Investigación sobre el nuevo ecosistema de Token de Ethereum: el 48% involucra fraudes de Rug Pull, con pérdidas que alcanzan los 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas preguntas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Es notable que todos los tokens involucrados en estos casos son nuevos tokens que acaban de ser lanzados en la cadena.
A continuación, se realizó una investigación exhaustiva sobre estos casos de Rug Pull y se descubrió la existencia de bandas organizadas detrás de ellos, así como se resumieron las características sistemáticas de estas estafas. A través de un análisis profundo de los métodos utilizados por estas bandas, se identificó una posible vía de promoción de fraudes de Rug Pull: grupos de Telegram. Estas bandas utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través de Rug Pull.
Se recopilaron información sobre las notificaciones de Tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, y se descubrió que se han notificado un total de 93,930 nuevos Tokens, de los cuales 46,526 Tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo acumulado de inversión de los grupos detrás de estos Tokens de Rug Pull es de 149,813.72 Ether, y han obtenido ganancias de 282,699.96 Ether con una tasa de retorno de hasta el 188.7%, lo que equivale a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens enviados a través de grupos de Telegram en la red principal de Ethereum, se recopilaron datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que se emitieron un total de 100,260 nuevos tokens durante este tiempo, de los cuales los tokens enviados a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen alrededor de 370 nuevos tokens cada día, superando con creces las expectativas razonables. Después de una investigación más profunda, la verdad descubierta es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa el 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en estafas.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la situación de seguridad de todo el ecosistema de nuevos tokens de Web3 es mucho más grave de lo esperado. Por lo tanto, se redactó este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a elevar su conciencia de prevención, mantenerse alerta ante la proliferación de estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero vamos a entender algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad. Define un conjunto de especificaciones que permite la interoperabilidad de los tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 establece las funciones básicas de un token, como transferencias, consultas de saldo, autorización de terceros para gestionar los tokens, entre otros. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens con mayor facilidad, simplificando así la creación y uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos proyectos de ICO y finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE pertenecen a los tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir sus propios tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude con tokens Rug Pull
Aquí, tomamos prestado un caso de fraude con un Token de Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la conducta fraudulenta en la que los responsables del proyecto retiran repentinamente fondos o abandonan el proyecto en proyectos de finanzas descentralizadas, lo que lleva a los inversores a sufrir grandes pérdidas. El Token de Rug Pull, por lo tanto, es un Token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se denominan "tokens Honey Pot" o "tokens Exit Scam", pero en el siguiente texto nos referiremos a ellos de manera uniforme como tokens Rug Pull.
caso
El atacante (grupo de Rug Pull) utiliza la dirección Deployer para desplegar el Token TOMMI, luego crea un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compra activamente el Token TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez con el fin de atraer a los usuarios y a los bots de lanzamiento en la cadena a comprar el Token TOMMI. Cuando un número suficiente de bots de lanzamiento cae en la trampa, el atacante utiliza la dirección Rug Puller para ejecutar el Rug Pull, el Rug Puller utiliza 38,739,354 TOMMI para aplastar el pool de liquidez, canjeando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de la autorización maliciosa de aprobación del contrato del Token TOMMI, que al desplegarse otorga al Rug Puller permisos de aprobación del pool de liquidez, lo que permite al Rug Puller retirar directamente el Token TOMMI del pool de liquidez y luego realizar el Rug Pull.
Proceso de Rug Pull
Preparar fondos para el ataque.
El atacante recargó 2.47309009 Ether al Token Deployer a través de un intercambio como capital inicial para el Rug Pull.
Desplegar un Token de Rug Pull con puerta trasera.
Deployer crea el Token TOMMI, preextrae 100,000,000 Tokens y se los asigna a sí mismo.
Crear el fondo de liquidez inicial.
El Deployer creó un pool de liquidez con 1.5 ETH y todos los tokens pre-minados, obteniendo aproximadamente 0.387 tokens LP.
Destruir toda la cantidad de suministro de Token previamente minado.
