Rủi ro tiềm ẩn của thế giới Web3: Phân tích sâu về những hỗn loạn trong hệ sinh thái Token Ethereum
Trong thế giới Web3, các loại token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi có bao nhiêu token mới được phát hành mỗi ngày không? Những token mới này có thực sự an toàn không?
Những câu hỏi này không phải là không có cơ sở. Trong vài tháng qua, đội ngũ an ninh đã phát hiện ra nhiều vụ giao dịch Rug Pull liên quan đến các token mới được phát hành trên chuỗi. Cuộc điều tra sâu hơn cho thấy, có những băng nhóm tội phạm có tổ chức đứng sau những vụ việc này, và chúng có những đặc điểm giống nhau.
Sau khi phân tích sâu, phát hiện rằng những băng nhóm này có thể thực hiện việc lừa đảo thông qua các nhóm Telegram. Họ tận dụng chức năng "New Token Tracer" trong nhóm để thu hút người dùng mua Token lừa đảo, và cuối cùng kiếm lợi từ việc Rug Pull.
Theo thống kê, từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram này đã đẩy mạnh 93,930 loại Token mới, trong đó có tới 46,526 loại Token liên quan đến Rug Pull, chiếm 49.53%. Tổng chi phí đầu tư của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, với tỷ suất lợi nhuận 188.7%, thu được 282,699.96 Ether, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token được gửi từ nhóm Telegram trên mạng chính của Ethereum, thống kê cho thấy trong cùng thời gian, mạng chính của Ethereum đã phát hành tổng cộng 100,260 loại Token mới, trong đó các Token được gửi từ nhóm Telegram chiếm 89.99%. Trung bình mỗi ngày có khoảng 370 loại Token mới ra đời, vượt xa kỳ vọng hợp lý. Điều đáng lo ngại hơn là ít nhất 48,265 loại Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên đến 48.14%. Nói cách khác, trên mạng chính của Ethereum, gần như mỗi hai Token mới lại có một Token liên quan đến lừa đảo.
Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là tình hình an ninh của toàn bộ hệ sinh thái token mới phát hành của Web3 nghiêm trọng hơn mong đợi. Do đó, hy vọng báo cáo này có thể giúp các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác và kịp thời thực hiện các biện pháp phòng ngừa để bảo vệ an toàn tài sản.
Giới thiệu về Token ERC-20
ERC-20 là một trong những tiêu chuẩn Token phổ biến nhất trên blockchain, định nghĩa một bộ quy tắc để các Token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung khác nhau. Nó quy định các chức năng cơ bản của Token, chẳng hạn như chuyển khoản, truy vấn số dư, ủy quyền cho bên thứ ba quản lý, v.v. Giao thức tiêu chuẩn hóa này đơn giản hóa việc tạo và sử dụng Token. Trên thực tế, bất kỳ ai cũng có thể phát hành Token dựa trên tiêu chuẩn ERC-20 để huy động vốn khởi đầu cho các dự án tài chính khác nhau.
Các loại phổ biến như USDT, PEPE, DOGE đều thuộc loại Token ERC-20, có thể mua qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể phát hành các Token ERC-20 độc hại có cửa hậu, niêm yết chúng trên sàn giao dịch để dụ người dùng mua.
Các trường hợp lừa đảo điển hình của Token Rug Pull
Dưới đây là một trường hợp lừa đảo Rug Pull Token, trình bày sâu sắc về mô hình hoạt động của lừa đảo Token độc hại. Rug Pull chỉ hành vi lừa đảo khi nhóm dự án đột ngột rút tiền hoặc từ bỏ dự án, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Rug Pull Token là loại Token được phát hành đặc biệt để thực hiện loại lừa đảo này.
trường hợp
Kẻ tấn công đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1,5 ETH và 100 triệu TOMMI để tạo ra một bể thanh khoản, và chủ động mua Token TOMMI thông qua các địa chỉ khác để giả mạo khối lượng giao dịch, thu hút người dùng và bot mới. Khi có một số lượng bot mới nhất định bị lừa, kẻ tấn công đã sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, dùng 38,74 triệu TOMMI để đập bể thanh khoản, đổi lấy khoảng 3,95 ETH. Token của Rug Puller đến từ việc ủy quyền độc hại Approve trong hợp đồng Token TOMMI, cho phép nó trực tiếp chuyển TOMMI từ bể thanh khoản để thực hiện Rug Pull.
