العملة بإرسال جميع رموز LP إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن منشئ العملة قد فقد في هذه المرحلة القدرة على سحب البساط. (هذا هو أحد الشروط اللازمة لجذب روبوتات الطرح الأولي، حيث ستقوم بعض روبوتات الطرح الأولي بتقييم ما إذا كانت العملة الجديدة في مجموعة الطرح الأولي تحمل مخاطر سحب البساط، كما أن منشئ العملة يقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال التي تستخدمها روبوتات الطرح الأولي).
حجم المعاملات المزيف.
المهاجمون يشترون بنشاط عملة TOMMI من مجموعة السيولة باستخدام عناوين متعددة، مما يؤدي إلى زيادة حجم التداول في المجموعة، وبالتالي جذب روبوتات التداول الجديدة للدخول (الأساس في اعتبار هذه العناوين كمهاجمين هو أن الأموال من العناوين ذات الصلة تأتي من عناوين تحويل الأموال التاريخية لعصابات Rug Pull).
هاجم المهاجم عبر عنوان Rug Puller (0x43A9) من خلال Rug Pull، حيث تم نقل 38,739,354 عملة مباشرة من حوض السيولة عبر ثغرة الرمز، ثم استخدم هذه العملات لإغراق الحوض، مما أسفر عن سحب حوالي 3.95 ايثر.
أرسل المهاجم الأموال التي تم الحصول عليها من سحب السجادة إلى عنوان التحويل 0xD921.
عنوان التحويل 0xD921 أرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما تكتمل عملية سحب السجاد، سيقوم ساحب السجاد بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ الأموال هو المكان الذي نراقب فيه العديد من حالات سحب السجاد حيث يتم تجميع الأموال، وسيقوم عنوان الاحتفاظ بالأموال بتقسيم معظم الأموال التي يتلقاها لبدء جولة جديدة من سحب السجاد، بينما سيتم سحب المبلغ المتبقي القليل عبر بورصات مركزية. لقد اكتشفنا عددًا من عناوين الاحتفاظ بالأموال، 0x2836 هو أحدها.
 كود سحب السجادة ثغرة
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ سحب السجادة من خلال تدمير عملة LP، إلا أن المهاجمين قد تركوا في الواقع باب خلفي ضار في دالة openTrading لعقد عملة TOMMI، حيث يسمح هذا الباب الخلفي عند إنشاء بركة السيولة لمنصة سحب السجادة بالموافقة على نقل العملة من بركة السيولة، مما يسمح لعناوين سحب السجادة بسحب العملة مباشرة من بركة السيولة.
تنفيذ دالة openTrading موضّح في الشكل 9، وظيفتها الرئيسية هي إنشاء بركة سيولة جديدة، ولكن المهاجمين
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
4
إعادة النشر
مشاركة
تعليق
0/400
WalletInspector
· 08-12 14:21
المحتالون قاموا بقفل المحفظة مرة أخرى
شاهد النسخة الأصليةرد0
MEVictim
· 08-12 14:12
في هذا السوق البائس، هل ما زلت تريد إنشاء عملة جديدة؟ Rug Pull
إثيريوم عملة جديدة تصل إلى 48% تتعلق بفخ مجموعة سحب 8 مليار دولار
تحقيق عميق في حالات سحب البساط، يكشف عن فوضى نظام عملات إثيريوم
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي تصدر يوميًا؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات لم يكن بدون سبب. على مدى الأشهر القليلة الماضية، قامت إحدى الفرق الأمنية捕捉到 عدد كبير من حالات عمليات السحب المفاجئ. ومن الجدير بالذكر أن العملات المرتبطة بهذه الحالات كانت جميعها عملات جديدة تم إطلاقها للتو.
بعد ذلك، قام الفريق بالتحقيق بعمق في حالات سحب البساط هذه، واكتشف وجود عصابات منظمة وراءها، واستخلصوا السمات النمطية لهذه الاحتيالات. من خلال تحليل عميق لأساليب هذه العصابات، تم اكتشاف وسيلة محتملة للترويج للاحتيالات من قبل عصابات سحب البساط: مجموعات تيليجرام. تستخدم هذه العصابات ميزة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء العملات الاحتيالية وفي النهاية تحقيق الربح من خلال سحب البساط.
