Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem por acaso. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os Tokens envolvidos nesses casos são, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, foram realizadas investigações aprofundadas sobre esses casos de Rug Pull, descobrindo que havia uma organização criminosa por trás, e resumindo as características padronizadas dessas fraudes. Através da análise detalhada das táticas desse grupo, foi descoberta uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em alguns grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
Foram estatísticas sobre as informações de envio de Token desses grupos do Telegram entre novembro de 2023 e o início de agosto de 2024, descobrindo que um total de 93.930 novos Tokens foram enviados, dos quais 46.526 Tokens estavam envolvidos em Rug Pull, representando uma taxa de 49,53%. De acordo com as estatísticas, o custo total investido pelos grupos por trás desses Tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram coletados dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, durante esse tempo, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos tokens nascem diariamente, superando em muito as expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é perturbadora ------ pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa alarmante de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que não apenas a mainnet Ethereum, mas a segurança de todo o ecossistema de novos Tokens do Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado na esperança de ajudar todos os membros do Web3 a aumentar a consciência de prevenção, permanecendo vigilantes diante de fraudes incessantes e tomando as medidas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começar oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de tokens mais comuns atualmente na blockchain, definindo um conjunto de normas que permite a interoperabilidade dos tokens entre diferentes contratos inteligentes e aplicações descentralizadas (dApps). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, verificação de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e o uso dos tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente pela ampla aplicação dos tokens ERC-20 que eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprá-los através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir Token ERC-20 maliciosos com portas dos fundos incorporadas, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Tokens Rug Pull
Aqui, usamos um caso de fraude de um Token Rug Pull para entender melhor o modelo operacional das fraudes de Tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em um projeto de finanças descentralizadas, resultando em enormes perdas para os investidores. O Token Rug Pull é um Token emitido especificamente para a execução desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo nos referiremos a eles uniformemente como tokens Rug Pull.
caso
O atacante (gangue Rug Pull) usa o endereço Deployer para implantar o token TOMMI, e depois cria um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente o token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez a fim de atrair usuários e robôs de investimento para comprar o token TOMMI. Quando um número suficiente de robôs de investimento caem na armadilha, o atacante usa o endereço Rug Puller para executar o Rug Pull, onde o Rug Puller usa 38.739.354 tokens TOMMI para destruir o pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vêm de uma autorização maliciosa de Approve do contrato do token TOMMI, onde ao implantar o contrato do token TOMMI, são concedidos direitos de aprovação do pool de liquidez para o Rug Puller, permitindo que o Rug Puller retire diretamente tokens TOMMI do pool de liquidez e realize o Rug Pull.
processo de Rug Pull
Preparar fundos para o ataque.
O atacante recarrega 2.47309009ETH para o Token Deployer através de uma troca, como capital inicial para o Rug Pull.
Implantar Token Rug Pull com backdoor.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 moedas e atribuindo-as a si mesmo.
Criar o pool de liquidez inicial.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
Destruir toda a oferta de Token pré-minerada.
O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de lançamento, pois alguns robôs de lançamento irão avaliar se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também configura o Owner do contrato para o endereço 0, tudo para enganar os programas antifraude dos robôs de lançamento).
Volume de transações falsificado.
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, inflacionando o volume de negociações do pool e atraindo ainda mais robôs de lançamento (a base para determinar que esses endereços são disfarces de atacantes: os fundos dos endereços relevantes vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para esmagar o pool, retirando cerca de 3.95 ETH.
O atacante envia os fundos obtidos com o Rug Pull para um endereço de intermediação.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se acumulam os fundos de uma grande quantidade de casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a pequena quantidade restante de fundos será retirada através de alguma exchange.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não conseguem realizar um Rug Pull ao destruir os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que, ao criar o pool de liquidez, o pool aprove a transferência de tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.
padrão de crime
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma determinada exchange: o atacante primeiro fornece uma fonte de fundos para o endereço do Deployer através de uma determinada exchange.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP para aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca uma grande quantidade de Token pela ETH no pool de liquidez: Endereço de Rug Pull (Rug Puller) usa uma grande quantidade de Token (geralmente um número muito superior ao suprimento total de Token) para trocar pela ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter a ETH do pool ao remover a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de reserva de fundos: o Rug Puller transferirá o ETH adquirido para o endereço de reserva de fundos, às vezes passando por um endereço intermediário.