Quy trình Rug Pull
Chuẩn bị vốn tấn công: Kẻ tấn công nạp 2.47 Ether vào Deployer thông qua sàn giao dịch như vốn khởi đầu.
Triển khai Token Rug Pull có cửa hậu: Deployer tạo ra Token TOMMI, khai thác trước 100 triệu Token và phân phối cho chính mình.
Tạo bể thanh khoản ban đầu: Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước đó để tạo bể thanh khoản, nhận được khoảng 0.387 LP Token.
Hủy toàn bộ nguồn cung cấp Token đã được khai thác trước: Deployer gửi tất cả LP token đến địa chỉ 0 để hủy, về lý thuyết là mất khả năng Rug Pull. Điều này nhằm qua mặt chương trình phòng chống gian lận của robot đấu thầu.
Khối lượng giao dịch giả: Kẻ tấn công sử dụng nhiều địa chỉ chủ động mua Token TOMMI, đẩy khối lượng giao dịch của pool lên cao, thu hút thêm robot giao dịch mới tham gia.
Thực hiện Rug Pull: Rug Puller trực tiếp rút 38.740.000 Token từ hồ thanh khoản thông qua cửa sau, sau đó dùng những Token này để phá hoại hồ, lấy ra khoảng 3.95 Ether.
Chuyển tiền lợi nhuận: Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.
Tập hợp vốn: Địa chỉ trung gian sẽ gửi vốn đến địa chỉ giữ vốn. Địa chỉ giữ vốn sẽ phân chia phần lớn vốn để bắt đầu một đợt Rug Pull mới, một lượng nhỏ vốn sẽ được rút qua sàn giao dịch.
Mã lỗ hỗng Rug Pull
Kẻ tấn công đã để lại một lỗ hổng approve độc hại trong hàm openTrading của hợp đồng TOMMI Token, cho phép bể thanh khoản được cấp quyền chuyển đổi token cho địa chỉ Rug Puller khi tạo bể thanh khoản, khiến Rug Puller có thể trực tiếp rút token từ bể.
đặc điểm mô hình phạm tội
Deployer nhận được vốn thông qua sàn giao dịch
Deployer tạo ra bể thanh khoản và hủy LP Token
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể
Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ lưu giữ quỹ
Những đặc điểm này phổ biến trong các trường hợp bị bắt, cho thấy hành vi Rug Pull có tính chất mô hình hóa cao. Các khoản tiền cuối cùng tập trung vào địa chỉ giữ tiền, gợi ý rằng các trường hợp này có thể liên quan đến cùng một băng nhóm tội phạm.
Phân tích băng nhóm thực hiện Rug Pull
Địa chỉ giữ vốn khai thác
Nhận diện 7 địa chỉ lưu giữ vốn hoạt động cao, liên kết với 1124 trường hợp Rug Pull. Những địa chỉ này sẽ phân tách vốn tích lũy để thực hiện Rug Pull mới, một phần nhỏ sẽ được rút qua sàn giao dịch.
Thống kê cho thấy, các địa chỉ này đã đầu tư tổng cộng 149,813.72 ETH, thu lợi 282,699.96 ETH, tỷ suất lợi nhuận đạt 188.7%. Địa chỉ có tỷ lệ lợi nhuận cao nhất đã thu lợi 2,668.17 ETH, chiếm 27.7% tổng lợi nhuận.
Mặc dù vốn tập trung vào các địa chỉ khác nhau, nhưng giữa các trường hợp có nhiều điểm chung, nghi ngờ thuộc về cùng một băng nhóm. Phân tích thêm cho thấy có mối quan hệ dòng tiền giữa các địa chỉ này, có thể chia thành 3 tập hợp địa chỉ, nhưng tất cả đều thông qua cùng một hợp đồng cơ sở hạ tầng để chia nhỏ ETH thực hiện Rug Pull, cho thấy có thể thuộc về cùng một băng nhóm.
Phân tích cơ sở hạ tầng chung
Hai địa chỉ cơ sở hạ tầng chính: 0x1d39 và 0x6348.
0x1d39 chức năng chính:
multiSendETH: Chia nhỏ chuyển khoản, dùng để giả mạo khối lượng giao dịch
0x7a860e7e: Mua Rug Pull Token
0x6348 có chức năng tương tự, tên hàm mua là 0x3f8a436c.