قام الفريق بجمع إحصائيات حول معلومات دفع العملات في مجموعات Telegram من نوفمبر 2023 حتى أوائل أغسطس 2024، واكتشف أنه تم دفع 93,930 عملة جديدة، منها 46,526 عملة تتعلق بعمليات Rug Pull، مما يمثل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصائيات، بلغت التكاليف التراكمية لمجموعات Rug Pull حوالي 149,813.72 إثيريوم، مع تحقيق أرباح تصل إلى 282,699.96 إثيريوم بمعدل عائد يصل إلى 188.7%، ما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملة الجديدة التي تم دفعها عبر مجموعات Telegram في الشبكة الرئيسية لإثيريوم، قامت الفريق بإحصاء بيانات العملات الجديدة التي تم إصدارها في الشبكة الرئيسية لإثيريوم خلال نفس الفترة الزمنية. تظهر البيانات أنه خلال هذه الفترة تم إصدار 100,260 عملة جديدة، حيث تشكل العملات المدفوعة عبر مجموعات Telegram 89.99% من الشبكة الرئيسية. يتم إنشاء حوالي 370 عملة جديدة يوميًا، وهو ما يتجاوز التوقعات المعقولة بكثير. بعد تحقيق معمق مستمر، كانت الحقيقة المزعجة التي تم اكتشافها هي أن ما لا يقل عن 48,265 عملة تتعلق بعمليات احتيال Rug Pull، مما يمثل نسبة تصل إلى 48.14%. بعبارة أخرى، فإن واحدة من كل عملتين جديدتين تقريبًا على الشبكة الرئيسية لإثيريوم تتعلق بالاحتيال.
بالإضافة إلى ذلك، اكتشف الفريق المزيد من حالات سحب البساط في شبكات blockchain الأخرى. وهذا يعني أنه ليس فقط على الشبكة الرئيسية لإيثيريوم، بل إن حالة الأمان لبيئة رموز العملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا. لذلك، كتب الفريق هذا التقرير البحثي على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء متيقظين عند مواجهة عمليات الاحتيال المتكررة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رموز ERC-20 (عملة)
قبل أن نبدأ هذا التقرير بشكل رسمي، دعونا نتعرف على بعض المفاهيم الأساسية.
تعتبر عملة ERC-20 واحدة من أكثر معايير العملات شيوعًا على البلوكشين حاليًا، حيث تحدد مجموعة من المعايير التي تجعل العملات قابلة للتشغيل البيني بين عقود ذكية مختلفة وتطبيقات لامركزية (dApp). يحدد معيار ERC-20 الوظائف الأساسية للعملة، مثل التحويل، الاستعلام عن الرصيد، وتفويض إدارة العملة لأطراف ثالثة. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة العملات بسهولة أكبر، مما يبسط عملية إنشاء واستخدام العملات. في الواقع، يمكن لأي فرد أو منظمة إصدار عملتهم الخاصة بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريع مالية متنوعة من خلال بيع مسبق للعملات. وبفضل الاستخدام الواسع لعملات ERC-20، أصبحت قاعدة للعديد من مشاريع ICO والتمويل اللامركزي.
تعتبر USDT وPEPE وDOGE من عملات ERC-20 المعروفة لدينا، حيث يمكن للمستخدمين شراء هذه العملات من خلال البورصات اللامركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على أبواب خلفية في الشيفرة، وطرحها في البورصات اللامركزية، ثم تحفيز المستخدمين على الشراء.
حالات الاحتيال النموذجية لعملة سحب السجادة
هنا، نستخدم حالة احتيال عملة Rug Pull كحالة دراسية لفهم نمط تشغيل الاحتيال بالعملات الضارة. أولاً، من المهم توضيح أن Rug Pull تشير إلى سلوك الاحتيال حيث يقوم فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر فادحة. بينما عملة Rug Pull هي عملة تم إصدارها خصيصًا لتنفيذ هذا النوع من الاحتيال.
