Investigação aprofundada sobre casos de Rug Pull, revelando o caos no ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem sem fundamento. Nos últimos meses, a equipe de segurança capturou um grande número de casos de transações Rug Pull. É importante notar que todos os tokens envolvidos nestes casos são, sem exceção, novos tokens que foram recentemente lançados.
Em seguida, uma investigação aprofundada sobre esses casos de Rug Pull revelou a existência de grupos organizados por trás das ações criminosas, e foram resumidas as características padronizadas dessas fraudes. Através de uma análise minuciosa das táticas desses grupos, foi descoberta uma possível via de promoção de fraudes por parte das gangues de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.
Foi estatística sobre as informações de envio de tokens desses grupos do Telegram, durante o período de novembro de 2023 até o início de agosto de 2024, e descobriu-se que foram enviados 93.930 novos tokens, dos quais 46.526 tokens estão relacionados a Rug Pull, representando uma taxa de 49,53%. De acordo com as estatísticas, o custo total acumulado investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção dos novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram estatísticas de dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, foram emitidos um total de 100.260 novos tokens, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos tokens nascem por dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é preocupante - pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que não apenas a rede principal do Ethereum, mas a segurança de todo o ecossistema de novos Tokens do Web3 é muito mais severa do que o esperado. Portanto, este relatório de pesquisa foi redigido com a esperança de ajudar todos os membros do Web3 a aumentar a conscientização sobre prevenção, manter-se alerta diante de fraudes que surgem constantemente e tomar as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de tokens mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem a interoperabilidade de tokens entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferência, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens de forma mais fácil, simplificando a criação e uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir seus próprios Tokens ERC-20 maliciosos com backdoors no código, listando-os em exchanges descentralizadas e, em seguida, induzindo os usuários a comprá-los.
Casos típicos de fraude com Tokens Rug Pull
Aqui, usamos um caso de fraude de Token Rug Pull para entender profundamente o modelo operacional de fraudes de Token maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em projetos de finanças descentralizadas, causando enormes perdas aos investidores. O Token Rug Pull é um token emitido especificamente para executar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas no texto abaixo nos referiremos a eles uniformemente como tokens Rug Pull.
caso
Os atacantes (gangue de Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o Token TOMMI, e depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 Token TOMMI, além de comprar ativamente Token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, atraindo usuários e robôs de lançamento na blockchain a comprar Token TOMMI. Quando um número suficiente de robôs de lançamento cai na armadilha, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, e o Rug Puller usa 38.739.354 Token TOMMI para desvalorizar o pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Approve do contrato do Token TOMMI, onde, ao implantar o contrato do Token TOMMI, o Rug Puller é concedido permissão de approve do pool de liquidez, permitindo que o Rug Puller retire diretamente os Token TOMMI do pool de liquidez e, em seguida, realize o Rug Pull.
Processo de Rug Pull
Preparar fundos para o ataque.
Atacantes recarregaram 2.47309009Éter para o Token Deployer (0x4bAF) através de uma exchange como capital inicial para o Rug Pull.
Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 moedas e alocando para si mesmo.
Criar o pool de liquidez inicial.
O Deployer usou 1,5 ETH e todos os Tokens pré-minerados para criar um pool de liquidez, recebendo cerca de 0,387 Tokens LP.
Destruir toda a oferta de Token pré-minerado.
O Token Deployer envia todos os Tokens LP para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair bots de novos investimentos, pois alguns bots de novos investimentos avaliam se os tokens recém-adicionados têm risco de Rug Pull. O Deployer também define o Owner do contrato para o endereço 0, tudo para enganar os programas de anti-fraude dos bots de novos investimentos).
Volume de transações falsificado.
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de negociação de novos lançamentos (a base para identificar que esses endereços são disfarces dos atacantes: os fundos dos endereços relacionados vêm de endereços de transferência histórica de fundos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token e, em seguida, usou esses tokens para derrubar o pool, obtendo cerca de 3,95 ETH.
O atacante envia os fundos obtidos com o Rug Pull para um endereço de transferência.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se concentra a maior parte dos fundos de muitos casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de alguma exchange. Foram encontrados vários endereços de retenção de fundos, e 0x2836 é um deles.
Código de porta traseira de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull ao destruir os Tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI, que permite que o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller ao criar o pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente Tokens do pool de liquidez.
