代币生态乱象：深入剖析以太坊Rug Pull现象

简介

Web3世界中新代币层出不穷,但你是否想过每天究竟有多少新代币发行?这些新代币是否安全?

近期,CertiK安全团队捕获了大量涉及新上链代币的Rug Pull案例。深入调查发现,这些案例背后存在组织化的犯罪团伙,并呈现出模式化特征。

CertiK发现这些团伙可能通过Telegram群组推广诈骗代币。统计显示,从2023年11月至2024年8月,这些群组共推送93,930种新代币,其中46,526种(49.53%)涉及Rug Pull。这些Rug Pull代币背后团伙累计投入149,813.72 ETH,以188.7%的回报率牟利282,699.96 ETH,约合8亿美元。

为评估这些代币在以太坊主网中的占比,CertiK统计了同期以太坊主网上发行的新代币数据。结果显示共有100,260种新代币发行,Telegram群组推送的代币占89.99%。平均每天约有370种新代币诞生,远超合理预期。深入调查发现,其中至少48,265种代币涉及Rug Pull诈骗,占比高达48.14%。

CertiK还在其他区块链网络发现更多Rug Pull案例,说明整个Web3新发代币生态的安全状况比预期更加严峻。本报告旨在提升Web3参与者的防范意识,呼吁大家警惕层出不穷的骗局,采取必要措施保护资产安全。

ERC-20代币

ERC-20是区块链上最常见的代币标准之一,定义了一组规范使代币可在不同智能合约和去中心化应用间互操作。它规定了代币的基本功能,如转账、查询余额、授权第三方管理等。这一标准简化了代币的创建和使用,任何人都可基于ERC-20标准发行代币,为各种金融项目筹集资金。

USDT、PEPE、DOGE等都属于ERC-20代币,用户可通过去中心化交易所购买。然而,某些诈骗团伙也可能发行带后门的恶意ERC-20代币,上架到去中心化交易所诱导用户购买。

Rug Pull代币的典型诈骗案例

Rug Pull指项目方在去中心化金融项目中突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。Rug Pull代币专门为实施这种诈骗而发行。

案例

攻击者用Deployer地址(0x4bAF)部署TOMMI代币,用1.5个ETH和1亿个TOMMI创建流动性池,并通过其他地址购买TOMMI伪造交易量。当打新机器人上当后,攻击者用Rug Puller地址(0x43a9)执行Rug Pull,用3874万TOMMI兑换约3.95个ETH。Rug Puller的代币来自TOMMI合约的恶意Approve授权。

相关地址

• Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI代币:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller伪装用户(之一):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• 资金中转地址:0x1d3970677aa2324E4822b293e500220958d493d0
• 资金留存地址:0x28367D2656434b928a6799E0B091045e2ee84722

相关交易

• Deployer从交易所获取资金:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• 部署TOMMI代币:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• 创建流动性池:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• 中转地址向伪装用户发送资金:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• 伪装用户购买代币:0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull资金发送至中转地址:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• 中转地址将资金发送至留存地址:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

Rug Pull过程

1. Deployer从交易所获取2.47ETH作为启动资金。

2. Deployer创建TOMMI代币,预挖1亿代币。

3. Deployer用1.5ETH和全部代币创建流动性池,获得0.387个LP代币。

4. Deployer将LP代币销毁,表面上失去Rug Pull能力。

5. 攻击者用多个地址购买TOMMI,伪造交易量吸引打新机器人。

6. Rug Puller从流动性池转出3874万TOMMI,兑换约3.95ETH。

7. Rug Puller将资金发送至中转地址。

8. 中转地址将资金发送至留存地址。

Rug Pull代码后门

TOMMI合约的openTrading函数中留有恶意approve后门,允许Rug Puller从流动性池直接转走代币。

作案模式化

1. Deployer通过交易所获取资金
2. Deployer创建流动性池并销毁LP代币
3. Rug Puller用大量代币兑换ETH
4. Rug Puller将获利转至资金留存地址

Rug Pull作案团伙

挖掘资金留存地址

CertiK发现7个活跃的资金留存地址,关联1,124个Rug Pull案例。这些地址将沉淀资金用于新的Rug Pull骗局,少量资金通过交易所套现。

资金留存地址数据统计:

| 地址 | Rug Pull案例数 | 投入成本(ETH) | 获利收入(ETH) | 利润(ETH) | 利润率 | USD利润 | |------|----------------|---------------|---------------|-----------|--------|---------| | 0x1607 | 260 | 1,455.54 | 4,123.71 | 2,668.17 | 183.31% | 6,705,612.54 |
| 0xDF1a | 211 | 1,360.58 | 3,801.75 | 2,441.17 | 179.42% | 6,135,980.83 | | 0x2836 | 165 | 1,176.51 | 3,199.92 | 2,023.41 | 171.98% | 5,085,982.38 | | 0x4856 | 158 | 1,029.63 | 2,847.38 | 1,817.75 | 176.54% | 4,569,084.03 | | 0xDEd0 | 144 | 926.51 | 2,566.48 | 1,639.97 | 177.01% | 4,122,205.90 | | 0x0573 | 101 | 599.37 | 1,679.29 | 1,079.92 | 180.18% | 2,714,507.02 | | 0xF653 | 85 | 502.96 | 1,401.60 | 898.64 | 178.67% | 2,258,804.58 | | 总计 | 1,124 | 7,051.10 | 19,620.13 | 12,569.03 | 178.25% | 31,592,177.28 |

挖掘资金留存地址间关联

资金留存地址可分为3个集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

集合内部有直接转账关系,但集合间无直接转账。然而,它们都通过同样的基础设施合约拆分ETH进行Rug Pull操作,表明可能属于同一团伙。

挖掘共用基础设施

两个主要基础设施地址:

• 0x1d3970677aa2324E4822b293e500220958d493d0
• 0x634847D6b650B9f442b3B582971f859E6e65eB53

0x1d39主要功能:

• "multiSendETH":拆分转账
• "0x7a860e7e":购买Rug Pull代币

0x6348功能类似,购买函数名为"0x3f8a436c"。

基础设施使用情况:

| 地址 | multiSendETH调用次数 | 0x7a860e7e调用次数 | |------|----------------------|---------------------| | 0x1d39 | 4,229 | 19,822 | | 0x6348 | 3,871 | 6,224 |

资金留存地址使用基础设施情况:

| 地址 | multiSendETH调用次数 | multiSendETH总ETH | 0x7a860e7e调用次数 | 0x7a860e7e总ETH | |------|----------------------|-------------------|---------------------|------------------| | 0x1607 | 835 | 2,415.87 | 0 | 0 | | 0xDF1a | 745 | 2,148.31 | 9 | 0.92 | | 0x2836 | 582 | 1,679.32 | 0 | 0 | | 0x4856 | 557 | 1,605.33 | 0 | 0 | | 0xDEd0 | 508 | 1,464.08 | 0 | 0 | | 0xF653 | 300 | 864.60 | 0 | 0 | | 0x0573 | 0 | 0 | 0 | 0 | | 总计 | 3,527 | 10,177.51 | 9 | 0.92 |

挖掘作案资金来源

Deployer资金来源分布:

| 资金留存地址 | CEX | DEX | 其他 | 总计 | |--------------|-----|-----|------|------| | 0x1607 | 248 | 7 | 5 | 260 | | 0xDF1a | 202 | 6 | 3 | 211 | | 0x2836 | 158 | 4 | 3 | 165 | | 0x4856 | 150 | 5 | 3 | 158 | | 0xDEd0 | 138 | 4 | 2 | 144 | | 0x0573 | 96 | 3 | 2 | 101 | | 0xF653 | 77 | 5 | 3