代幣生態亂象：深入剖析以太坊Rug Pull現象

簡介

Web3世界中新代幣層出不窮,但你是否想過每天究竟有多少新代幣發行?這些新代幣是否安全?

近期,CertiK安全團隊捕獲了大量涉及新上鏈代幣的Rug Pull案例。深入調查發現,這些案例背後存在組織化的犯罪團夥,並呈現出模式化特徵。

CertiK發現這些團夥可能通過Telegram羣組推廣詐騙代幣。統計顯示,從2023年11月至2024年8月,這些羣組共推送93,930種新代幣,其中46,526種(49.53%)涉及Rug Pull。這些Rug Pull代幣背後團夥累計投入149,813.72 ETH,以188.7%的回報率牟利282,699.96 ETH,約合8億美元。

爲評估這些代幣在以太坊主網中的佔比,CertiK統計了同期以太坊主網上發行的新代幣數據。結果顯示共有100,260種新代幣發行,Telegram羣組推送的代幣佔89.99%。平均每天約有370種新代幣誕生,遠超合理預期。深入調查發現,其中至少48,265種代幣涉及Rug Pull詐騙,佔比高達48.14%。

CertiK還在其他區塊鏈網路發現更多Rug Pull案例,說明整個Web3新發代幣生態的安全狀況比預期更加嚴峻。本報告旨在提升Web3參與者的防範意識,呼籲大家警惕層出不窮的騙局,採取必要措施保護資產安全。

ERC-20代幣

ERC-20是區塊鏈上最常見的代幣標準之一,定義了一組規範使代幣可在不同智能合約和去中心化應用間互操作。它規定了代幣的基本功能,如轉帳、查詢餘額、授權第三方管理等。這一標準簡化了代幣的創建和使用,任何人都可基於ERC-20標準發行代幣,爲各種金融項目籌集資金。

USDT、PEPE、DOGE等都屬於ERC-20代幣,用戶可通過去中心化交易所購買。然而,某些詐騙團夥也可能發行帶後門的惡意ERC-20代幣,上架到去中心化交易所誘導用戶購買。

Rug Pull代幣的典型詐騙案例

Rug Pull指項目方在去中心化金融項目中突然抽走資金或放棄項目,導致投資者蒙受巨大損失的欺詐行爲。Rug Pull代幣專門爲實施這種詐騙而發行。

案例

攻擊者用Deployer地址(0x4bAF)部署TOMMI代幣,用1.5個ETH和1億個TOMMI創建流動性池,並通過其他地址購買TOMMI僞造交易量。當打新機器人上當後,攻擊者用Rug Puller地址(0x43a9)執行Rug Pull,用3874萬TOMMI兌換約3.95個ETH。Rug Puller的代幣來自TOMMI合約的惡意Approve授權。

相關地址

• Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI代幣:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller僞裝用戶(之一):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• 資金中轉地址:0x1d3970677aa2324E4822b293e500220958d493d0
• 資金留存地址:0x28367D2656434b928a6799E0B091045e2ee84722

相關交易

• Deployer從交易所獲取資金:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• 部署TOMMI代幣:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• 創建流動性池:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• 中轉地址向僞裝用戶發送資金:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• 僞裝用戶購買代幣:0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull資金發送至中轉地址:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• 中轉地址將資金發送至留存地址:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

Rug Pull過程

1. Deployer從交易所獲取2.47ETH作爲啓動資金。

2. Deployer創建TOMMI代幣,預挖1億代幣。

3. Deployer用1.5ETH和全部代幣創建流動性池,獲得0.387個LP代幣。

4. Deployer將LP代幣銷毀,表面上失去Rug Pull能力。

5. 攻擊者用多個地址購買TOMMI,僞造交易量吸引打新機器人。

6. Rug Puller從流動性池轉出3874萬TOMMI,兌換約3.95ETH。

7. Rug Puller將資金發送至中轉地址。

8. 中轉地址將資金發送至留存地址。

Rug Pull代碼後門

TOMMI合約的openTrading函數中留有惡意approve後門,允許Rug Puller從流動性池直接轉走代幣。

作案模式化

1. Deployer通過交易所獲取資金
2. Deployer創建流動性池並銷毀LP代幣
3. Rug Puller用大量代幣兌換ETH
4. Rug Puller將獲利轉至資金留存地址

Rug Pull作案團夥

挖掘資金留存地址

CertiK發現7個活躍的資金留存地址,關聯1,124個Rug Pull案例。這些地址將沉澱資金用於新的Rug Pull騙局,少量資金通過交易所套現。

資金留存地址數據統計:

| 地址 | Rug Pull案例數 | 投入成本(ETH) | 獲利收入(ETH) | 利潤(ETH) | 利潤率 | USD利潤 | |------|----------------|---------------|---------------|-----------|--------|---------| | 0x1607 | 260 | 1,455.54 | 4,123.71 | 2,668.17 | 183.31% | 6,705,612.54 |
| 0xDF1a | 211 | 1,360.58 | 3,801.75 | 2,441.17 | 179.42% | 6,135,980.83 | | 0x2836 | 165 | 1,176.51 | 3,199.92 | 2,023.41 | 171.98% | 5,085,982.38 | | 0x4856 | 158 | 1,029.63 | 2,847.38 | 1,817.75 | 176.54% | 4,569,084.03 | | 0xDEd0 | 144 | 926.51 | 2,566.48 | 1,639.97 | 177.01% | 4,122,205.90 | | 0x0573 | 101 | 599.37 | 1,679.29 | 1,079.92 | 180.18% | 2,714,507.02 | | 0xF653 | 85 | 502.96 | 1,401.60 | 898.64 | 178.67% | 2,258,804.58 | | 總計 | 1,124 | 7,051.10 | 19,620.13 | 12,569.03 | 178.25% | 31,592,177.28 |

挖掘資金留存地址間關聯

資金留存地址可分爲3個集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

集合內部有直接轉帳關係,但集合間無直接轉帳。然而,它們都通過同樣的基礎設施合約拆分ETH進行Rug Pull操作,表明可能屬於同一團夥。

挖掘共用基礎設施

兩個主要基礎設施地址:

• 0x1d3970677aa2324E4822b293e500220958d493d0
• 0x634847D6b650B9f442b3B582971f859E6e65eB53

0x1d39主要功能:

• "multiSendETH":拆分轉帳
• "0x7a860e7e":購買Rug Pull代幣

0x6348功能類似,購買函數名爲"0x3f8a436c"。

基礎設施使用情況:

| 地址 | multiSendETH調用次數 | 0x7a860e7e調用次數 | |------|----------------------|---------------------| | 0x1d39 | 4,229 | 19,822 | | 0x6348 | 3,871 | 6,224 |

資金留存地址使用基礎設施情況:

| 地址 | multiSendETH調用次數 | multiSendETH總ETH | 0x7a860e7e調用次數 | 0x7a860e7e總ETH | |------|----------------------|-------------------|---------------------|------------------| | 0x1607 | 835 | 2,415.87 | 0 | 0 | | 0xDF1a | 745 | 2,148.31 | 9 | 0.92 | | 0x2836 | 582 | 1,679.32 | 0 | 0 | | 0x4856 | 557 | 1,605.33 | 0 | 0 | | 0xDEd0 | 508 | 1,464.08 | 0 | 0 | | 0xF653 | 300 | 864.60 | 0 | 0 | | 0x0573 | 0 | 0 | 0 | 0 | | 總計 | 3,527 | 10,177.51 | 9 | 0.92 |

挖掘作案資金來源

Deployer資金來源分布:

| 資金留存地址 | CEX | DEX | 其他 | 總計 | |--------------|-----|-----|------|------| | 0x1607 | 248 | 7 | 5 | 260 | | 0xDF1a | 202 | 6 | 3 | 211 | | 0x2836 | 158 | 4 | 3 | 165 | | 0x4856 | 150 | 5 | 3 | 158 | | 0xDEd0 | 138 | 4 | 2 | 144 | | 0x0573 | 96 | 3 | 2 | 101 | | 0xF653 | 77 | 5 | 3