Enquête sur le nouvel écosystème de jetons Ethereum : 48 % impliquent des escroqueries de type Rug Pull, avec des pertes atteignant 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le désordre dans l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces interrogations ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en chaîne.
Ensuite, une enquête approfondie sur ces cas de Rug Pull a révélé l'existence de gangs organisés derrière ces actes, et a résumé les caractéristiques schématiques de ces escroqueries. Grâce à une analyse approfondie des méthodes de ces gangs, une voie possible de promotion de la fraude par les groupes Rug Pull a été découverte : les groupes Telegram. Ces gangs utilisent la fonctionnalité "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement à réaliser des profits grâce au Rug Pull.
Statistiques des informations de jetons diffusées par ces groupes Telegram entre novembre 2023 et début août 2024, il a été constaté que 93 930 nouveaux jetons ont été diffusés, dont 46 526 sont des jetons liés au Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, et ils ont réalisé un profit de 282 699,96 ETH avec un taux de retour atteignant 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons promus dans les groupes Telegram sur le réseau principal Ethereum, des données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période ont été compilées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont les jetons promus par des groupes Telegram représentent 89,99 % du réseau principal. En moyenne, environ 370 nouveaux jetons naissent chaque jour, ce qui dépasse largement les attentes raisonnables. Après une enquête approfondie, la vérité découverte est inquiétante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux blockchain. Cela signifie que non seulement le réseau principal Ethereum, mais que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus sévère que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face à la multitude d'escroqueries et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer ce rapport, comprenons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain, définissant un ensemble de normes permettant l'interopérabilité des jetons entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de gestion des jetons par des tiers. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi leur création et leur utilisation. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers par le biais de la prévente de jetons. En raison de l'utilisation répandue des jetons ERC-20, ils sont devenus la base de nombreux projets ICO et de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre eux-mêmes des jetons ERC-20 malveillants avec des portes dérobées dans le code, les listant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Cas typique d'escroquerie avec des jetons Rug Pull
Ici, nous empruntons un cas de fraude de jeton Rug Pull pour examiner en profondeur le modèle opérationnel des arnaques de jetons malveillants. Tout d'abord, il est important de préciser que le Rug Pull fait référence à une fraude où les initiateurs d'un projet dans le domaine de la finance décentralisée retirent soudainement des fonds ou abandonnent le projet, entraînant des pertes considérables pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mener à bien ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais nous les appellerons uniformément jetons Rug Pull dans ce texte.
cas
L'attaquant (le gang Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 Éther et 100 000 000 de TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de nouveaux achats sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de nouveaux achats se sont fait avoir, l'attaquant a utilisé l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller a écrasé le pool de liquidité avec 38 739 354 de jetons TOMMI, échappant ainsi environ 3,95 Éther. Les jetons du Rug Puller proviennent de l'approbation malveillante de l'autorisation de TOMMI, le contrat de jeton TOMMI accorde au Rug Puller les droits d'approbation du pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et ensuite de procéder au Rug Pull.
processus de Rug Pull
Préparer les fonds d'attaque.
L'attaquant a rechargé 2.47309009ETH au Token Deployer via un échange pour financer le lancement du Rug Pull.
Déployer un jeton Rug Pull avec une porte dérobée.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.
Créer un pool de liquidités initial.
Le déployeur a créé un pool de liquidités avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Détruire l'ensemble de l'approvisionnement des jetons pré-minés.
Le Token Deployer envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Token Deployer a théoriquement perdu la capacité de Rug Pull à ce moment-là. (C'est aussi l'une des conditions nécessaires pour attirer les robots de nouveaux investissements, certains robots évaluent si les jetons nouvellement ajoutés au pool présentent un risque de Rug Pull. Le Deployer a également défini le propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de nouveaux investissements).
Volume de transactions falsifié.