Thống kê cho thấy, một số ít địa chỉ được sử dụng để chia tách vốn, trong khi nhiều địa chỉ được dùng để làm giả khối lượng giao dịch. 7 địa chỉ giữ vốn đã chia tách 3,616 lần vốn thông qua cơ sở hạ tầng, tổng cộng 9,369.98 ETH.
phân tích nguồn gốc tài chính của vụ án
Trong 1124 trường hợp, 1069 trường hợp ( có 95.11% ) vốn Deployer đến từ ví nóng của sàn giao dịch. Nhóm này đồng thời sử dụng nhiều ví nóng của sàn giao dịch để tăng độ khó trong việc truy vết.
Phân tích hệ sinh thái token Ethereum
Phân tích Token được gửi trong nhóm Telegram
Trong khoảng thời gian từ tháng 10 năm 2023 đến tháng 8 năm 2024, các nhóm liên quan đã gửi tổng cộng 93.930 Token.
Áp dụng quy tắc phát hiện Rug Pull phát hiện:
46,526 Rug Pull Token,占比49.53%
41,801 thời gian hoạt động <72 giờ, chiếm 89.84%
25,622 người hoạt động trong thời gian <3 giờ, chiếm 55.07%
Phương pháp rút tiền:
69.06% thông qua việc loại bỏ thanh khoản
30.94% thông qua việc đè giá
Cách gọi hợp đồng:
76.35% thông qua Uniswap Router
23.65% thông qua hợp đồng tấn công tự xây dựng
Phân tích phát hành Token trên mạng chính Ethereum
Trong cùng thời gian, mạng chính đã phát hành tổng cộng 100,260 Token ( không bao gồm LP Token ).
Kết quả kiểm tra Rug Pull:
48,265 Token Rug Pull, chiếm 48.14%
Telegram nhóm thông báo so sánh Token với Token trên mạng chính:
Giao dịch 90,228 cái, chiếm 89.99% mạng chính.
Telegram thêm 3,703 Token cho hợp đồng đại lý
Mạng chính có thêm 10,032 khả năng bị nhóm lọc
Phân tích vòng đời Token:
78,018个<72 giờ, chiếm 77.82%
22,242 cái>72 giờ
Đề xuất an toàn
Ưu tiên mua token mới thông qua sàn giao dịch trung tâm nổi tiếng
Xác minh địa chỉ chính thức của Token
Xác nhận dự án có website chính thức và cộng đồng hoạt động tích cực
Tránh mua Token có thời gian tạo <3 ngày
Sử dụng dịch vụ quét an ninh của bên thứ ba
Kêu gọi
Sàn giao dịch tăng cường giám sát dòng tiền xấu.
Các nhà cung cấp dịch vụ bên thứ ba tăng cường kiểm tra an ninh
Nhà đầu tư sử dụng công cụ bảo mật và chủ động tiết lộ hành vi phạm tội
Các chuyên gia an ninh tích cực phát hiện và chống lại các hành vi bất hợp pháp
Tất cả các thành viên cùng nhau bảo vệ an toàn cho hệ sinh thái Web3
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
8
Chia sẻ
Bình luận
0/400
GateUser-afe07a92
· 07-17 04:02
chơi đùa với mọi người就完事了 谁让你贪
Xem bản gốcTrả lời0
MetaverseMigrant
· 07-16 00:09
đồ ngốc ơi, Ví tiền lại sắp gặp nạn rồi~
Xem bản gốcTrả lời0
WhaleWatcher
· 07-14 04:41
Số tiền này hoàn toàn mất trắng.
Xem bản gốcTrả lời0
ConsensusBot
· 07-14 04:38
đồ ngốc chơi đùa với mọi người xong thì chạy thật chán
Độ sâu điều tra: 48% hệ sinh thái Token Ethereum là Rug Pull, thiệt hại lên tới 8 triệu USD
Rủi ro tiềm ẩn của thế giới Web3: Phân tích sâu về những hỗn loạn trong hệ sinh thái Token Ethereum
Trong thế giới Web3, các loại token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi có bao nhiêu token mới được phát hành mỗi ngày không? Những token mới này có thực sự an toàn không?
Những câu hỏi này không phải là không có cơ sở. Trong vài tháng qua, đội ngũ an ninh đã phát hiện ra nhiều vụ giao dịch Rug Pull liên quan đến các token mới được phát hành trên chuỗi. Cuộc điều tra sâu hơn cho thấy, có những băng nhóm tội phạm có tổ chức đứng sau những vụ việc này, và chúng có những đặc điểm giống nhau.
Sau khi phân tích sâu, phát hiện rằng những băng nhóm này có thể thực hiện việc lừa đảo thông qua các nhóm Telegram. Họ tận dụng chức năng "New Token Tracer" trong nhóm để thu hút người dùng mua Token lừa đảo, và cuối cùng kiếm lợi từ việc Rug Pull.