Token Deployer envía todos los LP Tokens a la dirección 0 para ser destruidos. Dado que el contrato TOMMI no tiene función de Mint, en este momento, el Token Deployer ha perdido teóricamente la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer a los bots de nueva cotización, algunos bots de nueva cotización evalúan si los tokens recién ingresados a la piscina presentan riesgo de Rug Pull. El Deployer también establece al Owner del contrato en la dirección 0, todo con el fin de engañar a los programas antifraude de los bots de nueva cotización).
Volumen de transacciones falsificado.
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, inflando el volumen de transacciones del fondo y atrayendo aún más a los bots de lanzamiento (la base para determinar que estas direcciones son disfrazadas por los atacantes: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).
El atacante inicia un Rug Pull a través de la dirección Rug Puller, transfiriendo directamente 38,739,354 Tokens del fondo de liquidez a través de una puerta trasera del token, y luego utiliza estos tokens para perjudicar el fondo, obteniendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediación.
La dirección de transferencia enviará los fondos a la dirección de retención de fondos. De aquí podemos ver que, cuando se completa un Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se agrupan los fondos de numerosos casos de Rug Pull monitoreados, y esta dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que una pequeña cantidad de fondos se retirará a través de algún intercambio.
código de puerta trasera de Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que el pool de liquidez apruebe la transferencia de tokens al dirección del Rug Puller al crear el pool de liquidez, lo que permite que la dirección del Rug Puller retire directamente los tokens del pool de liquidez.
modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Deployer obtiene fondos a través de un intercambio: el atacante primero proporciona una fuente de fondos a la dirección del Deployer a través de un intercambio.
El Deployer crea un fondo de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el deployer creará inmediatamente un fondo de liquidez para él y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Tokens para intercambiar ETH en el fondo de liquidez: la dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Tokens (normalmente una cantidad que supera con creces el suministro total de Tokens) para intercambiar ETH en el fondo de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del fondo al eliminar liquidez.
El Rug Puller transfiere el ETH obtenido del Rug Pull a la dirección de retención de fondos: El Rug Puller transferirá el ETH obtenido a la dirección de retención de fondos, a veces a través de una dirección intermedia como transición.
Estas características se encuentran comúnmente en los casos que hemos capturado, lo que indica que el comportamiento de Rug Pull tiene características de patrón evidentes. Además, tras completar un Rug Pull, los fondos suelen ser reunidos en una dirección de retención de fondos, lo que sugiere que detrás de estos casos de Rug Pull que parecen independientes, podría haber un mismo grupo de estafadores o incluso el mismo grupo de estafadores.
Basado en estas características, hemos extraído un patrón de comportamiento de Rug Pull y utilizado este patrón para escanear y detectar casos monitoreados, con el objetivo de construir un posible retrato de la banda de estafadores.
Banda de Rug Pull
dirección de retención de fondos de minería
Como se mencionó anteriormente, los casos de Rug Pull suelen concentrar los fondos en una dirección de retención de fondos al final. Basándonos en este patrón, seleccionamos algunas direcciones de retención de fondos que son altamente activas y cuyos métodos de operación en casos asociados son claramente evidentes para un análisis más profundo.
Han entrado en nuestra vista un total de 7 direcciones de retención de fondos, que están asociadas con 1,124 casos de Rug Pull, capturados con éxito por el sistema de monitoreo de ataques en cadena. Después de implementar con éxito el fraude, los grupos de Rug Pull agrupan las ganancias ilícitas en estas direcciones de retención de fondos. Estas direcciones de retención de fondos dividirán los fondos acumulados para crear nuevos Tokens en futuros fraudes de Rug Pull, manipular pools de liquidez y otras actividades. Además, una pequeña parte de los fondos acumulados se convierte en efectivo a través de algún intercambio o plataforma de intercambio instantáneo.
En un esquema completo de Rug Pull, el grupo de Rug Pull generalmente utiliza una dirección como el desplegador (Deployer) del token de Rug Pull y obtiene fondos iniciales a través de un intercambio para crear el token de Rug Pull y el correspondiente fondo de liquidez. Cuando atraen a un número suficiente de usuarios o bots de lanzamiento que utilizan Ether para comprar el token de Rug Pull, el grupo de Rug Pull operará utilizando otra dirección como el ejecutor de Rug Pull (Rug Puller) para transferir los fondos obtenidos a una dirección de retención de fondos.