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool, ce qui attire davantage les robots de lancement (la preuve que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, retirant directement 38,739,354 jetons du pool de liquidités par la porte dérobée du token, puis a utilisé ces jetons pour faire s'effondrer le pool, récupérant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra des fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après l'achèvement du Rug Pull, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds de nombreux cas de Rug Pull observés, et cette adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer une nouvelle série de Rug Pull, tandis qu'une petite quantité de fonds sera retirée via un certain échange.
code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer de Rug Pull en détruisant des LP jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat TOMMI, cette porte dérobée permettra, lors de la création du pool de liquidités, d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidités.
mode opératoire
En analysant le cas de TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Déployeur obtient des fonds via une certaine bourse : l'attaquant fournit d'abord une source de fonds pour l'adresse du déployeur (Deployer) via une certaine bourse.
Le déployeur crée un pool de liquidité et détruit les jetons LP : après avoir créé un jeton Rug Pull, le déployeur créera immédiatement un pool de liquidité et détruira les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : L'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller peut également retirer de la liquidité pour obtenir de l'ETH dans le pool.
Rug Puller transfère l'ETH obtenu par Rug Pull vers l'adresse de stockage des fonds : le Rug Puller transfère l'ETH récupéré vers l'adresse de stockage des fonds, parfois par le biais d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont généralement présentes dans les cas que nous avons capturés, ce qui indique que les comportements de Rug Pull ont des caractéristiques de modélisation évidentes. De plus, après avoir réalisé un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, nous avons extrait un modèle de comportement de Rug Pull et utilisé ce modèle pour scanner les cas détectés, dans le but de construire un profil potentiel des groupes de fraude.
Gang de Rug Pull
Adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement des fonds à une adresse de conservation des fonds à la fin. Sur la base de ce modèle, nous avons sélectionné plusieurs adresses de conservation des fonds très actives et dont les caractéristiques des méthodes d'escroquerie sont évidentes pour une analyse approfondie.
Il y a 7 adresses de conservation de fonds qui sont entrées dans notre champ de vision, et ces adresses sont associées à 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques en chaîne. Après avoir réussi à exécuter l'escroquerie, les gangs de Rug Pull rassemblent les bénéfices illégaux dans ces adresses de conservation de fonds. Ces adresses de conservation de fonds divisent ensuite les fonds accumulés pour créer de nouveaux jetons, manipuler les pools de liquidités et d'autres activités dans de futures escroqueries de Rug Pull. De plus, une petite partie des fonds accumulés est liquidée par le biais d'une certaine bourse ou d'une plateforme d'échange instantané.
Dans une arnaque complète de Rug Pull, le groupe de Rug Pull utilise généralement une adresse comme déployeur du jeton Rug Pull (Deployer) et retire des fonds d'un échange pour créer le jeton Rug Pull et le pool de liquidité correspondant. Lorsque suffisamment d'utilisateurs ou de robots de prévente achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur du Rug Pull (Rug Puller) pour transférer les fonds vers une adresse de conservation.
Dans le processus mentionné ci-dessus, nous considérons l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidités, comme le coût du Rug Pull (la manière dont cela est calculé dépend des actions du Deployer). L'ETH transféré par le Rug Puller vers l'adresse de conservation des fonds (ou une autre adresse intermédiaire) après avoir effectué le Rug Pull est considéré comme le revenu de ce Rug Pull.
Il convient de noter que les groupes de Rug Pull, lors de la mise en œuvre de leurs escroqueries, achètent également activement des Jetons Rug Pull qu'ils ont créés en utilisant de l'ETH, afin de simuler des activités normales de liquidité et d'attirer les robots de lancement à acheter. Cependant, ce coût n'a pas été pris en compte dans le calcul, ce qui entraîne une surestimation des bénéfices réels des groupes de Rug Pull, les bénéfices réels étant relativement plus bas.
