Web3世界的潛在風險:深入剖析以太坊代幣生態亂象

在Web3世界裏,新代幣層出不窮。你是否想過,每天究竟有多少新代幣發行?這些新代幣真的安全嗎?

這些疑問並非無的放矢。近幾個月來,安全團隊捕捉到大量涉及新上鏈代幣的Rug Pull交易案例。進一步調查發現,這些案例背後存在組織化的犯罪團夥,並呈現出模式化的特徵。

深入分析後發現,這些團夥可能通過Telegram羣組進行詐騙推廣。他們利用羣組中的"New Token Tracer"功能吸引用戶購買詐騙代幣,最終通過Rug Pull牟利。

據統計,從2023年11月至2024年8月初,這些Telegram羣組共推送了93,930種新代幣,其中涉及Rug Pull的代幣高達46,526種,佔比49.53%。這些Rug Pull代幣背後團夥的累計投入成本爲149,813.72 ETH,以188.7%的回報率牟利282,699.96 ETH,折合約8億美元。

爲評估Telegram羣組推送代幣在以太坊主網中的佔比,統計顯示同期以太坊主網共發行100,260種新代幣,Telegram羣組推送的代幣佔89.99%。平均每天約有370種新代幣誕生,遠超合理預期。更令人不安的是,至少48,265種代幣涉及Rug Pull詐騙,佔比高達48.14%。換言之,以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外,在其他區塊鏈網路中也發現了更多Rug Pull案例。這意味着整個Web3新發代幣生態的安全狀況比預期更加嚴峻。因此,希望本報告能幫助Web3成員提升防範意識,保持警惕,並及時採取預防措施,保護資產安全。

ERC-20代幣簡介

ERC-20是區塊鏈上最常見的代幣標準之一,定義了一套規範,使代幣可在不同智能合約和去中心化應用間互操作。它規定了代幣的基本功能,如轉帳、查詢餘額、授權第三方管理等。這種標準化協議簡化了代幣的創建和使用。實際上,任何人都可基於ERC-20標準發行代幣,爲各種金融項目籌集啓動資金。

常見的USDT、PEPE、DOGE都屬於ERC-20代幣,可通過去中心化交易所購買。然而,某些詐騙團夥也可能發行帶後門的惡意ERC-20代幣,將其上架交易所,誘導用戶購買。

Rug Pull代幣的典型詐騙案例

以下是一個Rug Pull代幣詐騙案例,深入展示了惡意代幣詐騙的運作模式。Rug Pull指項目方突然抽走資金或放棄項目,導致投資者蒙受巨大損失的欺詐行爲。Rug Pull代幣則是專門爲實施這種詐騙而發行的代幣。

案例

攻擊者用Deployer地址部署TOMMI代幣,然後用1.5個ETH和1億個TOMMI創建流動性池,並通過其他地址主動購買TOMMI代幣來僞造交易量,吸引用戶和打新機器人。當有一定數量的打新機器人上當後,攻擊者用Rug Puller地址執行Rug Pull,用3874萬TOMMI代幣砸流動性池,兌換出約3.95個ETH。Rug Puller的代幣來自TOMMI代幣合約的惡意Approve授權,使其可直接從流動性池轉出TOMMI代幣進行Rug Pull。