Theo thống kê, từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram này đã đẩy mạnh 93,930 loại Token mới, trong đó có tới 46,526 loại Token liên quan đến Rug Pull, chiếm 49.53%. Tổng chi phí đầu tư của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, với tỷ suất lợi nhuận 188.7%, thu được 282,699.96 Ether, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token được gửi từ nhóm Telegram trên mạng chính của Ethereum, thống kê cho thấy trong cùng thời gian, mạng chính của Ethereum đã phát hành tổng cộng 100,260 loại Token mới, trong đó các Token được gửi từ nhóm Telegram chiếm 89.99%. Trung bình mỗi ngày có khoảng 370 loại Token mới ra đời, vượt xa kỳ vọng hợp lý. Điều đáng lo ngại hơn là ít nhất 48,265 loại Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên đến 48.14%. Nói cách khác, trên mạng chính của Ethereum, gần như mỗi hai Token mới lại có một Token liên quan đến lừa đảo.
Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là tình hình an ninh của toàn bộ hệ sinh thái token mới phát hành của Web3 nghiêm trọng hơn mong đợi. Do đó, hy vọng báo cáo này có thể giúp các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác và kịp thời thực hiện các biện pháp phòng ngừa để bảo vệ an toàn tài sản.
Giới thiệu về Token ERC-20
ERC-20 là một trong những tiêu chuẩn Token phổ biến nhất trên blockchain, định nghĩa một bộ quy tắc để các Token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung khác nhau. Nó quy định các chức năng cơ bản của Token, chẳng hạn như chuyển khoản, truy vấn số dư, ủy quyền cho bên thứ ba quản lý, v.v. Giao thức tiêu chuẩn hóa này đơn giản hóa việc tạo và sử dụng Token. Trên thực tế, bất kỳ ai cũng có thể phát hành Token dựa trên tiêu chuẩn ERC-20 để huy động vốn khởi đầu cho các dự án tài chính khác nhau.
Các loại phổ biến như USDT, PEPE, DOGE đều thuộc loại Token ERC-20, có thể mua qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể phát hành các Token ERC-20 độc hại có cửa hậu, niêm yết chúng trên sàn giao dịch để dụ người dùng mua.
Các trường hợp lừa đảo điển hình của Token Rug Pull
Dưới đây là một trường hợp lừa đảo Rug Pull Token, trình bày sâu sắc về mô hình hoạt động của lừa đảo Token độc hại. Rug Pull chỉ hành vi lừa đảo khi nhóm dự án đột ngột rút tiền hoặc từ bỏ dự án, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Rug Pull Token là loại Token được phát hành đặc biệt để thực hiện loại lừa đảo này.
trường hợp
Kẻ tấn công đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1,5 ETH và 100 triệu TOMMI để tạo ra một bể thanh khoản, và chủ động mua Token TOMMI thông qua các địa chỉ khác để giả mạo khối lượng giao dịch, thu hút người dùng và bot mới. Khi có một số lượng bot mới nhất định bị lừa, kẻ tấn công đã sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, dùng 38,74 triệu TOMMI để đập bể thanh khoản, đổi lấy khoảng 3,95 ETH. Token của Rug Puller đến từ việc ủy quyền độc hại Approve trong hợp đồng Token TOMMI, cho phép nó trực tiếp chuyển TOMMI từ bể thanh khoản để thực hiện Rug Pull.
Quy trình Rug Pull
Chuẩn bị vốn tấn công: Kẻ tấn công nạp 2.47 Ether vào Deployer thông qua sàn giao dịch như vốn khởi đầu.
Triển khai Token Rug Pull có cửa hậu: Deployer tạo ra Token TOMMI, khai thác trước 100 triệu Token và phân phối cho chính mình.
Tạo bể thanh khoản ban đầu: Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước đó để tạo bể thanh khoản, nhận được khoảng 0.387 LP Token.
Hủy toàn bộ nguồn cung cấp Token đã được khai thác trước: Deployer gửi tất cả LP token đến địa chỉ 0 để hủy, về lý thuyết là mất khả năng Rug Pull. Điều này nhằm qua mặt chương trình phòng chống gian lận của robot đấu thầu.
Khối lượng giao dịch giả: Kẻ tấn công sử dụng nhiều địa chỉ chủ động mua Token TOMMI, đẩy khối lượng giao dịch của pool lên cao, thu hút thêm robot giao dịch mới tham gia.