En réalité, même si les fonds finaux ont été regroupés sur différentes adresses de conservation des fonds, nous avons toujours de sérieux doutes sur le fait que ces adresses de conservation des fonds pourraient appartenir au même groupe en raison des nombreuses similitudes entre les cas associés (comme les méthodes d'implémentation des backdoors de Rug Pull, les chemins de liquidation, etc.).
lien entre les adresses de conservation des fonds minés
Un indicateur important pour déterminer s'il existe une relation entre les adresses de conservation des fonds est de vérifier s'il existe des relations de transfert direct entre ces adresses. Pour valider la relation entre les adresses de conservation des fonds,
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
5
Partager
Commentaire
0/400
NewDAOdreamer
· Il y a 5h
Un jeton émis de manière fictive, mille jetons meurent, c'est vraiment effrayant.
Voir l'originalRépondre0
LayerHopper
· Il y a 20h
Il y a des RATS, il y a des chats.
Voir l'originalRépondre0
WhaleWatcher
· Il y a 20h
Attendre que de nouveaux pigeons entrent sur le marché.
Voir l'originalRépondre0
ChainPoet
· Il y a 20h
L'univers de la cryptomonnaie, le chemin incontournable des pigeons ?
Voir l'originalRépondre0
TradFiRefugee
· Il y a 20h
Le piège est profond... J'ai failli en subir les conséquences aussi.
Enquête sur le nouvel écosystème de jetons Ethereum : 48 % impliquent des escroqueries de type Rug Pull, avec des pertes atteignant 800 millions de dollars.
Enquête approfondie sur les cas de Rug Pull, révélant le désordre dans l'écosystème des jetons Ethereum
Introduction
Dans le monde de Web3, de nouveaux jetons émergent constamment. Vous êtes-vous déjà demandé combien de nouveaux jetons sont émis chaque jour ? Ces nouveaux jetons sont-ils sûrs ?
Ces interrogations ne sont pas sans fondement. Au cours des derniers mois, l'équipe de sécurité a capturé un grand nombre de cas de transactions de Rug Pull. Il est à noter que tous les jetons impliqués dans ces cas sont des jetons nouvellement mis en chaîne.
Ensuite, une enquête approfondie sur ces cas de Rug Pull a révélé l'existence de gangs organisés derrière ces actes, et a résumé les caractéristiques schématiques de ces escroqueries. Grâce à une analyse approfondie des méthodes de ces gangs, une voie possible de promotion de la fraude par les groupes Rug Pull a été découverte : les groupes Telegram. Ces gangs utilisent la fonctionnalité "New Token Tracer" dans certains groupes pour attirer les utilisateurs à acheter des jetons frauduleux et finalement à réaliser des profits grâce au Rug Pull.
Statistiques des informations de jetons diffusées par ces groupes Telegram entre novembre 2023 et début août 2024, il a été constaté que 93 930 nouveaux jetons ont été diffusés, dont 46 526 sont des jetons liés au Rug Pull, représentant un taux élevé de 49,53 %. Selon les statistiques, le coût total d'investissement des groupes derrière ces jetons Rug Pull s'élève à 149 813,72 ETH, et ils ont réalisé un profit de 282 699,96 ETH avec un taux de retour atteignant 188,7 %, soit environ 800 millions de dollars.
Pour évaluer la part des nouveaux jetons promus dans les groupes Telegram sur le réseau principal Ethereum, des données sur les nouveaux jetons émis sur le réseau principal Ethereum pendant la même période ont été compilées. Les données montrent qu'au cours de cette période, 100 260 nouveaux jetons ont été émis, dont les jetons promus par des groupes Telegram représentent 89,99 % du réseau principal. En moyenne, environ 370 nouveaux jetons naissent chaque jour, ce qui dépasse largement les attentes raisonnables. Après une enquête approfondie, la vérité découverte est inquiétante : au moins 48 265 jetons sont impliqués dans des escroqueries de type Rug Pull, représentant 48,14 %. En d'autres termes, presque un nouveau jeton sur deux sur le réseau principal Ethereum est impliqué dans une escroquerie.