A implementação da função openTrading tem como principal função criar novas pools de liquidez, mas o atacante chamou a função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprova a transferência de um número de Token igual a type(uint256) para o endereço _chefAddress. Onde uniswapV2Pair é o endereço da pool de liquidez, e _chefAddress é o endereço do Rug Puller, que foi especificado durante a implementação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma determinada exchange: o atacante primeiramente fornece uma fonte de fundos para o endereço do deployer (Deployer) através de uma determinada exchange.
O Deployer cria um pool de liquidez e destrói os Tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os Tokens LP, para aumentar a credibilidade do projeto e atrair mais investidores.
O Rug Puller utiliza uma grande quantidade de Tokens para trocar por ETH no pool de liquidez: O endereço de Rug Pull (Rug Puller) utiliza uma grande quantidade de Tokens (normalmente um número muito superior ao fornecimento total de Tokens) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também remove liquidez para obter ETH do pool.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos, às vezes fazendo uma transição através de um endereço intermediário.
As características mencionadas acima estão amplamente presentes nos casos capturados, o que indica que o comportamento de Rug Pull possui características de padrão claro. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar envolvidos com o mesmo grupo de fraude ou até mesmo com a mesma gangue.
Com base nessas características, foi extraído um padrão de comportamento de Rug Pull e, utilizando esse padrão, foram escaneados os casos monitorados, na esperança de construir um perfil possível de grupos de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente reúnem fundos no endereço de retenção de fundos no final. Com base nesse padrão, selecionamos alguns endereços de retenção de fundos altamente ativos e cujas características de modus operandi dos casos associados são claramente evidentes para uma análise aprofundada.
Entram em cena um total de 7 endereços de retenção de fundos, associados a 1.124 casos de Rug Pull, que foram capturados com sucesso pelo sistema de monitoramento de ataques na blockchain. Após a implementação bem-sucedida do golpe, os grupos de Rug Pull reúnem os lucros ilegais nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos Tokens em futuros golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida através de alguma exchange ou plataforma de troca rápida.
Ao estatizar o custo e a receita de todos os esquemas de Rug Pull em cada endereço de retenção de fundos, foram obtidos dados relevantes.
Em um golpe completo de Rug Pull, o grupo de Rug Pull normalmente usa um endereço como o implementador do token Rug Pull (Deployer) e retira fundos iniciais através de uma exchange para criar o token Rug Pull e o respectivo pool de liquidez. Quando atraem um número suficiente de usuários ou bots de lançamento usando ETH para comprar o token Rug Pull, o grupo de Rug Pull utiliza outro endereço como o executor do Rug Pull (Rug Puller) para realizar a operação, transferindo os fundos obtidos para um endereço de retenção de fundos.
No processo acima, o ETH obtido pelo Deployer através da exchange, ou o ETH investido pelo Deployer ao criar o pool de liquidez, é considerado o custo do Rug Pull (como calcular isso especificamente,
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
22 Curtidas
Recompensa
22
8
Repostar
Compartilhar
Comentário
0/400
ImpermanentPhilosopher
· 08-06 23:56
Jogadores de encriptação são idiotas, e o Puxar o tapete do ecossistema é inevitável.
Ver originalResponder0
MetaverseLandlord
· 08-06 20:16
Puxar o tapete, não é? Já vi demais.
Ver originalResponder0
Rugman_Walking
· 08-06 19:54
idiotas永远在路上
Ver originalResponder0
BloodInStreets
· 08-04 17:53
idiotas morrem sempre em novos projetos
Ver originalResponder0
LightningPacketLoss
· 08-04 00:20
mundo crypto idiotas têm tantos que realmente não consigo parar de chorar
Ver originalResponder0
MainnetDelayedAgain
· 08-04 00:16
Segundo o banco de dados, a velocidade das novas falências de projetos já está três meses à frente da velocidade de adiamento da Rede principal... Aguardando pacientemente a floração.
Ver originalResponder0
GasFeeCrying
· 08-04 00:06
Ai quem nunca foi enganado?
Ver originalResponder0
GasGuzzler
· 08-04 00:05
Não conseguem aprender com lições de 800 milhões de dólares, que tragédia.
Ecossistema de novos tokens Ethereum é preocupante: quase metade dos casos suspeitos de Rug Pull envolvem um montante de 800 milhões de dólares
Investigação aprofundada sobre casos de Rug Pull, revelando o caos no ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem sem fundamento. Nos últimos meses, a equipe de segurança capturou um grande número de casos de transações Rug Pull. É importante notar que todos os tokens envolvidos nestes casos são, sem exceção, novos tokens que foram recentemente lançados.