Rug Pull過程

1. 準備攻擊資金:攻擊者通過交易所向Deployer充值2.47 ETH作爲啓動資金。

2. 部署帶後門的Rug Pull代幣:Deployer創建TOMMI代幣,預挖1億個代幣並分配給自身。

3. 創建初始流動性池:Deployer用1.5個ETH和預挖的所有代幣創建流動性池,獲得約0.387個LP代幣。

4. 銷毀所有預挖的Token供應量:Deployer將所有LP代幣發送至0地址銷毀,理論上失去了Rug Pull能力。這是爲了騙過打新機器人的反詐程序。

5. 僞造交易量:攻擊者用多個地址主動購買TOMMI代幣,炒高池子交易量,進一步吸引打新機器人入場。

6. 執行Rug Pull:Rug Puller通過代幣後門直接從流動性池轉出3874萬個代幣,然後用這些代幣砸池子,套出約3.95個ETH。

7. 轉移獲利資金:攻擊者將Rug Pull所得資金發送至中轉地址。

8. 資金歸集:中轉地址將資金發送至資金留存地址。資金留存地址會將大部分資金進行拆分以開始新一輪Rug Pull,少量資金通過交易所提現。

Rug Pull代碼後門

攻擊者在TOMMI代幣合約的openTrading函數中留下惡意approve後門,在創建流動性池時讓池子向Rug Puller地址approve代幣轉移權限,使Rug Puller可直接從池中轉走代幣。

作案模式化特徵

1. Deployer通過交易所獲取資金
2. Deployer創建流動性池並銷毀LP代幣
3. Rug Puller用大量代幣兌換池中ETH
4. Rug Puller將獲得的ETH轉移至資金留存地址

這些特徵普遍存在於捕獲的案例中,表明Rug Pull行爲高度模式化。資金最終匯集到資金留存地址,暗示這些案例可能涉及同一犯罪團夥。

Rug Pull作案團夥分析

資金留存地址挖掘

識別出7個高度活躍的資金留存地址,關聯1124個Rug Pull案例。這些地址會將沉澱資金拆分用於新的Rug Pull,小部分通過交易所套現。

統計顯示,這些地址共投入149,813.72 ETH成本,獲利282,699.96 ETH,利潤率達188.7%。利潤佔比最高的地址獲利2,668.17 ETH,佔總利潤的27.7%。

雖然資金匯集到不同地址,但案例間存在大量共性,懷疑屬於同一團夥。進一步分析發現這些地址間存在資金流動關係,可分爲3個地址集合,但都通過同樣的基礎設施合約拆分ETH進行Rug Pull,表明可能屬於同一團夥。

共用基礎設施分析

兩個主要的基礎設施地址:0x1d39和0x6348。

0x1d39主要功能:

• multiSendETH:拆分轉帳,用於僞造交易量
• 0x7a860e7e:購買Rug Pull代幣

0x6348功能類似,購買函數名爲0x3f8a436c。

統計顯示,少量地址用於拆分資金,大量地址用於僞造交易量。7個資金留存地址通過基礎設施共拆分3,616次資金,總額9,369.98 ETH。

作案資金來源分析

1124個案例中,1069個(95.11%)的Deployer資金來自交易所熱錢包。團夥同時使用多個交易所熱錢包,以增加溯源難度。

以太坊代幣生態分析

Telegram羣組推送代幣分析

2023年10月至2024年8月期間,相關羣組共推送93,930個代幣。

應用Rug Pull檢測規則後發現:

• 46,526個Rug Pull代幣,佔比49.53%
• 41,801個活躍時間<72小時,佔89.84%
• 25,622個活躍時間<3小時,佔55.07%

套現方法:

• 69.06%通過移除流動性
• 30.94%通過砸盤

合約調用方式:

• 76.35%通過Uniswap Router
• 23.65%通過自建攻擊合約

以太坊主網發行代幣分析

同期主網共發行100,260個代幣(不含LP代幣)。

Rug Pull檢測結果:

• 48,265個Rug Pull代幣,佔48.14%

Telegram羣組推送代幣與主網代幣對比:

• 交集90,228個,佔主網89.99%
• Telegram額外3,703個爲代理合約代幣
• 主網額外10,032個可能被羣組過濾

代幣生命週期分析:

• 78,018個<72小時,佔77.82%
• 22,242個>72小時

安全建議

1. 優先通過知名中心化交易所購買新代幣
2. 核實代幣官方地址
3. 確認項目有官網和活躍社區
4. 避免購買創建時間<3天的代幣
5. 使用第三方安全掃描服務

呼籲

1. 交易所加強惡意資金流監管
2. 第三方服務商加強安全審查
3. 投資者使用安全工具並主動披露犯罪行爲
4. 安全從業者積極發現和對抗不法行爲
5. 所有參與者共同維護Web3生態安全