As características mencionadas acima estão presentes em nossos casos capturados, o que indica que o comportamento de Rug Pull possui características de padronização claras. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de fraude ou até mesmo ao mesmo esquema.
Com base nessas características, extraímos um padrão de comportamento de Rug Pull e utilizamos esse padrão para escanear e detectar casos monitorados, com o objetivo de construir um retrato possível de quadrilhas de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente concentram os fundos em um endereço de retenção de fundos. Com base nesse modelo, selecionamos alguns dos endereços de retenção de fundos altamente ativos e cujas características de métodos de crime são claramente associadas para uma análise aprofundada.
Entraram em nossa visão um total de 7 endereços de retenção de fundos, que estão associados a 1.124 casos de Rug Pull, capturados com sucesso pelo sistema de monitoramento de ataques em cadeia. Após a implementação bem-sucedida do golpe, o grupo de Rug Pull reúne os lucros ilícitos nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos tokens em novos golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida em dinheiro através de alguma exchange ou plataforma de troca instantânea.
Em um esquema completo de Rug Pull, o grupo de Rug Pull geralmente usa um endereço como o implantador (Deployer) do token Rug Pull e obtém fundos iniciais através de retiradas em uma determinada troca para criar o token Rug Pull e o respectivo pool de liquidez. Quando atraem um número suficiente de usuários ou bots de compra usando ETH para comprar o token Rug Pull, o grupo de Rug Pull usa outro endereço como o executor do Rug Pull (Rug Puller) para operar, transferindo os fundos obtidos para um endereço de retenção.
No processo acima, consideramos o ETH adquirido pelo Deployer através da exchange, ou o ETH investido pelo Deployer ao criar o pool de liquidez, como o custo do Rug Pull (a forma exata de cálculo depende do comportamento do Deployer). O ETH transferido pelo Rug Puller para o endereço de retenção de fundos (ou outro endereço de trânsito) após a conclusão do Rug Pull é considerado a receita desse Rug Pull.
É importante mencionar que, durante a execução do golpe, os grupos de Rug Pull também compram ativamente Tokens de Rug Pull que eles próprios criaram usando ETH, para simular atividades normais de pool de liquidez, atraindo assim robôs de compra. No entanto, esse custo não foi incluído nos cálculos, o que faz com que os dados superestimem o lucro real dos grupos de Rug Pull; o lucro real será relativamente mais baixo.
Na verdade, mesmo que os fundos finais sejam reunidos em diferentes endereços de retenção de fundos, devido às semelhanças significativas entre os casos associados a esses endereços (como a implementação de backdoor do Rug Pull, caminhos de cashout, etc.), ainda suspeitamos fortemente que esses endereços de retenção de fundos possam pertencer ao mesmo grupo.
ligação entre endereços de retenção de fundos de mineração
Um indicador importante para determinar se existe uma relação entre os endereços de retenção de fundos é verificar se há uma relação de transferência direta entre esses endereços. Para validar a relação entre os endereços de retenção de fundos,
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
5
Compartilhar
Comentário
0/400
NewDAOdreamer
· 1h atrás
Uma moeda emitida em excesso mata mil moedas, é realmente assustador.
Ver originalResponder0
LayerHopper
· 15h atrás
Tem RATS, tem gato
Ver originalResponder0
WhaleWatcher
· 16h atrás
sentar à espera de novos idiotas entrarem para investir
Ver originalResponder0
ChainPoet
· 16h atrás
mundo crypto idiotas必经之路?
Ver originalResponder0
TradFiRefugee
· 16h atrás
Armadilha profunda... Eu também quase paguei por isso.
Inquérito sobre o novo ecossistema de tokens Ethereum: 48% envolvidos em fraudes Rug Pull com perdas de 800 milhões de dólares.
Investigação aprofundada sobre casos de Rug Pull, revelando as anomalias no ecossistema de tokens Ethereum
Introdução
No mundo Web3, novos Tokens estão constantemente surgindo. Você já se perguntou quantos novos Tokens são emitidos todos os dias? Esses novos Tokens são seguros?
Estas dúvidas não surgem por acaso. Nos últimos meses, a equipe de segurança capturou uma grande quantidade de casos de transações de Rug Pull. É importante notar que todos os Tokens envolvidos nesses casos são, sem exceção, novos Tokens que acabaram de ser lançados na blockchain.