العملات التي تم ذكرها في هذه المقالة، تُعرف أحيانًا باسم "عملة فخ العسل (Honey Pot)" أو "عملة احتيال الخروج (Exit Scam)"، لكن في النص أدناه سنشير إليها بشكل موحد باسم عملة فخ.
حالة
المهاجمون (عصابة سحب السجادة) استخدموا عنوان Deployer (0x4bAF) لنشر عملة TOMMI، ثم استخدموا 1.5 من ايثر و100,000,000 من عملة TOMMI لإنشاء حوض سيولة، وقاموا من خلال عناوين أخرى بشراء عملة TOMMI بشكل نشط لتزوير حجم تداول حوض السيولة لجذب المستخدمين وروبوتات الطرح الأول على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الطرح الأول في الفخ، يستخدم المهاجمون عنوان Rug Puller (0x43a9) لتنفيذ سحب السجادة، حيث يقوم Rug Puller باستخدام 38,739,354 من عملة TOMMI لضرب حوض السيولة، واستبدالها بحوالي 3.95 من ايثر. مصدر عملات Rug Puller يأتي من تفويض approve الخبيث لعقد عملة TOMMI، حيث سيتم منح Rug Puller إذن approve لحوض السيولة عند نشر عقد عملة TOMMI، مما يسمح لـ Rug Puller بسحب عملة TOMMI مباشرة من حوض السيولة ثم القيام بسحب السجادة.
عنوان ذو صلة
المعاملات ذات الصلة
عملية سحب السجاد
قام المهاجمون من خلال البورصات المركزية بإيداع 2.47309009ETH إلى Token Deployer (0x4bAF) كتمويل لبدء عملية Rug Pull.
إنشاء Deployer لعملة TOMMI، تم تعدين مسبقًا 100,000,000 عملة وتوزيعها على نفسه.
قام المطور بإنشاء تجمع السيولة باستخدام 1.5 ايثر وجميع العملات المُعدة مسبقًا، وحصل على حوالي 0.387 من رموز LP.
سيقوم منشئ العملة بإرسال جميع رموز LP إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن منشئ العملة قد فقد في هذه المرحلة القدرة على سحب البساط. (هذا هو أحد الشروط اللازمة لجذب روبوتات الطرح الأولي، حيث ستقوم بعض روبوتات الطرح الأولي بتقييم ما إذا كانت العملة الجديدة في مجموعة الطرح الأولي تحمل مخاطر سحب البساط، كما أن منشئ العملة يقوم أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال التي تستخدمها روبوتات الطرح الأولي).
المهاجمون يشترون بنشاط عملة TOMMI من مجموعة السيولة باستخدام عناوين متعددة، مما يؤدي إلى زيادة حجم التداول في المجموعة، وبالتالي جذب روبوتات التداول الجديدة للدخول (الأساس في اعتبار هذه العناوين كمهاجمين هو أن الأموال من العناوين ذات الصلة تأتي من عناوين تحويل الأموال التاريخية لعصابات Rug Pull).
 كود سحب السجادة ثغرة
على الرغم من أن المهاجمين قد حاولوا إثبات أنهم غير قادرين على تنفيذ سحب السجادة من خلال تدمير عملة LP، إلا أن المهاجمين قد تركوا في الواقع باب خلفي ضار في دالة openTrading لعقد عملة TOMMI، حيث يسمح هذا الباب الخلفي عند إنشاء بركة السيولة لمنصة سحب السجادة بالموافقة على نقل العملة من بركة السيولة، مما يسمح لعناوين سحب السجادة بسحب العملة مباشرة من بركة السيولة.
تنفيذ دالة openTrading موضّح في الشكل 9، وظيفتها الرئيسية هي إنشاء بركة سيولة جديدة، ولكن المهاجمين