Web3代幣生態亂象調查:揭祕Rug Pull詐騙團夥

簡介

Web3世界中新代幣層出不窮,但你是否想過每天究竟有多少新代幣在發行?這些新代幣都安全嗎?

這些疑問並非無端而起。近幾個月來,有安全團隊捕獲了大量涉及新上線代幣的Rug Pull案例。深入調查發現,這些案例背後存在組織化的詐騙團夥,並呈現出模式化特徵。

分析顯示,這些團夥可能通過Telegram羣組中的"新代幣追蹤"功能來吸引用戶購買詐騙代幣。統計發現,從2023年11月至2024年8月初,這些羣組共推送了93,930種新代幣,其中涉及Rug Pull的有46,526種,佔比高達49.53%。這些Rug Pull團夥投入成本約15萬ETH,以188.7%的回報率獲利近28.3萬ETH,折合約8億美元。

同期以太坊主網上共發行100,260種新代幣,通過Telegram羣組推送的佔89.99%。平均每天約有370種新代幣誕生,遠超預期。深入調查發現,其中至少48,265種代幣涉及Rug Pull詐騙,佔比高達48.14%。換言之,以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外,其他區塊鏈網路中也發現了更多Rug Pull案例。這意味着整個Web3新發代幣生態的安全狀況比預期更加嚴峻。本報告旨在提升Web3用戶的防範意識,呼籲各方共同維護區塊鏈生態安全。

ERC-20 代幣

ERC-20是區塊鏈上最常見的代幣標準之一,它定義了一組規範,使代幣可以在不同智能合約和去中心化應用間互操作。ERC-20標準規定了代幣的基本功能,如轉帳、查詢餘額、授權第三方管理等。這一標準化協議簡化了代幣的創建和使用。

任何個人或組織都可以基於ERC-20標準發行代幣,並通過預售爲項目籌集資金。USDT、PEPE、DOGE等都屬於ERC-20代幣,用戶可以通過去中心化交易所購買。然而,某些詐騙團夥也可能發行帶有後門的惡意ERC-20代幣,將其上架到去中心化交易所,誘導用戶購買。

Rug Pull代幣的典型詐騙案例

Rug Pull是指項目方突然抽走資金或放棄項目,導致投資者蒙受巨大損失的欺詐行爲。Rug Pull代幣專門爲實施這種詐騙而發行。

案例

攻擊者用Deployer地址部署TOMMI代幣,然後用1.5個ETH和1億個TOMMI創建流動性池,並通過其他地址主動購買TOMMI代幣來僞造交易量以吸引用戶。當有一定數量的打新機器人上當後,攻擊者用Rug Puller地址執行Rug Pull,用3,873.9萬TOMMI代幣砸池子,兌換出約3.95個ETH。Rug Puller的代幣來源於TOMMI代幣合約的惡意授權,使其可以直接從流動性池轉出TOMMI代幣進行Rug Pull。

Rug Pull過程

1. 攻擊者通過交易所向Deployer充值2.47 ETH作爲啓動資金。

2. Deployer創建TOMMI代幣,預挖1億代幣並分配給自身。

3. Deployer用1.5個ETH和所有代幣創建流動性池,獲得約0.387個LP代幣。

4. Deployer將LP代幣銷毀,失去Rug Pull能力。這是爲了吸引打新機器人入場。

5. 攻擊者用多個地址主動購買TOMMI代幣,炒高池子交易量。

6. Rug Puller從流動性池轉出3,873.9萬TOMMI代幣,然後用這些代幣砸池子,套出約3.95個ETH。

7. 攻擊者將所得資金發送至中轉地址,再轉至資金留存地址。

Rug Pull代碼後門

TOMMI代幣合約在創建流動性池時會讓池子向Rug Puller地址授予代幣轉移權限,使Rug Puller可以直接從池子轉走代幣。

作案模式化

1. Deployer通過交易所獲取資金。
2. Deployer創建流動性池並銷毀LP代幣。
3. Rug Puller用大量代幣兌換池中ETH。
4. Rug Puller將獲得的ETH轉移至資金留存地址。

這些特點普遍存在於捕獲的案例中,表明Rug Pull行爲有明顯的模式化特徵。資金通常會匯集到一個資金留存地址,暗示這些案例背後可能涉及同一詐騙團夥。

Rug Pull作案團夥

資金留存地址

分析發現7個高度活躍的資金留存地址,關聯1,124個Rug Pull案例。這些地址將沉澱資金拆分用於新的Rug Pull騙局,小部分則通過交易所套現。

統計顯示,這些地址投入成本約15萬ETH,以188.7%的回報率獲利近28.3萬ETH,折合約8億美元。利潤佔比最高的三個地址分別是0x1607、0xDF1a及0x2836。