Em seguida, uma investigação aprofundada sobre esses casos de Rug Pull revelou a existência de grupos organizados por trás das ações criminosas, e foram resumidas as características padronizadas dessas fraudes. Através de uma análise minuciosa das táticas desses grupos, foi descoberta uma possível via de promoção de fraudes por parte das gangues de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em certos grupos para atrair usuários a comprar tokens fraudulentos e, por fim, lucrar através do Rug Pull.
Foi estatística sobre as informações de envio de tokens desses grupos do Telegram, durante o período de novembro de 2023 até o início de agosto de 2024, e descobriu-se que foram enviados 93.930 novos tokens, dos quais 46.526 tokens estão relacionados a Rug Pull, representando uma taxa de 49,53%. De acordo com as estatísticas, o custo total acumulado investido pelos grupos por trás desses tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção dos novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram estatísticas de dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, nesse período, foram emitidos um total de 100.260 novos tokens, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos tokens nascem por dia, muito acima das expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é preocupante - pelo menos 48.265 tokens estão envolvidos em fraudes do tipo Rug Pull, representando uma taxa de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que não apenas a rede principal do Ethereum, mas a segurança de todo o ecossistema de novos Tokens do Web3 é muito mais severa do que o esperado. Portanto, este relatório de pesquisa foi redigido com a esperança de ajudar todos os membros do Web3 a aumentar a conscientização sobre prevenção, manter-se alerta diante de fraudes que surgem constantemente e tomar as medidas preventivas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começarmos oficialmente este relatório, vamos entender alguns conceitos básicos.
Os Tokens ERC-20 são um dos padrões de tokens mais comuns na blockchain atualmente, definindo um conjunto de normas que permitem a interoperabilidade de tokens entre diferentes contratos inteligentes e aplicações descentralizadas (dApp). O padrão ERC-20 especifica as funcionalidades básicas dos tokens, como transferência, consulta de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens de forma mais fácil, simplificando a criação e uso de tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar fundos iniciais para vários projetos financeiros através da pré-venda de tokens. Devido à ampla aplicação dos tokens ERC-20, eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
As moedas USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprar esses Tokens através de exchanges descentralizadas. No entanto, alguns grupos de fraude também podem emitir seus próprios Tokens ERC-20 maliciosos com backdoors no código, listando-os em exchanges descentralizadas e, em seguida, induzindo os usuários a comprá-los.
Casos típicos de fraude com Tokens Rug Pull
Aqui, usamos um caso de fraude de Token Rug Pull para entender profundamente o modelo operacional de fraudes de Token maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a um comportamento fraudulento em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em projetos de finanças descentralizadas, causando enormes perdas aos investidores. O Token Rug Pull é um token emitido especificamente para executar esse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas no texto abaixo nos referiremos a eles uniformemente como tokens Rug Pull.
caso
Os atacantes (gangue de Rug Pull) usaram o endereço Deployer (0x4bAF) para implantar o Token TOMMI, e depois criaram um pool de liquidez com 1,5 ETH e 100.000.000 Token TOMMI, além de comprar ativamente Token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez, atraindo usuários e robôs de lançamento na blockchain a comprar Token TOMMI. Quando um número suficiente de robôs de lançamento cai na armadilha, os atacantes usam o endereço Rug Puller (0x43a9) para executar o Rug Pull, e o Rug Puller usa 38.739.354 Token TOMMI para desvalorizar o pool de liquidez, trocando por cerca de 3,95 ETH. A origem dos tokens do Rug Puller vem da autorização maliciosa de Approve do contrato do Token TOMMI, onde, ao implantar o contrato do Token TOMMI, o Rug Puller é concedido permissão de approve do pool de liquidez, permitindo que o Rug Puller retire diretamente os Token TOMMI do pool de liquidez e, em seguida, realize o Rug Pull.
Processo de Rug Pull
Atacantes recarregaram 2.47309009Éter para o Token Deployer (0x4bAF) através de uma exchange como capital inicial para o Rug Pull.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 moedas e alocando para si mesmo.
O Deployer usou 1,5 ETH e todos os Tokens pré-minerados para criar um pool de liquidez, recebendo cerca de 0,387 Tokens LP.