De plus, d'autres cas de Rug Pull ont été découverts sur d'autres réseaux blockchain. Cela signifie que non seulement le réseau principal Ethereum, mais que la sécurité de l'ensemble de l'écosystème des nouveaux jetons Web3 est bien plus sévère que prévu. Par conséquent, ce rapport de recherche a été rédigé dans l'espoir d'aider tous les membres de Web3 à renforcer leur sensibilisation à la prévention, à rester vigilants face à la multitude d'escroqueries et à prendre rapidement les mesures préventives nécessaires pour protéger la sécurité de leurs actifs.
Jeton ERC-20
Avant de commencer ce rapport, comprenons d'abord quelques concepts de base.
Les jetons ERC-20 sont l'un des standards de jetons les plus courants sur la blockchain, définissant un ensemble de normes permettant l'interopérabilité des jetons entre différents contrats intelligents et applications décentralisées (dApp). Le standard ERC-20 spécifie les fonctions de base des jetons, telles que le transfert, la consultation de solde, et l'autorisation de gestion des jetons par des tiers. Grâce à ce protocole standardisé, les développeurs peuvent émettre et gérer des jetons plus facilement, simplifiant ainsi leur création et leur utilisation. En réalité, toute personne ou organisation peut émettre son propre jeton basé sur le standard ERC-20 et lever des fonds pour divers projets financiers par le biais de la prévente de jetons. En raison de l'utilisation répandue des jetons ERC-20, ils sont devenus la base de nombreux projets ICO et de finance décentralisée.
Les USDT, PEPE et DOGE que nous connaissons appartiennent aux jetons ERC-20, et les utilisateurs peuvent acheter ces jetons via des échanges décentralisés. Cependant, certains groupes de fraudeurs peuvent également émettre eux-mêmes des jetons ERC-20 malveillants avec des portes dérobées dans le code, les listant sur des échanges décentralisés et incitant les utilisateurs à les acheter.
Cas typique d'escroquerie avec des jetons Rug Pull
Ici, nous empruntons un cas de fraude de jeton Rug Pull pour examiner en profondeur le modèle opérationnel des arnaques de jetons malveillants. Tout d'abord, il est important de préciser que le Rug Pull fait référence à une fraude où les initiateurs d'un projet dans le domaine de la finance décentralisée retirent soudainement des fonds ou abandonnent le projet, entraînant des pertes considérables pour les investisseurs. Le jeton Rug Pull est un jeton émis spécifiquement pour mener à bien ce type de fraude.
Les jetons Rug Pull mentionnés dans cet article sont parfois appelés "jetons Honey Pot" ou "jetons Exit Scam", mais nous les appellerons uniformément jetons Rug Pull dans ce texte.
cas
L'attaquant (le gang Rug Pull) a déployé le jeton TOMMI avec l'adresse Deployer, puis a créé un pool de liquidité avec 1,5 Éther et 100 000 000 de TOMMI, et a acheté activement des jetons TOMMI via d'autres adresses pour falsifier le volume des transactions du pool de liquidité afin d'attirer les utilisateurs et les robots de nouveaux achats sur la chaîne à acheter des jetons TOMMI. Lorsque un certain nombre de robots de nouveaux achats se sont fait avoir, l'attaquant a utilisé l'adresse Rug Puller pour exécuter le Rug Pull, le Rug Puller a écrasé le pool de liquidité avec 38 739 354 de jetons TOMMI, échappant ainsi environ 3,95 Éther. Les jetons du Rug Puller proviennent de l'approbation malveillante de l'autorisation de TOMMI, le contrat de jeton TOMMI accorde au Rug Puller les droits d'approbation du pool de liquidité lors de son déploiement, ce qui permet au Rug Puller de retirer directement des jetons TOMMI du pool de liquidité et ensuite de procéder au Rug Pull.
processus de Rug Pull
L'attaquant a rechargé 2.47309009ETH au Token Deployer via un échange pour financer le lancement du Rug Pull.
