Os potenciais riscos do mundo Web3: uma análise profunda das anomalias no ecossistema de Tokens do Ethereum

No mundo Web3, novos tokens aparecem a cada dia. Você já parou para pensar quantos novos tokens são emitidos diariamente? Esses novos tokens são realmente seguros?

Essas dúvidas não são infundadas. Nos últimos meses, a equipe de segurança detectou um grande número de casos de transações de Rug Pull envolvendo novos Tokens em cadeia. Uma investigação mais aprofundada revelou a existência de gangues criminosas organizadas por trás desses casos, que apresentam características padronizadas.

Após uma análise aprofundada, descobriu-se que esses grupos podem estar promovendo fraudes através de grupos do Telegram. Eles utilizam a funcionalidade "New Token Tracer" dentro dos grupos para atrair usuários a comprar tokens fraudulentos, e por fim lucrar com Rug Pull.

De acordo com estatísticas, de novembro de 2023 até o início de agosto de 2024, esses grupos do Telegram enviaram um total de 93,930 novos Tokens, dos quais 46,526 Tokens estavam envolvidos em Rug Pull, representando 49,53%. O custo total investido pelos grupos por trás desses Tokens de Rug Pull foi de 149,813.72 ETH, gerando um lucro de 282,699.96 ETH com uma taxa de retorno de 188.7%, o que equivale a cerca de 800 milhões de dólares.

Para avaliar a proporção de tokens enviados por grupos do Telegram na rede principal do Ethereum, as estatísticas mostram que, no mesmo período, foram emitidos 100.260 novos tokens na rede principal do Ethereum, dos quais os tokens enviados pelos grupos do Telegram representam 89,99%. Em média, cerca de 370 novos tokens são criados por dia, muito além das expectativas razoáveis. O que é ainda mais preocupante é que pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa alarmante de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.

Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que a situação de segurança do novo ecossistema de tokens do Web3 é mais severa do que o esperado. Portanto, espera-se que este relatório ajude os membros do Web3 a aumentar a consciência de prevenção, manter a vigilância e tomar medidas preventivas em tempo hábil para proteger a segurança dos ativos.

Introdução aos Tokens ERC-20

ERC-20 é um dos padrões de Token mais comuns na blockchain, definindo um conjunto de normas que permite a interoperabilidade de Tokens entre diferentes contratos inteligentes e aplicações descentralizadas. Ele especifica as funcionalidades básicas dos Tokens, como transferências, consulta de saldo, autorização de terceiros para gestão, entre outros. Este protocolo padronizado simplifica a criação e o uso de Tokens. Na verdade, qualquer pessoa pode emitir Tokens com base no padrão ERC-20, angariando fundos iniciais para vários projetos financeiros.

Os comuns USDT, PEPE e DOGE pertencem a tokens ERC-20 e podem ser comprados através de exchanges descentralizadas. No entanto, alguns grupos de fraudes também podem emitir tokens ERC-20 maliciosos com backdoor, listá-los em exchanges e induzir os usuários a comprá-los.

Casos típicos de fraude com Tokens Rug Pull

Abaixo está um caso de fraude de Token Rug Pull, que demonstra em profundidade o modo de operação de fraudes com Tokens maliciosos. Rug Pull refere-se a um comportamento fraudulento onde os desenvolvedores repentinamente retiram fundos ou abandonam o projeto, causando grandes perdas aos investidores. Tokens Rug Pull são aqueles que são emitidos especificamente para implementar esse tipo de fraude.

caso

O atacante usou o endereço Deployer para implantar o Token TOMMI, em seguida, criou um pool de liquidez com 1,5 ETH e 100 milhões de TOMMI, e comprou ativamente o Token TOMMI através de outros endereços para falsificar o volume de transações, atraindo usuários e bots de novas ofertas. Quando um certo número de bots de novas ofertas cai na armadilha, o atacante executa o Rug Pull usando o endereço Rug Puller, despejando 38,74 milhões de Tokens TOMMI no pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vêm da autorização maliciosa de Aprovação do contrato de Token TOMMI, permitindo que retirem Tokens TOMMI diretamente do pool de liquidez para realizar o Rug Pull.

processo de Rug Pull

1. Preparar fundos para o ataque: o atacante carrega 2,47 ETH para o Deployer através da exchange como capital inicial.

2. Implantar um Token Rug Pull com backdoor: o Deployer cria o Token TOMMI, pré-minera 100 milhões de tokens e os distribui para si próprio.

3. Criar o pool de liquidez inicial: O Deployer usa 1,5 ETH e todos os tokens pré-minerados para criar o pool de liquidez, obtendo cerca de 0,387 tokens LP.

4. Destruir toda a oferta de Token pré-minada: O Deployer enviará todos os tokens LP para o endereço 0 para destruí-los, teoricamente perdendo a capacidade de Rug Pull. Isso é para enganar o programa antifraude dos bots de novas ofertas.

5. Volume de transações falsificado: atacantes usam vários endereços para comprar ativamente Tokens TOMMI, fazendo o volume de transações da pool aumentar, atraindo ainda mais robôs de lançamento.

6. Executar Rug Pull: O Rug Puller retira diretamente do pool de liquidez 38.740.000 Tokens através de uma porta dos fundos, e depois usa esses Tokens para desvalorizar o pool, retirando cerca de 3,95 Éter.