En el proceso mencionado, consideramos el ETH obtenido por el Deployer a través de la exchange, o el ETH invertido por el Deployer al crear el pool de liquidez, como el costo del Rug Pull (la forma en que se calcula depende del comportamiento del Deployer). El ETH que el Rug Puller transfiere a la dirección de retención de fondos (u otra dirección intermedia) después de completar el Rug Pull se considera como los ingresos de ese Rug Pull.
Es importante señalar que las bandas de Rug Pull, al llevar a cabo sus estafas, también utilizan activamente ETH para comprar los Rug Pull Token que han creado, con el fin de simular actividades normales de liquidez y atraer a los bots de compra. Sin embargo, este costo no se ha incluido en el cálculo, por lo que los datos sobreestiman las ganancias reales de las bandas de Rug Pull, y las ganancias reales serán relativamente más bajas.
De hecho, incluso si los fondos finales se han reunido en diferentes direcciones de retención de fondos, seguimos sospechando altamente que estas direcciones de retención de fondos podrían pertenecer al mismo grupo, debido a las numerosas similitudes entre los casos asociados a estas direcciones (como la implementación de puertas traseras de Rug Pull, rutas de efectivo, etc.).
Asociación entre direcciones de retención de fondos de minería
Un indicador importante para determinar si existe una relación entre las direcciones de retención de fondos es verificar si hay una relación de transferencia directa entre estas direcciones. Para validar la relación entre las direcciones de retención de fondos,
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
5
Compartir
Comentar
0/400
NewDAOdreamer
· hace19h
Una moneda emite mil monedas, es realmente aterrador.
Ver originalesResponder0
LayerHopper
· 08-05 12:06
Donde hay RATS, hay gatos.
Ver originalesResponder0
WhaleWatcher
· 08-05 11:59
Sentado esperando a que los nuevos tontos entren a invertir
Ver originalesResponder0
ChainPoet
· 08-05 11:57
¿El camino que deben recorrer los tontos del mundo Cripto?
Ver originalesResponder0
TradFiRefugee
· 08-05 11:51
trampa profunda... yo también estuve a punto de caer en esta trampa
Investigación sobre el nuevo ecosistema de Token de Ethereum: el 48% involucra fraudes de Rug Pull, con pérdidas que alcanzan los 800 millones de dólares.
Investigación profunda de casos de Rug Pull, revelando el caos en el ecosistema de tokens de Ethereum
Introducción
En el mundo de Web3, nuevos tokens están surgiendo constantemente. ¿Alguna vez te has preguntado cuántos nuevos tokens se emiten cada día? ¿Son seguros estos nuevos tokens?
Estas preguntas no son infundadas. En los últimos meses, el equipo de seguridad ha capturado una gran cantidad de casos de transacciones de Rug Pull. Es notable que todos los tokens involucrados en estos casos son nuevos tokens que acaban de ser lanzados en la cadena.
A continuación, se realizó una investigación exhaustiva sobre estos casos de Rug Pull y se descubrió la existencia de bandas organizadas detrás de ellos, así como se resumieron las características sistemáticas de estas estafas. A través de un análisis profundo de los métodos utilizados por estas bandas, se identificó una posible vía de promoción de fraudes de Rug Pull: grupos de Telegram. Estas bandas utilizan la función "New Token Tracer" en ciertos grupos para atraer a los usuarios a comprar tokens fraudulentos y, finalmente, obtener ganancias a través de Rug Pull.
Se recopilaron información sobre las notificaciones de Tokens de estos grupos de Telegram desde noviembre de 2023 hasta principios de agosto de 2024, y se descubrió que se han notificado un total de 93,930 nuevos Tokens, de los cuales 46,526 Tokens están relacionados con Rug Pull, lo que representa un 49.53%. Según las estadísticas, el costo acumulado de inversión de los grupos detrás de estos Tokens de Rug Pull es de 149,813.72 Ether, y han obtenido ganancias de 282,699.96 Ether con una tasa de retorno de hasta el 188.7%, lo que equivale a aproximadamente 800 millones de dólares.
