Web3世界的潜在风险:深入剖析以太坊代币生态乱象

在Web3世界里,新代币层出不穷。你是否想过,每天究竟有多少新代币发行?这些新代币真的安全吗?

这些疑问并非无的放矢。近几个月来,安全团队捕捉到大量涉及新上链代币的Rug Pull交易案例。进一步调查发现,这些案例背后存在组织化的犯罪团伙,并呈现出模式化的特征。

深入分析后发现,这些团伙可能通过Telegram群组进行诈骗推广。他们利用群组中的"New Token Tracer"功能吸引用户购买诈骗代币,最终通过Rug Pull牟利。

据统计,从2023年11月至2024年8月初,这些Telegram群组共推送了93,930种新代币,其中涉及Rug Pull的代币高达46,526种,占比49.53%。这些Rug Pull代币背后团伙的累计投入成本为149,813.72 ETH,以188.7%的回报率牟利282,699.96 ETH,折合约8亿美元。

为评估Telegram群组推送代币在以太坊主网中的占比,统计显示同期以太坊主网共发行100,260种新代币,Telegram群组推送的代币占89.99%。平均每天约有370种新代币诞生,远超合理预期。更令人不安的是,至少48,265种代币涉及Rug Pull诈骗,占比高达48.14%。换言之,以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

此外,在其他区块链网络中也发现了更多Rug Pull案例。这意味着整个Web3新发代币生态的安全状况比预期更加严峻。因此,希望本报告能帮助Web3成员提升防范意识,保持警惕,并及时采取预防措施,保护资产安全。

ERC-20代币简介

ERC-20是区块链上最常见的代币标准之一,定义了一套规范,使代币可在不同智能合约和去中心化应用间互操作。它规定了代币的基本功能,如转账、查询余额、授权第三方管理等。这种标准化协议简化了代币的创建和使用。实际上,任何人都可基于ERC-20标准发行代币,为各种金融项目筹集启动资金。

常见的USDT、PEPE、DOGE都属于ERC-20代币,可通过去中心化交易所购买。然而,某些诈骗团伙也可能发行带后门的恶意ERC-20代币,将其上架交易所,诱导用户购买。

Rug Pull代币的典型诈骗案例

以下是一个Rug Pull代币诈骗案例,深入展示了恶意代币诈骗的运作模式。Rug Pull指项目方突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。Rug Pull代币则是专门为实施这种诈骗而发行的代币。

案例

攻击者用Deployer地址部署TOMMI代币,然后用1.5个ETH和1亿个TOMMI创建流动性池,并通过其他地址主动购买TOMMI代币来伪造交易量,吸引用户和打新机器人。当有一定数量的打新机器人上当后,攻击者用Rug Puller地址执行Rug Pull,用3874万TOMMI代币砸流动性池,兑换出约3.95个ETH。Rug Puller的代币来自TOMMI代币合约的恶意Approve授权,使其可直接从流动性池转出TOMMI代币进行Rug Pull。

Rug Pull过程

1. 准备攻击资金:攻击者通过交易所向Deployer充值2.47 ETH作为启动资金。

2. 部署带后门的Rug Pull代币:Deployer创建TOMMI代币,预挖1亿个代币并分配给自身。

3. 创建初始流动性池:Deployer用1.5个ETH和预挖的所有代币创建流动性池,获得约0.387个LP代币。

4. 销毁所有预挖的Token供应量:Deployer将所有LP代币发送至0地址销毁,理论上失去了Rug Pull能力。这是为了骗过打新机器人的反诈程序。

5. 伪造交易量:攻击者用多个地址主动购买TOMMI代币,炒高池子交易量,进一步吸引打新机器人入场。

6. 执行Rug Pull:Rug Puller通过代币后门直接从流动性池转出3874万个代币,然后用这些代币砸池子,套出约3.95个ETH。

7. 转移获利资金:攻击者将Rug Pull所得资金发送至中转地址。

8. 资金归集:中转地址将资金发送至资金留存地址。资金留存地址会将大部分资金进行拆分以开始新一轮Rug Pull,少量资金通过交易所提现。

Rug Pull代码后门

攻击者在TOMMI代币合约的openTrading函数中留下恶意approve后门,在创建流动性池时让池子向Rug Puller地址approve代币转移权限,使Rug Puller可直接从池中转走代币。

作案模式化特征

1. Deployer通过交易所获取资金
2. Deployer创建流动性池并销毁LP代币
3. Rug Puller用大量代币兑换池中ETH
4. Rug Puller将获得的ETH转移至资金留存地址

这些特征普遍存在于捕获的案例中,表明Rug Pull行为高度模式化。资金最终汇集到资金留存地址,暗示这些案例可能涉及同一犯罪团伙。

Rug Pull作案团伙分析

资金留存地址挖掘

识别出7个高度活跃的资金留存地址,关联1124个Rug Pull案例。这些地址会将沉淀资金拆分用于新的Rug Pull,小部分通过交易所套现。

统计显示,这些地址共投入149,813.72 ETH成本,获利282,699.96 ETH,利润率达188.7%。利润占比最高的地址获利2,668.17 ETH,占总利润的27.7%。

虽然资金汇集到不同地址,但案例间存在大量共性,怀疑属于同一团伙。进一步分析发现这些地址间存在资金流动关系,可分为3个地址集合,但都通过同样的基础设施合约拆分ETH进行Rug Pull,表明可能属于同一团伙。

共用基础设施分析

两个主要的基础设施地址:0x1d39和0x6348。

0x1d39主要功能:

• multiSendETH:拆分转账,用于伪造交易量
• 0x7a860e7e:购买Rug Pull代币

0x6348功能类似,购买函数名为0x3f8a436c。

统计显示,少量地址用于拆分资金,大量地址用于伪造交易量。7个资金留存地址通过基础设施共拆分3,616次资金,总额9,369.98 ETH。

作案资金来源分析

1124个案例中,1069个(95.11%)的Deployer资金来自交易所热钱包。团伙同时使用多个交易所热钱包,以增加溯源难度。

以太坊代币生态分析

Telegram群组推送代币分析

2023年10月至2024年8月期间,相关群组共推送93,930个代币。

应用Rug Pull检测规则后发现:

• 46,526个Rug Pull代币,占比49.53%
• 41,801个活跃时间<72小时,占89.84%
• 25,622个活跃时间<3小时,占55.07%

套现方法:

• 69.06%通过移除流动性
• 30.94%通过砸盘

合约调用方式:

• 76.35%通过Uniswap Router
• 23.65%通过自建攻击合约

以太坊主网发行代币分析

同期主网共发行100,260个代币(不含LP代币)。

Rug Pull检测结果:

• 48,265个Rug Pull代币,占48.14%

Telegram群组推送代币与主网代币对比:

• 交集90,228个,占主网89.99%
• Telegram额外3,703个为代理合约代币
• 主网额外10,032个可能被群组过滤

代币生命周期分析:

• 78,018个<72小时,占77.82%
• 22,242个>72小时

安全建议

1. 优先通过知名中心化交易所购买新代币
2. 核实代币官方地址
3. 确认项目有官网和活跃社区
4. 避免购买创建时间<3天的代币
5. 使用第三方安全扫描服务

呼吁

1. 交易所加强恶意资金流监管
2. 第三方服务商加强安全审查
3. 投资者使用安全工具并主动披露犯罪行为
4. 安全从业者积极发现和对抗不法行为
5. 所有参与者共同维护Web3生态安全