Em seguida, foram realizadas investigações aprofundadas sobre esses casos de Rug Pull, descobrindo que havia uma organização criminosa por trás, e resumindo as características padronizadas dessas fraudes. Através da análise detalhada das táticas desse grupo, foi descoberta uma possível via de promoção de fraudes dos grupos de Rug Pull: grupos do Telegram. Esses grupos utilizam a funcionalidade "New Token Tracer" em alguns grupos para atrair usuários a comprar tokens fraudulentos e, finalmente, lucrar através de Rug Pull.
Foram estatísticas sobre as informações de envio de Token desses grupos do Telegram entre novembro de 2023 e o início de agosto de 2024, descobrindo que um total de 93.930 novos Tokens foram enviados, dos quais 46.526 Tokens estavam envolvidos em Rug Pull, representando uma taxa de 49,53%. De acordo com as estatísticas, o custo total investido pelos grupos por trás desses Tokens Rug Pull foi de 149.813,72 ETH, e com uma taxa de retorno de até 188,7%, lucraram 282.699,96 ETH, o que equivale a cerca de 800 milhões de dólares.
Para avaliar a proporção de novos tokens promovidos em grupos do Telegram na rede principal do Ethereum, foram coletados dados sobre novos tokens emitidos na rede principal do Ethereum durante o mesmo período. Os dados mostram que, durante esse tempo, um total de 100.260 novos tokens foram emitidos, dos quais os tokens promovidos por grupos do Telegram representaram 89,99% da rede principal. Em média, cerca de 370 novos tokens nascem diariamente, superando em muito as expectativas razoáveis. Após uma investigação aprofundada, a verdade descoberta é perturbadora ------ pelo menos 48.265 tokens estão envolvidos em fraudes de Rug Pull, representando uma taxa alarmante de 48,14%. Em outras palavras, quase um em cada dois novos tokens na rede principal do Ethereum está envolvido em fraudes.
Além disso, mais casos de Rug Pull foram encontrados em outras redes de blockchain. Isso significa que não apenas a mainnet Ethereum, mas a segurança de todo o ecossistema de novos Tokens do Web3 é muito mais grave do que o esperado. Portanto, este relatório de pesquisa foi elaborado na esperança de ajudar todos os membros do Web3 a aumentar a consciência de prevenção, permanecendo vigilantes diante de fraudes incessantes e tomando as medidas necessárias para proteger a segurança de seus ativos.
Token ERC-20
Antes de começar oficialmente este relatório, vamos entender alguns conceitos básicos.
Os tokens ERC-20 são um dos padrões de tokens mais comuns atualmente na blockchain, definindo um conjunto de normas que permite a interoperabilidade dos tokens entre diferentes contratos inteligentes e aplicações descentralizadas (dApps). O padrão ERC-20 especifica as funções básicas dos tokens, como transferências, verificação de saldo e autorização de terceiros para gerenciar tokens. Devido a este protocolo padronizado, os desenvolvedores podem emitir e gerenciar tokens com mais facilidade, simplificando a criação e o uso dos tokens. Na verdade, qualquer indivíduo ou organização pode emitir seu próprio token com base no padrão ERC-20 e arrecadar capital inicial para vários projetos financeiros através da pré-venda de tokens. É precisamente pela ampla aplicação dos tokens ERC-20 que eles se tornaram a base de muitos projetos de ICO e finanças descentralizadas.
Os USDT, PEPE e DOGE que conhecemos pertencem ao padrão ERC-20 Token, e os usuários podem comprá-los através de exchanges descentralizadas. No entanto, certos grupos de fraude também podem emitir Token ERC-20 maliciosos com portas dos fundos incorporadas, listá-los em exchanges descentralizadas e induzir os usuários a comprá-los.
Casos típicos de fraude com Tokens Rug Pull
Aqui, usamos um caso de fraude de um Token Rug Pull para entender melhor o modelo operacional das fraudes de Tokens maliciosos. Primeiro, é importante esclarecer que Rug Pull refere-se a uma ação fraudulenta em que a equipe do projeto retira repentinamente fundos ou abandona o projeto em um projeto de finanças descentralizadas, resultando em enormes perdas para os investidores. O Token Rug Pull é um Token emitido especificamente para a execução desse tipo de fraude.