O Token Deployer envia todos os Tokens LP para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento, o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair bots de novos investimentos, pois alguns bots de novos investimentos avaliam se os tokens recém-adicionados têm risco de Rug Pull. O Deployer também define o Owner do contrato para o endereço 0, tudo para enganar os programas de anti-fraude dos bots de novos investimentos).
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, elevando o volume de transações do pool e atraindo ainda mais robôs de negociação de novos lançamentos (a base para identificar que esses endereços são disfarces dos atacantes: os fundos dos endereços relacionados vêm de endereços de transferência histórica de fundos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller (0x43A9), retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token e, em seguida, usou esses tokens para derrubar o pool, obtendo cerca de 3,95 ETH.
O atacante envia os fundos obtidos com o Rug Pull para um endereço de transferência.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se concentra a maior parte dos fundos de muitos casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto uma pequena quantidade restante será retirada através de alguma exchange. Foram encontrados vários endereços de retenção de fundos, e 0x2836 é um deles.
Código de porta traseira de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não podem realizar um Rug Pull ao destruir os Tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do Token TOMMI, que permite que o pool de liquidez aprove a transferência de Tokens para o endereço do Rug Puller ao criar o pool de liquidez, permitindo que o endereço do Rug Puller retire diretamente Tokens do pool de liquidez.
A implementação da função openTrading tem como principal função criar novas pools de liquidez, mas o atacante chamou a função de backdoor onInit dentro dessa função, permitindo que o uniswapV2Pair aprova a transferência de um número de Token igual a type(uint256) para o endereço _chefAddress. Onde uniswapV2Pair é o endereço da pool de liquidez, e _chefAddress é o endereço do Rug Puller, que foi especificado durante a implementação do contrato.
modo de operação
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma determinada exchange: o atacante primeiramente fornece uma fonte de fundos para o endereço do deployer (Deployer) através de uma determinada exchange.
O Deployer cria um pool de liquidez e destrói os Tokens LP: Após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os Tokens LP, para aumentar a credibilidade do projeto e atrair mais investidores.
O Rug Puller utiliza uma grande quantidade de Tokens para trocar por ETH no pool de liquidez: O endereço de Rug Pull (Rug Puller) utiliza uma grande quantidade de Tokens (normalmente um número muito superior ao fornecimento total de Tokens) para trocar por ETH no pool de liquidez. Em outros casos, o Rug Puller também remove liquidez para obter ETH do pool.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de retenção de fundos: o Rug Puller irá transferir o ETH obtido para o endereço de retenção de fundos, às vezes fazendo uma transição através de um endereço intermediário.
As características mencionadas acima estão amplamente presentes nos casos capturados, o que indica que o comportamento de Rug Pull possui características de padrão claro. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar envolvidos com o mesmo grupo de fraude ou até mesmo com a mesma gangue.
Com base nessas características, foi extraído um padrão de comportamento de Rug Pull e, utilizando esse padrão, foram escaneados os casos monitorados, na esperança de construir um perfil possível de grupos de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente reúnem fundos no endereço de retenção de fundos no final. Com base nesse padrão, selecionamos alguns endereços de retenção de fundos altamente ativos e cujas características de modus operandi dos casos associados são claramente evidentes para uma análise aprofundada.
Entram em cena um total de 7 endereços de retenção de fundos, associados a 1.124 casos de Rug Pull, que foram capturados com sucesso pelo sistema de monitoramento de ataques na blockchain. Após a implementação bem-sucedida do golpe, os grupos de Rug Pull reúnem os lucros ilegais nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos Tokens em futuros golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida através de alguma exchange ou plataforma de troca rápida.
Ao estatizar o custo e a receita de todos os esquemas de Rug Pull em cada endereço de retenção de fundos, foram obtidos dados relevantes.
Em um golpe completo de Rug Pull, o grupo de Rug Pull normalmente usa um endereço como o implementador do token Rug Pull (Deployer) e retira fundos iniciais através de uma exchange para criar o token Rug Pull e o respectivo pool de liquidez. Quando atraem um número suficiente de usuários ou bots de lançamento usando ETH para comprar o token Rug Pull, o grupo de Rug Pull utiliza outro endereço como o executor do Rug Pull (Rug Puller) para realizar a operação, transferindo os fundos obtidos para um endereço de retenção de fundos.
No processo acima, o ETH obtido pelo Deployer através da exchange, ou o ETH investido pelo Deployer ao criar o pool de liquidez, é considerado o custo do Rug Pull (como calcular isso especificamente,