Para evaluar la proporción de nuevos tokens enviados a través de grupos de Telegram en la red principal de Ethereum, se recopilaron datos sobre los nuevos tokens emitidos en la red principal de Ethereum durante el mismo período de tiempo. Los datos muestran que se emitieron un total de 100,260 nuevos tokens durante este tiempo, de los cuales los tokens enviados a través de grupos de Telegram representan el 89.99% de la red principal. En promedio, nacen alrededor de 370 nuevos tokens cada día, superando con creces las expectativas razonables. Después de una investigación más profunda, la verdad descubierta es inquietante: al menos 48,265 tokens están involucrados en estafas de Rug Pull, lo que representa el 48.14%. En otras palabras, casi uno de cada dos nuevos tokens en la red principal de Ethereum está involucrado en estafas.
Además, se han encontrado más casos de Rug Pull en otras redes de blockchain. Esto significa que no solo la red principal de Ethereum, sino que la situación de seguridad de todo el ecosistema de nuevos tokens de Web3 es mucho más grave de lo esperado. Por lo tanto, se redactó este informe de investigación con la esperanza de ayudar a todos los miembros de Web3 a elevar su conciencia de prevención, mantenerse alerta ante la proliferación de estafas y tomar las medidas preventivas necesarias a tiempo para proteger la seguridad de sus activos.
ERC-20 Token
Antes de comenzar formalmente este informe, primero vamos a entender algunos conceptos básicos.
Los tokens ERC-20 son uno de los estándares de tokens más comunes en la blockchain en la actualidad. Define un conjunto de especificaciones que permite la interoperabilidad de los tokens entre diferentes contratos inteligentes y aplicaciones descentralizadas (dApp). El estándar ERC-20 establece las funciones básicas de un token, como transferencias, consultas de saldo, autorización de terceros para gestionar los tokens, entre otros. Gracias a este protocolo estandarizado, los desarrolladores pueden emitir y gestionar tokens con mayor facilidad, simplificando así la creación y uso de tokens. De hecho, cualquier persona u organización puede emitir su propio token basado en el estándar ERC-20 y recaudar fondos iniciales para diversos proyectos financieros mediante la preventa de tokens. Debido a la amplia aplicación de los tokens ERC-20, se han convertido en la base de muchos proyectos de ICO y finanzas descentralizadas.
Las monedas que conocemos como USDT, PEPE y DOGE pertenecen a los tokens ERC-20, y los usuarios pueden comprarlos a través de intercambios descentralizados. Sin embargo, ciertos grupos de estafadores también pueden emitir sus propios tokens ERC-20 maliciosos con puertas traseras en el código, listarlos en intercambios descentralizados y luego inducir a los usuarios a comprarlos.
Casos típicos de fraude con tokens Rug Pull
Aquí, tomamos prestado un caso de fraude con un Token de Rug Pull para profundizar en el modelo operativo de las estafas de Token maliciosos. Primero, es necesario aclarar que Rug Pull se refiere a la conducta fraudulenta en la que los responsables del proyecto retiran repentinamente fondos o abandonan el proyecto en proyectos de finanzas descentralizadas, lo que lleva a los inversores a sufrir grandes pérdidas. El Token de Rug Pull, por lo tanto, es un Token emitido específicamente para llevar a cabo este tipo de fraude.
Los tokens Rug Pull mencionados en este artículo, a veces también se denominan "tokens Honey Pot" o "tokens Exit Scam", pero en el siguiente texto nos referiremos a ellos de manera uniforme como tokens Rug Pull.