Le Deployer crée le jeton TOMMI, pré-extrait 100 000 000 de jetons et les attribue à lui-même.
Le déployeur a créé un pool de liquidités avec 1,5 ETH et tous les jetons pré-minés, obtenant environ 0,387 jetons LP.
Le Token Deployer envoie tous les jetons LP à l'adresse 0 pour les détruire. Étant donné qu'il n'y a pas de fonction Mint dans le contrat TOMMI, le Token Deployer a théoriquement perdu la capacité de Rug Pull à ce moment-là. (C'est aussi l'une des conditions nécessaires pour attirer les robots de nouveaux investissements, certains robots évaluent si les jetons nouvellement ajoutés au pool présentent un risque de Rug Pull. Le Deployer a également défini le propriétaire du contrat à l'adresse 0, tout cela pour tromper les programmes anti-fraude des robots de nouveaux investissements).
L'attaquant utilise plusieurs adresses pour acheter activement des jetons TOMMI dans le pool de liquidité, augmentant ainsi le volume des transactions du pool, ce qui attire davantage les robots de lancement (la preuve que ces adresses sont déguisées en attaquants : les fonds des adresses concernées proviennent d'adresses de transfert de fonds historiques du groupe Rug Pull).
L'attaquant a lancé un Rug Pull via l'adresse Rug Puller, retirant directement 38,739,354 jetons du pool de liquidités par la porte dérobée du token, puis a utilisé ces jetons pour faire s'effondrer le pool, récupérant environ 3,95 Éther.
L'attaquant envoie les fonds obtenus par le Rug Pull à une adresse de transit.
L'adresse de transit enverra des fonds à l'adresse de conservation des fonds. D'ici, nous pouvons voir qu'après l'achèvement du Rug Pull, le Rug Puller enverra des fonds à une certaine adresse de conservation des fonds. L'adresse de conservation des fonds est le lieu de collecte des fonds de nombreux cas de Rug Pull observés, et cette adresse de conservation des fonds divisera la plupart des fonds reçus pour commencer une nouvelle série de Rug Pull, tandis qu'une petite quantité de fonds sera retirée via un certain échange.
code de porte dérobée Rug Pull
Bien que les attaquants aient tenté de prouver au monde extérieur qu'ils ne pouvaient pas effectuer de Rug Pull en détruisant des LP jetons, en réalité, les attaquants ont laissé une porte dérobée malveillante dans la fonction openTrading du contrat TOMMI, cette porte dérobée permettra, lors de la création du pool de liquidités, d'approuver le transfert de jetons vers l'adresse du Rug Puller, permettant ainsi à l'adresse du Rug Puller de retirer directement des jetons du pool de liquidités.
mode opératoire
En analysant le cas de TOMMI, nous pouvons résumer les 4 caractéristiques suivantes :
Le Déployeur obtient des fonds via une certaine bourse : l'attaquant fournit d'abord une source de fonds pour l'adresse du déployeur (Deployer) via une certaine bourse.
Le déployeur crée un pool de liquidité et détruit les jetons LP : après avoir créé un jeton Rug Pull, le déployeur créera immédiatement un pool de liquidité et détruira les jetons LP afin d'augmenter la crédibilité du projet et d'attirer davantage d'investisseurs.
Rug Puller échange une grande quantité de jetons contre de l'ETH dans le pool de liquidité : L'adresse de Rug Pull (Rug Puller) utilise une grande quantité de jetons (généralement un montant bien supérieur à l'offre totale de jetons) pour échanger de l'ETH dans le pool de liquidité. Dans d'autres cas, le Rug Puller peut également retirer de la liquidité pour obtenir de l'ETH dans le pool.
Rug Puller transfère l'ETH obtenu par Rug Pull vers l'adresse de stockage des fonds : le Rug Puller transfère l'ETH récupéré vers l'adresse de stockage des fonds, parfois par le biais d'une adresse intermédiaire.