資金留存地址間關聯

通過分析資金流向,可將7個資金留存地址劃分爲3個集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

集合內部存在直接轉帳關係,但集合間無直接轉帳。然而,這3個集合都通過同樣的基礎設施合約拆分ETH進行Rug Pull操作,暗示它們可能屬於同一團夥。

共用基礎設施

兩個主要的基礎設施地址:0x1d39和0x6348。0x1d39主要用於拆分轉帳和購買Rug Pull代幣,0x6348功能類似。

統計顯示,資金留存地址通過這些基礎設施總計拆分3,616次資金,金額達9,369.98 ETH。大多數資金留存地址僅通過基礎設施進行拆分轉帳,購買Rug Pull代幣的操作由接收拆分資金的地址完成。

作案資金來源

分析顯示,在1,124個Rug Pull案例中,95.11%的資金來源於中心化交易所熱錢包。Rug Pull團夥往往同時從多個交易所獲取作案資金,以增加追蹤難度。

Rug Pull代幣推廣渠道

主要通過Twitter和Telegram羣組推廣。這些羣組由第三方機構維護,專門面向打新者推送新上線代幣。

Twitter廣告

Rug Pull團夥利用第三方機構的Twitter帳戶推送廣告,吸引受害者。

Telegram羣組廣告

鏈上狙擊機器人團隊維護的Telegram羣組推送新代幣信息,並提供便捷購買入口。人工抽檢發現,大比例推送的代幣爲Rug Pull代幣。

以太坊代幣生態分析

Telegram羣組推送代幣分析

2023年10月至2024年8月期間,Telegram羣組共推送93,930個代幣。根據Rug Pull檢測規則,發現46,526個Rug Pull代幣,佔比49.53%。

89.84%的Rug Pull代幣活躍時間小於72小時,55.07%小於3小時。這表明Rug Pull團夥作案效率高,風格"短平快"。

以太坊主網代幣分析

同期以太坊主網發行100,260個新代幣,其中48,265個爲Rug Pull代幣,佔比48.14%。

Telegram羣組推送的代幣佔主網代幣的89.99%,且Rug Pull檢測結果高度一致。這意味着Telegram羣組推送代幣的分析基本反映了以太坊主網的代幣生態現狀。

77.82%的主網代幣生命週期小於72小時,表明實際的Rug Pull代幣數量可能更多,或存在其他詐騙形式。

思考

以太坊主網新發行代幣中,Rug Pull代幣佔比高達48.14%,反映了生態的混亂。其他區塊鏈網路的情況可能更糟。即使除去Rug Pull代幣,以太坊每天仍有約140個新代幣上線,遠超合理範圍。

關鍵問題包括:

1. 如何快速確定Rug Pull團夥數量及聯繫?
2. 如何準確區分受害人和攻擊者地址?
3. 如何將Rug Pull檢測前移至事中或事前?
4. Rug Pull團夥的具體獲利策略是什麼?
5. 除Twitter和Telegram外,還有哪些推廣渠道?

建議

對想參與打新的投資者,建議:

1. 盡量通過知名中心化交易所購買新代幣。
2. 通過去中心化交易所購買時,認準官網及鏈上地址。
3. 購買前核實項目是否有官網和活躍社區。
4. 避免購買創建時間低於3天的代幣。
5. 使用第三方安全機構的代幣掃描服務。

呼籲

1. 呼籲各大交易所對惡意資金流採取更嚴格監管。
2. 呼籲第三方服務提供商加強產品安全審查。
3. 呼籲受害者積極