caso
El atacante (grupo de Rug Pull) utiliza la dirección Deployer para desplegar el Token TOMMI, luego crea un pool de liquidez con 1.5 ETH y 100,000,000 TOMMI, y compra activamente el Token TOMMI a través de otras direcciones para falsificar el volumen de transacciones del pool de liquidez con el fin de atraer a los usuarios y a los bots de lanzamiento en la cadena a comprar el Token TOMMI. Cuando un número suficiente de bots de lanzamiento cae en la trampa, el atacante utiliza la dirección Rug Puller para ejecutar el Rug Pull, el Rug Puller utiliza 38,739,354 TOMMI para aplastar el pool de liquidez, canjeando aproximadamente 3.95 ETH. Los tokens del Rug Puller provienen de la autorización maliciosa de aprobación del contrato del Token TOMMI, que al desplegarse otorga al Rug Puller permisos de aprobación del pool de liquidez, lo que permite al Rug Puller retirar directamente el Token TOMMI del pool de liquidez y luego realizar el Rug Pull.
Proceso de Rug Pull
El atacante recargó 2.47309009 Ether al Token Deployer a través de un intercambio como capital inicial para el Rug Pull.
Deployer crea el Token TOMMI, preextrae 100,000,000 Tokens y se los asigna a sí mismo.
El Deployer creó un pool de liquidez con 1.5 ETH y todos los tokens pre-minados, obteniendo aproximadamente 0.387 tokens LP.
Token Deployer envía todos los LP Tokens a la dirección 0 para ser destruidos. Dado que el contrato TOMMI no tiene función de Mint, en este momento, el Token Deployer ha perdido teóricamente la capacidad de Rug Pull. (Esta también es una de las condiciones necesarias para atraer a los bots de nueva cotización, algunos bots de nueva cotización evalúan si los tokens recién ingresados a la piscina presentan riesgo de Rug Pull. El Deployer también establece al Owner del contrato en la dirección 0, todo con el fin de engañar a los programas antifraude de los bots de nueva cotización).
Los atacantes utilizan múltiples direcciones para comprar activamente tokens TOMMI del fondo de liquidez, inflando el volumen de transacciones del fondo y atrayendo aún más a los bots de lanzamiento (la base para determinar que estas direcciones son disfrazadas por los atacantes: los fondos de las direcciones relacionadas provienen de direcciones de transferencia de fondos históricas del grupo Rug Pull).
El atacante inicia un Rug Pull a través de la dirección Rug Puller, transfiriendo directamente 38,739,354 Tokens del fondo de liquidez a través de una puerta trasera del token, y luego utiliza estos tokens para perjudicar el fondo, obteniendo aproximadamente 3.95 Ether.
El atacante envía los fondos obtenidos del Rug Pull a la dirección de intermediación.
La dirección de transferencia enviará los fondos a la dirección de retención de fondos. De aquí podemos ver que, cuando se completa un Rug Pull, el Rug Puller enviará los fondos a alguna dirección de retención de fondos. La dirección de retención de fondos es el lugar donde se agrupan los fondos de numerosos casos de Rug Pull monitoreados, y esta dirección de retención de fondos dividirá la mayor parte de los fondos recibidos para iniciar una nueva ronda de Rug Pull, mientras que una pequeña cantidad de fondos se retirará a través de algún intercambio.
código de puerta trasera de Rug Pull
Aunque los atacantes han intentado demostrar al exterior que no pueden realizar un Rug Pull al destruir los LP Tokens, en realidad han dejado una puerta trasera maliciosa en la función openTrading del contrato del token TOMMI, que permite que el pool de liquidez apruebe la transferencia de tokens al dirección del Rug Puller al crear el pool de liquidez, lo que permite que la dirección del Rug Puller retire directamente los tokens del pool de liquidez.
modo de operación
A través del análisis del caso TOMMI, podemos resumir las siguientes 4 características:
El Deployer obtiene fondos a través de un intercambio: el atacante primero proporciona una fuente de fondos a la dirección del Deployer a través de un intercambio.
El Deployer crea un fondo de liquidez y quema los tokens LP: Después de crear el token Rug Pull, el deployer creará inmediatamente un fondo de liquidez para él y quemará los tokens LP para aumentar la credibilidad del proyecto y atraer a más inversores.
Rug Puller utiliza una gran cantidad de Tokens para intercambiar ETH en el fondo de liquidez: la dirección de Rug Pull (Rug Puller) utiliza una gran cantidad de Tokens (normalmente una cantidad que supera con creces el suministro total de Tokens) para intercambiar ETH en el fondo de liquidez. En otros casos, el Rug Puller también ha obtenido ETH del fondo al eliminar liquidez.