Les caractéristiques mentionnées ci-dessus sont généralement présentes dans les cas que nous avons capturés, ce qui indique que les comportements de Rug Pull ont des caractéristiques de modélisation évidentes. De plus, après avoir réalisé un Rug Pull, les fonds sont généralement regroupés dans une adresse de conservation des fonds, ce qui suggère que ces cas de Rug Pull apparemment indépendants pourraient impliquer le même groupe de fraudeurs, voire le même.
Sur la base de ces caractéristiques, nous avons extrait un modèle de comportement de Rug Pull et utilisé ce modèle pour scanner les cas détectés, dans le but de construire un profil potentiel des groupes de fraude.
Gang de Rug Pull
Adresse de conservation des fonds de minage
Comme mentionné précédemment, les cas de Rug Pull rassemblent généralement des fonds à une adresse de conservation des fonds à la fin. Sur la base de ce modèle, nous avons sélectionné plusieurs adresses de conservation des fonds très actives et dont les caractéristiques des méthodes d'escroquerie sont évidentes pour une analyse approfondie.
Il y a 7 adresses de conservation de fonds qui sont entrées dans notre champ de vision, et ces adresses sont associées à 1 124 cas de Rug Pull, qui ont été capturés avec succès par le système de surveillance des attaques en chaîne. Après avoir réussi à exécuter l'escroquerie, les gangs de Rug Pull rassemblent les bénéfices illégaux dans ces adresses de conservation de fonds. Ces adresses de conservation de fonds divisent ensuite les fonds accumulés pour créer de nouveaux jetons, manipuler les pools de liquidités et d'autres activités dans de futures escroqueries de Rug Pull. De plus, une petite partie des fonds accumulés est liquidée par le biais d'une certaine bourse ou d'une plateforme d'échange instantané.
Dans une arnaque complète de Rug Pull, le groupe de Rug Pull utilise généralement une adresse comme déployeur du jeton Rug Pull (Deployer) et retire des fonds d'un échange pour créer le jeton Rug Pull et le pool de liquidité correspondant. Lorsque suffisamment d'utilisateurs ou de robots de prévente achètent le jeton Rug Pull avec de l'Éther, le groupe de Rug Pull utilise une autre adresse comme exécuteur du Rug Pull (Rug Puller) pour transférer les fonds vers une adresse de conservation.
Dans le processus mentionné ci-dessus, nous considérons l'ETH obtenu par le Deployer via l'échange, ou l'ETH investi par le Deployer lors de la création du pool de liquidités, comme le coût du Rug Pull (la manière dont cela est calculé dépend des actions du Deployer). L'ETH transféré par le Rug Puller vers l'adresse de conservation des fonds (ou une autre adresse intermédiaire) après avoir effectué le Rug Pull est considéré comme le revenu de ce Rug Pull.
Il convient de noter que les groupes de Rug Pull, lors de la mise en œuvre de leurs escroqueries, achètent également activement des Jetons Rug Pull qu'ils ont créés en utilisant de l'ETH, afin de simuler des activités normales de liquidité et d'attirer les robots de lancement à acheter. Cependant, ce coût n'a pas été pris en compte dans le calcul, ce qui entraîne une surestimation des bénéfices réels des groupes de Rug Pull, les bénéfices réels étant relativement plus bas.
En réalité, même si les fonds finaux ont été regroupés sur différentes adresses de conservation des fonds, nous avons toujours de sérieux doutes sur le fait que ces adresses de conservation des fonds pourraient appartenir au même groupe en raison des nombreuses similitudes entre les cas associés (comme les méthodes d'implémentation des backdoors de Rug Pull, les chemins de liquidation, etc.).
lien entre les adresses de conservation des fonds minés
Un indicateur important pour déterminer s'il existe une relation entre les adresses de conservation des fonds est de vérifier s'il existe des relations de transfert direct entre ces adresses. Pour valider la relation entre les adresses de conservation des fonds,