Os tokens Rug Pull mencionados neste artigo são às vezes chamados de "tokens Honey Pot" ou "tokens Exit Scam", mas abaixo nos referiremos a eles uniformemente como tokens Rug Pull.
caso
O atacante (gangue Rug Pull) usa o endereço Deployer para implantar o token TOMMI, e depois cria um pool de liquidez com 1,5 ETH e 100.000.000 TOMMI, comprando ativamente o token TOMMI através de outros endereços para falsificar o volume de transações do pool de liquidez a fim de atrair usuários e robôs de investimento para comprar o token TOMMI. Quando um número suficiente de robôs de investimento caem na armadilha, o atacante usa o endereço Rug Puller para executar o Rug Pull, onde o Rug Puller usa 38.739.354 tokens TOMMI para destruir o pool de liquidez, trocando por cerca de 3,95 ETH. Os tokens do Rug Puller vêm de uma autorização maliciosa de Approve do contrato do token TOMMI, onde ao implantar o contrato do token TOMMI, são concedidos direitos de aprovação do pool de liquidez para o Rug Puller, permitindo que o Rug Puller retire diretamente tokens TOMMI do pool de liquidez e realize o Rug Pull.
processo de Rug Pull
O atacante recarrega 2.47309009ETH para o Token Deployer através de uma troca, como capital inicial para o Rug Pull.
Deployer cria o Token TOMMI, pré-minerando 100.000.000 moedas e atribuindo-as a si mesmo.
O Deployer criou um pool de liquidez com 1,5 ETH e todos os tokens pré-minerados, obtendo cerca de 0,387 tokens LP.
O Token Deployer envia todos os LP Tokens para o endereço 0 para serem destruídos. Como o contrato TOMMI não possui a função Mint, neste momento o Token Deployer teoricamente já perdeu a capacidade de Rug Pull. (Esta também é uma das condições necessárias para atrair robôs de lançamento, pois alguns robôs de lançamento irão avaliar se os tokens recém-adicionados à pool apresentam risco de Rug Pull. O Deployer também configura o Owner do contrato para o endereço 0, tudo para enganar os programas antifraude dos robôs de lançamento).
Os atacantes usam vários endereços para comprar ativamente Tokens TOMMI do pool de liquidez, inflacionando o volume de negociações do pool e atraindo ainda mais robôs de lançamento (a base para determinar que esses endereços são disfarces de atacantes: os fundos dos endereços relevantes vêm de endereços de transferência de fundos históricos do grupo Rug Pull).
O atacante iniciou um Rug Pull através do endereço Rug Puller, retirando diretamente 38,739,354 Tokens do pool de liquidez pela porta dos fundos do token, e depois usou esses tokens para esmagar o pool, retirando cerca de 3.95 ETH.
O atacante envia os fundos obtidos com o Rug Pull para um endereço de intermediação.
O endereço de transferência enviará os fundos para o endereço de retenção de fundos. A partir daqui, podemos ver que, quando o Rug Pull é concluído, o Rug Puller enviará os fundos para um determinado endereço de retenção de fundos. O endereço de retenção de fundos é o local onde se acumulam os fundos de uma grande quantidade de casos de Rug Pull monitorados, e o endereço de retenção de fundos dividirá a maior parte dos fundos recebidos para iniciar uma nova rodada de Rug Pull, enquanto a pequena quantidade restante de fundos será retirada através de alguma exchange.
Código de backdoor de Rug Pull
Embora os atacantes tenham tentado provar ao mundo que não conseguem realizar um Rug Pull ao destruir os tokens LP, na verdade, eles deixaram uma porta dos fundos maliciosa na função openTrading do contrato do token TOMMI, que permite que, ao criar o pool de liquidez, o pool aprove a transferência de tokens para o endereço do Rug Puller, permitindo que o endereço do Rug Puller retire diretamente os tokens do pool de liquidez.
padrão de crime
Através da análise do caso TOMMI, podemos resumir as seguintes 4 características:
O Deployer obtém fundos através de uma determinada exchange: o atacante primeiro fornece uma fonte de fundos para o endereço do Deployer através de uma determinada exchange.
