Mengungkap Kekacauan Ekosistem Token Ethereum: Penyelidikan Mendalam Kasus Rug Pull

Pengantar

Di dunia Web3, token baru terus bermunculan. Apakah Anda pernah berpikir, berapa banyak token baru yang diterbitkan setiap hari? Apakah token-token baru ini aman?

Pertanyaan-pertanyaan ini bukanlah tanpa dasar. Dalam beberapa bulan terakhir, tim keamanan telah menangkap banyak kasus transaksi Rug Pull. Yang perlu dicatat, semua token yang terlibat dalam kasus-kasus ini adalah token baru yang baru saja diluncurkan di blockchain.

Setelah melakukan penyelidikan mendalam terhadap kasus Rug Pull ini, ditemukan adanya kelompok penjahat yang terorganisir di baliknya, dan merangkum ciri-ciri pola penipuan ini. Melalui analisis metode operandi kelompok-kelompok ini, ditemukan salah satu kemungkinan cara promosi penipuan oleh kelompok Rug Pull: grup Telegram. Kelompok-kelompok ini memanfaatkan fitur "pelacakan token baru" dalam grup untuk menarik pengguna membeli token penipuan dan akhirnya meraih keuntungan melalui Rug Pull.

Statistik menunjukkan, dari November 2023 hingga awal Agustus 2024, grup Telegram ini telah mempromosikan 93,930 jenis Token baru, di mana terdapat 46,526 jenis Token yang terlibat dalam Rug Pull, dengan persentase mencapai 49,53%. Total biaya yang dikeluarkan oleh kelompok di balik Token Rug Pull ini adalah 149,813.72 Ether, dan mereka memperoleh keuntungan sebesar 282,699.96 Ether dengan tingkat pengembalian yang mencapai 188,7%, setara dengan sekitar 800 juta dolar AS.

Untuk mengevaluasi proporsi token baru yang dipromosikan melalui grup Telegram di jaringan utama Ethereum, data token baru yang diterbitkan di jaringan utama Ethereum dalam periode waktu yang sama telah dihitung. Data menunjukkan, selama periode ini, total 100.260 jenis token baru diterbitkan, di mana token yang dipromosikan melalui grup Telegram menyumbang 89,99% dari jaringan utama. Rata-rata sekitar 370 jenis token baru lahir setiap hari, jauh melebihi ekspektasi yang wajar. Setelah penyelidikan mendalam, ditemukan bahwa setidaknya 48.265 jenis token terlibat dalam penipuan Rug Pull, dengan proporsi mencapai 48,14%. Dengan kata lain, hampir setiap dua token baru di jaringan utama Ethereum terlibat dalam penipuan.

Selain itu, lebih banyak kasus Rug Pull juga ditemukan di jaringan blockchain lainnya. Ini berarti bahwa tidak hanya di jaringan utama Ethereum, tetapi keseluruhan ekosistem koin baru Web3 jauh lebih serius dari yang diperkirakan dalam hal keamanan. Semoga laporan ini dapat membantu semua anggota Web3 meningkatkan kesadaran pencegahan, tetap waspada terhadap penipuan yang terus muncul, dan mengambil langkah pencegahan yang diperlukan dengan tepat untuk melindungi keamanan aset mereka.

ERC-20koin(Token)

Sebelum memulai laporan ini secara resmi, mari kita pahami beberapa konsep dasar.

Token ERC-20 adalah salah satu standar token yang paling umum di blockchain saat ini, yang mendefinisikan sekumpulan spesifikasi, sehingga token dapat berinteroperasi antara berbagai kontrak pintar dan aplikasi terdesentralisasi (dApp). Standar ERC-20 menetapkan fungsi dasar token, seperti transfer, memeriksa saldo, dan memberikan wewenang kepada pihak ketiga untuk mengelola token. Karena protokol yang distandarisasi ini, pengembang dapat lebih mudah menerbitkan dan mengelola token, sehingga menyederhanakan pembuatan dan penggunaan token. Sebenarnya, siapa pun individu atau organisasi dapat menerbitkan token mereka sendiri berdasarkan standar ERC-20, dan mengumpulkan dana awal untuk berbagai proyek keuangan melalui penjualan awal token. Karena penggunaan luas token ERC-20, ia menjadi dasar bagi banyak proyek ICO dan keuangan terdesentralisasi.