El Rug Puller transfiere el ETH obtenido del Rug Pull a la dirección de retención de fondos: El Rug Puller transferirá el ETH obtenido a la dirección de retención de fondos, a veces a través de una dirección intermedia como transición.
Estas características se encuentran comúnmente en los casos que hemos capturado, lo que indica que el comportamiento de Rug Pull tiene características de patrón evidentes. Además, tras completar un Rug Pull, los fondos suelen ser reunidos en una dirección de retención de fondos, lo que sugiere que detrás de estos casos de Rug Pull que parecen independientes, podría haber un mismo grupo de estafadores o incluso el mismo grupo de estafadores.
Basado en estas características, hemos extraído un patrón de comportamiento de Rug Pull y utilizado este patrón para escanear y detectar casos monitoreados, con el objetivo de construir un posible retrato de la banda de estafadores.
Banda de Rug Pull
dirección de retención de fondos de minería
Como se mencionó anteriormente, los casos de Rug Pull suelen concentrar los fondos en una dirección de retención de fondos al final. Basándonos en este patrón, seleccionamos algunas direcciones de retención de fondos que son altamente activas y cuyos métodos de operación en casos asociados son claramente evidentes para un análisis más profundo.
Han entrado en nuestra vista un total de 7 direcciones de retención de fondos, que están asociadas con 1,124 casos de Rug Pull, capturados con éxito por el sistema de monitoreo de ataques en cadena. Después de implementar con éxito el fraude, los grupos de Rug Pull agrupan las ganancias ilícitas en estas direcciones de retención de fondos. Estas direcciones de retención de fondos dividirán los fondos acumulados para crear nuevos Tokens en futuros fraudes de Rug Pull, manipular pools de liquidez y otras actividades. Además, una pequeña parte de los fondos acumulados se convierte en efectivo a través de algún intercambio o plataforma de intercambio instantáneo.
En un esquema completo de Rug Pull, el grupo de Rug Pull generalmente utiliza una dirección como el desplegador (Deployer) del token de Rug Pull y obtiene fondos iniciales a través de un intercambio para crear el token de Rug Pull y el correspondiente fondo de liquidez. Cuando atraen a un número suficiente de usuarios o bots de lanzamiento que utilizan Ether para comprar el token de Rug Pull, el grupo de Rug Pull operará utilizando otra dirección como el ejecutor de Rug Pull (Rug Puller) para transferir los fondos obtenidos a una dirección de retención de fondos.
En el proceso mencionado, consideramos el ETH obtenido por el Deployer a través de la exchange, o el ETH invertido por el Deployer al crear el pool de liquidez, como el costo del Rug Pull (la forma en que se calcula depende del comportamiento del Deployer). El ETH que el Rug Puller transfiere a la dirección de retención de fondos (u otra dirección intermedia) después de completar el Rug Pull se considera como los ingresos de ese Rug Pull.
Es importante señalar que las bandas de Rug Pull, al llevar a cabo sus estafas, también utilizan activamente ETH para comprar los Rug Pull Token que han creado, con el fin de simular actividades normales de liquidez y atraer a los bots de compra. Sin embargo, este costo no se ha incluido en el cálculo, por lo que los datos sobreestiman las ganancias reales de las bandas de Rug Pull, y las ganancias reales serán relativamente más bajas.
De hecho, incluso si los fondos finales se han reunido en diferentes direcciones de retención de fondos, seguimos sospechando altamente que estas direcciones de retención de fondos podrían pertenecer al mismo grupo, debido a las numerosas similitudes entre los casos asociados a estas direcciones (como la implementación de puertas traseras de Rug Pull, rutas de efectivo, etc.).
Asociación entre direcciones de retención de fondos de minería
Un indicador importante para determinar si existe una relación entre las direcciones de retención de fondos es verificar si hay una relación de transferencia directa entre estas direcciones. Para validar la relación entre las direcciones de retención de fondos,