7. Transferir fundos de lucro: o atacante envia os fundos obtidos com o Rug Pull para um endereço intermediário.

8. Recolha de fundos: o endereço de transferência enviará os fundos para o endereço de retenção de fundos. O endereço de retenção de fundos dividirá a maior parte dos fundos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade de fundos será retirada através da exchange.

Código de Backdoor de Rug Pull

O atacante deixou uma porta dos fundos maliciosa approve na função openTrading do contrato do Token TOMMI, permitindo que, ao criar um pool de liquidez, o pool aprova a transferência de tokens para o endereço Rug Puller, permitindo que o Rug Puller retire diretamente tokens do pool.

características de modo de operação

1. O Deployer obtém fundos através da bolsa.
2. O Deployer cria um pool de liquidez e destrói os tokens LP
3. Rug Puller troca uma grande quantidade de Token no pool de ETH
4. O Rug Puller transferirá o ETH obtido para o endereço de reserva de fundos

Essas características estão amplamente presentes nos casos capturados, indicando que o comportamento de Rug Pull é altamente padronizado. Os fundos acabam sendo reunidos em um endereço de retenção de fundos, sugerindo que esses casos podem envolver o mesmo grupo criminoso.

Análise do grupo responsável pelo Rug Pull

Endereço de retenção de fundos para mineração

Identificaram-se 7 endereços de retenção de fundos altamente ativos, associados a 1124 casos de Rug Pull. Esses endereços dividirão os fundos retidos para novos Rug Pulls, com uma pequena parte sendo liquidada através de bolsas.

Estatísticas mostram que esses endereços investiram um total de 149,813.72 Éter, obtendo um lucro de 282,699.96 Éter, com uma margem de lucro de 188.7%. O endereço com a maior proporção de lucro obteve 2,668.17 Éter, representando 27.7% do lucro total.

Embora os fundos estejam concentrados em diferentes endereços, existem muitas semelhanças entre os casos, suspeitando-se que pertençam ao mesmo grupo. Uma análise mais aprofundada revelou que existe uma relação de fluxo de fundos entre esses endereços, que podem ser divididos em 3 conjuntos de endereços, mas todos utilizam o mesmo contrato de infraestrutura para dividir ETH e realizar Rug Pull, indicando que podem pertencer ao mesmo grupo.

Análise de Infraestruturas Compartilhadas

Dois endereços de infraestrutura principais: 0x1d39 e 0x6348.

0x1d39 principais funcionalidades:

• multiSendETH: divisão de transferências, utilizado para falsificar volume de transações
• 0x7a860e7e:Comprar Token Rug Pull

A função 0x6348 é semelhante, o nome da função de compra é 0x3f8a436c.

Estatísticas mostram que um pequeno número de endereços é utilizado para dividir fundos, enquanto um grande número de endereços é utilizado para falsificar volumes de transação. Sete endereços de retenção de fundos dividiram um total de 3.616 vezes os fundos através da infraestrutura, totalizando 9.369,98 ETH.

Análise da fonte de financiamento do crime

Em 1124 casos, 1069 de ( 95.11% ) dos fundos do Deployer vêm de carteiras quentes de exchanges. O grupo utiliza várias carteiras quentes de exchanges ao mesmo tempo para aumentar a dificuldade de rastreamento.

Análise do ecossistema de Token Ethereum

Análise de Token enviada no grupo do Telegram

De outubro de 2023 a agosto de 2024, os grupos relevantes enviaram um total de 93,930 Tokens.

Aplicando as regras de deteção de Rug Pull, foi encontrado:

• 46,526 tokens Rug Pull, representando 49.53%
• 41.801 horas ativas <72 horas, representando 89,84%
• 25.622 tempos ativos <3 horas, representando 55,07%

Métodos de saque:

• 69.06% através da remoção de liquidez
• 30.94% através de venda a descoberto

Método de chamada de contrato:

• 76.35% através do Uniswap Router
• 23.65% através da construção de contratos de ataque

Análise de Tokens emitidos na rede principal Ethereum

No mesmo período, foram emitidos 100.260 Token (, excluindo os Token LP ).

Resultados da deteção de Rug Pull:

• 48,265 Token Rug Pull, ocupa 48,14%

Comparação entre tokens de grupo do Telegram e tokens da mainnet:

• Interseção de 90.228, representando 89,99% da mainnet
• Telegram adicionais 3,703 Tokens de contrato de代理
• Rede principal com mais 10.032 que podem ser filtrados pelo grupo

Análise do ciclo de vida do Token:

• 78.018<72 horas, ocupando 77,82%
• 22,242>72 horas

Sugestões de segurança

1. Priorize a compra de novos Tokens através de bolsas de câmbio centralizadas conhecidas.
2. Verificar o endereço oficial do Token
3. Confirme que o projeto tem um site oficial e uma comunidade ativa
4. Evite comprar tokens com data de criação < 3 dias
5. Utilizar serviços de verificação de segurança de terceiros

Apelo

1. A bolsa reforçou a supervisão sobre fluxos de fundos maliciosos
2. Provedores de serviços de terceiros reforçam a auditoria de segurança
3. Os investidores usam ferramentas de segurança e divulgam ativamente comportamentos criminosos
4. Os profissionais de segurança detectam e combatem ativamente comportamentos ilegais.
5. Todos os participantes mantêm conjuntamente a segurança do ecossistema Web3