USDT, PEPE, dan DOGE yang kita kenal adalah Token ERC-20, pengguna dapat membeli Token ini melalui bursa terdesentralisasi. Namun, beberapa kelompok penipuan juga dapat menerbitkan Token ERC-20 jahat yang memiliki backdoor kode, mengunggahnya ke bursa terdesentralisasi, lalu memancing pengguna untuk melakukan pembelian.

Kasus Penipuan Klasik Token Rug Pull

Di sini, kami meminjam contoh kasus penipuan token Rug Pull untuk memahami lebih dalam tentang model operasi penipuan token yang jahat. Pertama-tama perlu dijelaskan bahwa Rug Pull merujuk pada tindakan penipuan di mana pihak proyek tiba-tiba menarik dana atau meninggalkan proyek dalam proyek keuangan terdesentralisasi, yang mengakibatkan investor menderita kerugian besar. Sementara itu, token Rug Pull adalah token yang diterbitkan khusus untuk melaksanakan tindakan penipuan ini.

Token Rug Pull yang disebutkan dalam artikel ini, kadang-kadang juga disebut sebagai "Token Madu" atau "Token Penipuan Keluar", tetapi di bawah ini kita akan secara konsisten menyebutnya sebagai Token Rug Pull.

kasus

Penyerang ( Rug Pull kelompok ) menggunakan alamat Deployer ( 0x4bAF ) untuk menerapkan Token TOMMI, kemudian menggunakan 1,5 ETH dan 100.000.000 Token TOMMI untuk membuat kolam likuiditas, dan secara aktif membeli Token TOMMI melalui alamat lain untuk memalsukan volume transaksi kolam likuiditas guna menarik pengguna dan robot pembeli baru di blockchain untuk membeli Token TOMMI. Setelah sejumlah robot pembeli baru terjebak, penyerang menggunakan alamat Rug Puller ( 0x43a9) untuk melakukan Rug Pull, Rug Puller menjual 38.739.354 Token TOMMI ke kolam likuiditas, menukarnya dengan sekitar 3,95 ETH. Sumber token Rug Puller berasal dari persetujuan berbahaya yang diberikan oleh kontrak Token TOMMI, saat kontrak Token TOMMI diterapkan, ia memberikan izin approve kolam likuiditas kepada Rug Puller, sehingga Rug Puller dapat langsung menarik Token TOMMI dari kolam likuiditas dan kemudian melakukan Rug Pull.

alamat terkait

• Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Token:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller yang menyamar sebagai pengguna ( salah satunya ):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Alamat transfer dana Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Alamat penyimpanan dana Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

transaksi terkait

• Deployer mendapatkan dana awal dari suatu bursa: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Deploy TOMMI Token:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Buat kolam likuiditas:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Alamat transfer dana mengirimkan dana kepada pengguna yang menyamar ( salah satu dari ):0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Menyamar pengguna membeli Token ( salah satunya ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull mengirimkan dana yang diperoleh ke alamat perantara: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Alamat perantara mengirimkan dana ke alamat penyimpanan dana:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

Proses Rug Pull

1. Siapkan dana untuk menyerang.

Penyerang melalui suatu bursa, mengisi ulang 2.47309009ETH ke Token Deployer(0x4bAF) sebagai modal awal untuk Rug Pull.

2. Menyebarkan Token Rug Pull dengan Backdoor.

Deployer membuat token TOMMI, melakukan pra-penambangan 100.000.000 koin dan mendistribusikannya kepada dirinya sendiri.

3. Membuat kolam likuiditas awal.

Deployer menggunakan 1,5 ETH dan semua Token yang dipra-gali untuk membuat kolam likuiditas, mendapatkan sekitar 0,387 Token LP.

4. Musnahkan semua pasokan Token yang telah ditambang sebelumnya.

Token Deployer mengirimkan semua LP Token ke alamat 0 untuk dihancurkan, karena tidak ada fungsi Mint dalam kontrak TOMMI, maka secara teori Token Deployer telah kehilangan kemampuan Rug Pull. ( ini juga merupakan salah satu syarat yang menarik robot penawaran baru untuk masuk, beberapa robot penawaran baru akan mengevaluasi apakah Token yang baru masuk ke dalam kolam memiliki risiko Rug Pull, Deployer juga mengatur Owner kontrak ke alamat 0, semua itu untuk menipu program anti-penipuan robot penawaran baru ).

5. Volume transaksi palsu.

Penyerang secara aktif membeli Token TOMMI dari kolam likuiditas menggunakan beberapa alamat, meningkatkan volume perdagangan kolam, dan lebih lanjut menarik robot perdagangan baru untuk masuk (. Penilaian bahwa alamat-alamat ini adalah penyamaran penyerang: dana terkait berasal dari alamat transfer dana sejarah kelompok Rug Pull ).