O Deployer cria um pool de liquidez e destrói os tokens LP: após criar o token Rug Pull, o deployer imediatamente cria um pool de liquidez e destrói os tokens LP para aumentar a credibilidade do projeto e atrair mais investidores.
Rug Puller troca uma grande quantidade de Token pela ETH no pool de liquidez: Endereço de Rug Pull (Rug Puller) usa uma grande quantidade de Token (geralmente um número muito superior ao suprimento total de Token) para trocar pela ETH no pool de liquidez. Em outros casos, o Rug Puller também pode obter a ETH do pool ao remover a liquidez.
Rug Puller transfere o ETH obtido com o Rug Pull para o endereço de reserva de fundos: o Rug Puller transferirá o ETH adquirido para o endereço de reserva de fundos, às vezes passando por um endereço intermediário.
As características mencionadas acima estão presentes em nossos casos capturados, o que indica que o comportamento de Rug Pull possui características de padronização claras. Além disso, após a conclusão do Rug Pull, os fundos geralmente são reunidos em um endereço de retenção de fundos, o que sugere que esses casos de Rug Pull aparentemente independentes podem estar relacionados ao mesmo grupo de fraude ou até mesmo ao mesmo esquema.
Com base nessas características, extraímos um padrão de comportamento de Rug Pull e utilizamos esse padrão para escanear e detectar casos monitorados, com o objetivo de construir um retrato possível de quadrilhas de fraude.
Gangue de Rug Pull
endereço de retenção de fundos de mineração
Como mencionado anteriormente, os casos de Rug Pull geralmente concentram os fundos em um endereço de retenção de fundos. Com base nesse modelo, selecionamos alguns dos endereços de retenção de fundos altamente ativos e cujas características de métodos de crime são claramente associadas para uma análise aprofundada.
Entraram em nossa visão um total de 7 endereços de retenção de fundos, que estão associados a 1.124 casos de Rug Pull, capturados com sucesso pelo sistema de monitoramento de ataques em cadeia. Após a implementação bem-sucedida do golpe, o grupo de Rug Pull reúne os lucros ilícitos nesses endereços de retenção de fundos. Esses endereços de retenção de fundos dividem os fundos acumulados para criar novos tokens em novos golpes de Rug Pull, manipular pools de liquidez e outras atividades. Além disso, uma pequena parte dos fundos acumulados é convertida em dinheiro através de alguma exchange ou plataforma de troca instantânea.
Em um esquema completo de Rug Pull, o grupo de Rug Pull geralmente usa um endereço como o implantador (Deployer) do token Rug Pull e obtém fundos iniciais através de retiradas em uma determinada troca para criar o token Rug Pull e o respectivo pool de liquidez. Quando atraem um número suficiente de usuários ou bots de compra usando ETH para comprar o token Rug Pull, o grupo de Rug Pull usa outro endereço como o executor do Rug Pull (Rug Puller) para operar, transferindo os fundos obtidos para um endereço de retenção.
No processo acima, consideramos o ETH adquirido pelo Deployer através da exchange, ou o ETH investido pelo Deployer ao criar o pool de liquidez, como o custo do Rug Pull (a forma exata de cálculo depende do comportamento do Deployer). O ETH transferido pelo Rug Puller para o endereço de retenção de fundos (ou outro endereço de trânsito) após a conclusão do Rug Pull é considerado a receita desse Rug Pull.
É importante mencionar que, durante a execução do golpe, os grupos de Rug Pull também compram ativamente Tokens de Rug Pull que eles próprios criaram usando ETH, para simular atividades normais de pool de liquidez, atraindo assim robôs de compra. No entanto, esse custo não foi incluído nos cálculos, o que faz com que os dados superestimem o lucro real dos grupos de Rug Pull; o lucro real será relativamente mais baixo.
Na verdade, mesmo que os fundos finais sejam reunidos em diferentes endereços de retenção de fundos, devido às semelhanças significativas entre os casos associados a esses endereços (como a implementação de backdoor do Rug Pull, caminhos de cashout, etc.), ainda suspeitamos fortemente que esses endereços de retenção de fundos possam pertencer ao mesmo grupo.
ligação entre endereços de retenção de fundos de mineração
Um indicador importante para determinar se existe uma relação entre os endereços de retenção de fundos é verificar se há uma relação de transferência direta entre esses endereços. Para validar a relação entre os endereços de retenção de fundos,