Thực hiện Rug Pull: Rug Puller trực tiếp rút 38.740.000 Token từ hồ thanh khoản thông qua cửa sau, sau đó dùng những Token này để phá hoại hồ, lấy ra khoảng 3.95 Ether.
Chuyển tiền lợi nhuận: Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.
Tập hợp vốn: Địa chỉ trung gian sẽ gửi vốn đến địa chỉ giữ vốn. Địa chỉ giữ vốn sẽ phân chia phần lớn vốn để bắt đầu một đợt Rug Pull mới, một lượng nhỏ vốn sẽ được rút qua sàn giao dịch.
Mã lỗ hỗng Rug Pull
Kẻ tấn công đã để lại một lỗ hổng approve độc hại trong hàm openTrading của hợp đồng TOMMI Token, cho phép bể thanh khoản được cấp quyền chuyển đổi token cho địa chỉ Rug Puller khi tạo bể thanh khoản, khiến Rug Puller có thể trực tiếp rút token từ bể.
đặc điểm mô hình phạm tội
Những đặc điểm này phổ biến trong các trường hợp bị bắt, cho thấy hành vi Rug Pull có tính chất mô hình hóa cao. Các khoản tiền cuối cùng tập trung vào địa chỉ giữ tiền, gợi ý rằng các trường hợp này có thể liên quan đến cùng một băng nhóm tội phạm.
Phân tích băng nhóm thực hiện Rug Pull
Địa chỉ giữ vốn khai thác
Nhận diện 7 địa chỉ lưu giữ vốn hoạt động cao, liên kết với 1124 trường hợp Rug Pull. Những địa chỉ này sẽ phân tách vốn tích lũy để thực hiện Rug Pull mới, một phần nhỏ sẽ được rút qua sàn giao dịch.
Thống kê cho thấy, các địa chỉ này đã đầu tư tổng cộng 149,813.72 ETH, thu lợi 282,699.96 ETH, tỷ suất lợi nhuận đạt 188.7%. Địa chỉ có tỷ lệ lợi nhuận cao nhất đã thu lợi 2,668.17 ETH, chiếm 27.7% tổng lợi nhuận.
Mặc dù vốn tập trung vào các địa chỉ khác nhau, nhưng giữa các trường hợp có nhiều điểm chung, nghi ngờ thuộc về cùng một băng nhóm. Phân tích thêm cho thấy có mối quan hệ dòng tiền giữa các địa chỉ này, có thể chia thành 3 tập hợp địa chỉ, nhưng tất cả đều thông qua cùng một hợp đồng cơ sở hạ tầng để chia nhỏ ETH thực hiện Rug Pull, cho thấy có thể thuộc về cùng một băng nhóm.
Phân tích cơ sở hạ tầng chung
Hai địa chỉ cơ sở hạ tầng chính: 0x1d39 và 0x6348.
0x1d39 chức năng chính:
0x6348 có chức năng tương tự, tên hàm mua là 0x3f8a436c.
Thống kê cho thấy, một số ít địa chỉ được sử dụng để chia tách vốn, trong khi nhiều địa chỉ được dùng để làm giả khối lượng giao dịch. 7 địa chỉ giữ vốn đã chia tách 3,616 lần vốn thông qua cơ sở hạ tầng, tổng cộng 9,369.98 ETH.
phân tích nguồn gốc tài chính của vụ án
Trong 1124 trường hợp, 1069 trường hợp ( có 95.11% ) vốn Deployer đến từ ví nóng của sàn giao dịch. Nhóm này đồng thời sử dụng nhiều ví nóng của sàn giao dịch để tăng độ khó trong việc truy vết.
Phân tích hệ sinh thái token Ethereum
Phân tích Token được gửi trong nhóm Telegram
Trong khoảng thời gian từ tháng 10 năm 2023 đến tháng 8 năm 2024, các nhóm liên quan đã gửi tổng cộng 93.930 Token.
Áp dụng quy tắc phát hiện Rug Pull phát hiện:
Phương pháp rút tiền:
Cách gọi hợp đồng:
Phân tích phát hành Token trên mạng chính Ethereum
Trong cùng thời gian, mạng chính đã phát hành tổng cộng 100,260 Token ( không bao gồm LP Token ).
Kết quả kiểm tra Rug Pull:
Telegram nhóm thông báo so sánh Token với Token trên mạng chính:
Phân tích vòng đời Token:
Đề xuất an toàn
Kêu gọi