6. Penyerang melakukan Rug Pull melalui alamat Rug Puller (0x43A9), langsung menarik 38,739,354 koin dari kolam likuiditas melalui pintu belakang token, dan kemudian menggunakan koin tersebut untuk merusak kolam, menghasilkan sekitar 3,95 Ether.

7. Penyerang mengirimkan dana yang diperoleh dari Rug Pull ke alamat perantara 0xD921.

8. Alamat transit 0xD921 mengirimkan dana ke alamat penyimpanan dana 0x2836. Dari sini kita dapat melihat, setelah Rug Pull selesai, Rug Puller akan mengirimkan dana ke suatu alamat penyimpanan dana. Alamat penyimpanan dana adalah tempat pengumpulan dana dari banyak kasus Rug Pull yang kami pantau, alamat penyimpanan dana akan membagi sebagian besar dana yang diterima untuk memulai putaran Rug Pull baru, sementara sisa dana yang sedikit akan ditarik melalui suatu bursa. Kami telah menemukan beberapa alamat penyimpanan dana, 0x2836 adalah salah satunya.

Kode Backdoor Rug Pull

Meskipun penyerang telah mencoba membuktikan kepada dunia bahwa mereka tidak dapat melakukan Rug Pull dengan menghancurkan LP Token, kenyataannya penyerang justru meninggalkan backdoor jahat dalam fungsi openTrading kontrak TOMMI Token, yang akan memberi izin transfer Token kepada alamat Rug Puller saat membuat kolam likuiditas, sehingga alamat Rug Puller dapat langsung menarik Token dari kolam likuiditas.

Implementasi fungsi openTrading adalah sebagai berikut, fungsinya yang utama adalah untuk membuat kolam likuiditas baru, tetapi penyerang memanggil fungsi backdoor onInit di dalam fungsi tersebut, membuat uniswapV2Pair memberikan izin kepada alamat _chefAddress untuk memindahkan jumlah type(uint256) dari koin. Di mana uniswapV2Pair adalah alamat kolam likuiditas, _chefAddress adalah alamat Rug Puller, dan _chefAddress ditentukan saat kontrak dideploy.

pola kejahatan

Dengan menganalisis kasus TOMMI, kita dapat menyimpulkan 4 karakteristik berikut:

1. Deployer mendapatkan dana melalui suatu bursa: penyerang pertama-tama menyediakan sumber dana untuk alamat Deployer( dari suatu bursa.

2. Deployer membuat kolam likuiditas dan menghancurkan token LP: Setelah membuat token Rug Pull, deployer segera membuat kolam likuiditas untuknya dan menghancurkan token LP, untuk meningkatkan kredibilitas proyek dan menarik lebih banyak investor.

3. Rug Puller menukarkan sejumlah besar Token untuk ETH dalam kolam likuiditas: Alamat Rug Pull ) Rug Puller ( menggunakan sejumlah besar Token ) yang biasanya jauh melebihi total pasokan Token ( untuk menukarkan ETH dalam kolam likuiditas. Dalam kasus lain, Rug Puller juga dapat memperoleh ETH dari kolam dengan menghapus likuiditas.

4. Rug Puller akan mentransfer ETH yang diperoleh dari Rug Pull ke alamat penyimpanan dana: Rug Puller akan mentransfer ETH yang diperoleh ke alamat penyimpanan dana, kadang-kadang melalui alamat perantara sebagai transisi.

Karakteristik di atas umumnya ada dalam kasus-kasus yang kami tangkap, yang menunjukkan bahwa perilaku Rug Pull memiliki ciri khas yang sangat terpolarisasi. Selain itu, setelah menyelesaikan Rug Pull, dana biasanya akan dikumpulkan ke alamat penyimpanan dana, yang mengisyaratkan bahwa kasus Rug Pull yang tampak independen ini mungkin melibatkan kelompok penipuan yang sama atau bahkan kelompok penipuan yang sama.

Berdasarkan karakteristik ini, kami telah mengekstraksi pola perilaku Rug Pull dan menggunakan pola ini untuk melakukan pemindaian deteksi pada kasus-kasus yang terpantau, dengan harapan membangun gambaran kemungkinan kelompok penipuan.

Kelompok Penjahat Rug Pull

) alamat penyimpanan dana penambangan

Seperti yang disebutkan sebelumnya, kasus Rug Pull biasanya akan terjadi di paling