Web3 dünyasında yeni tokenler sürekli ortaya çıkıyor. Her gün gerçekten ne kadar yeni tokenin piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni tokenler güvenli mi?
Bu soruların ortaya çıkması boşuna değil. Son birkaç ay içinde, güvenlik ekibi çok sayıda Rug Pull işlem vakası tespit etti. Dikkate değer olan, bu vakalarda yer alan tokenlerin hepsinin yeni bir şekilde zincire eklenmiş tokenler olması.
Ardından, bu Rug Pull vakaları derinlemesine incelendi ve arkasında organize bir suç çetesi olduğu ortaya çıktı; bu dolandırıcılıkların kalıplaşmış özellikleri derlendi. Bu çetelerin suç işleme yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolunu keşfettik: Telegram grupları. Bu çeteler, bazı gruplardaki "New Token Tracer" işlevini kullanarak kullanıcıları dolandırıcılık Token'ları satın almaya çekiyor ve nihayetinde Rug Pull ile kâr elde ediyor.
2023 yılı Kasım ayından 2024 yılı Ağustos ayının başına kadar bu Telegram gruplarının Token gönderim bilgilerini istatistiksel olarak inceledik, toplamda 93,930 yeni Token gönderildiği ve bunlar arasında Rug Pull ile ilgili 46,526 Token bulunduğu, bu oranın %49.53'e ulaştığı tespit edildi. İstatistiklere göre, bu Rug Pull Token'ların arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 Eter olup, %188.7'ye varan bir getiri oranıyla 282,699.96 Eter kazanç sağladığı, bu da yaklaşık 800 milyon dolara denk geliyor.
Telegram grubunun gönderdiği yeni Token'ların Ethereum ana ağındaki oranını değerlendirmek için, aynı zaman diliminde Ethereum ana ağında ihraç edilen yeni Token verileri istatistiklere alındı. Veriler, bu süre zarfında toplam 100,260 yeni Token'ın ihraç edildiğini ve bunların %89.99'unun Telegram grubundan gönderilen Token'lar olduğunu gösteriyor. Ortalama olarak, her gün yaklaşık 370 yeni Token doğuyor ve bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine araştırmalar sonucunda ortaya çıkan gerçek rahatsız edici - bunların en az 48,265'i Rug Pull dolandırıcılığına karışmış olup, oranı %48.14'e kadar çıkmaktadır. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni Token'dan biri dolandırıcılık içeriyor.
Ayrıca, diğer blok zinciri ağlarında daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağı değil, tüm Web3'te yeni çıkarılan token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğunu göstermektedir. Bu araştırma raporunu yazmamızın nedeni, tüm Web3 üyelerinin önlem alma bilincini artırmalarına yardımcı olmak, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli kalmalarını sağlamak ve zamanında gerekli önlemleri alarak varlık güvenliklerini korumaktır.
ERC-20 Token
Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.
ERC-20 Token, blockchain üzerindeki en yaygın token standartlarından biridir ve tokenların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında etkileşimde bulunabilmesi için bir dizi standart tanımlar. ERC-20 standardı tokenların temel işlevlerini belirler, örneğin transfer, bakiye sorgulama, üçüncü tarafların token yönetimini yetkilendirme gibi. Bu standartlaştırılmış protokol sayesinde, geliştiriciler tokenları daha kolay bir şekilde yayımlayıp yönetebilir, böylece token yaratımını ve kullanımını basitleştirir. Gerçekten de, herhangi bir birey veya organizasyon ERC-20 standardına dayanarak kendi token'ını yayımlayabilir ve çeşitli finansal projeler için başlangıç sermayesi toplamak amacıyla token ön satışları yapabilir. ERC-20 Token'ın geniş kapsamlı kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.
Bizim tanıdığımız USDT, PEPE, DOGE, ERC-20 Token'larına aittir. Kullanıcılar bu Token'ları merkeziyetsiz borsa üzerinden satın alabilirler. Ancak, bazı dolandırıcılık çeteleri kendi arka kapılı kötü niyetli ERC-20 Token'larını çıkarabilir, bunları merkeziyetsiz borsa üzerinde listeleyebilir ve kullanıcıları satın almaya teşvik edebilir.
Rug Pull Token'ların Tipik Dolandırıcılık Vakaları
Burada, bir Rug Pull Token dolandırıcılık vakasından yararlanarak, kötü niyetli Token dolandırıcılıklarının işletim modelini derinlemesine inceleyeceğiz. İlk olarak, Rug Pull'un, proje ekibinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeden vazgeçmesi sonucu yatırımcıların büyük kayıplar yaşadığı bir dolandırıcılık faaliyeti olduğunu belirtmek gerekir. Rug Pull Token ise, bu tür dolandırıcılık faaliyetlerini gerçekleştirmek üzere özel olarak çıkarılan Token'dır.
Bu yazıda bahsedilen Rug Pull Token'ları, bazen "Honey Pot Token" veya "Exit Scam Token" olarak da adlandırılmaktadır, ancak aşağıda bunları Rug Pull Token olarak adlandıracağız.
örnek
Saldırganlar (Rug Pull çetesi) Deployer adresi ile TOMMI Token'ını dağıttı, ardından 1.5 ETH ve 100.000.000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden aktif olarak TOMMI Token'ını satın alarak sahte bir likidite havuzu işlem hacmi oluşturdu ve kullanıcıları ve zincirdeki yeni token alım botlarını TOMMI Token'ını satın almaya çekti. Belirli sayıda yeni token alım botu tuzağa düştüğünde, saldırgan Rug Puller adresini kullanarak Rug Pull'u gerçekleştirdi, Rug Puller 38.739.354 TOMMI Token'ını likidite havuzunu çökertmek için kullandı ve yaklaşık 3.95 ETH ile takas etti. Rug Puller'ın token kaynağı, TOMMI Token sözleşmesinin kötü niyetli Onay yetkisi ile geldi; TOMMI Token sözleşmesi dağıtılırken Rug Puller'a likidite havuzuna onay yetkisi verilir, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI Token'larını çekip Rug Pull gerçekleştirmesine olanak tanır.
Rug Pull süreci
Saldırı fonlarını hazırlayın.
Saldırgan, bir borsa aracılığıyla, Rug Pull'u başlatmak için 2.47309009 Eter miktarında Token Deployer'a para yatırdı.
Arka kapı içeren Rug Pull Token'ı dağıtın.
Deployer, 100.000.000 Token ön madenciliği yaparak bunları kendisine tahsis etti.
İlk likidite havuzunu oluşturun.
Deployer, 1.5 Eter ve önceden madenciliği yapılmış tüm Token'ları kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı aldı.
Tüm ön madencilik Token arzını imha et.
Token Deployer, tüm LP tokenlerini 0 adrese göndererek imha eder. TOMMI sözleşmesinde Mint işlevi olmadığı için, bu noktada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. (Bu, yeni token alım robotlarının sahaya girmesi için gerekli koşullardan biridir; bazı yeni token alım robotları, yeni havuza eklenen tokenlerin Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca sözleşmenin sahibi olarak 0 adresini ayarlayarak, yeni token alım robotlarının dolandırıcılık önleme programını atlatmaya çalışır.)
Sahte işlem hacmi.
Saldırganlar, likidite havuzundan TOMMI Token satın almak için birden fazla adres kullanarak havuzun işlem hacmini artırıyor ve bu da yeni işlem botlarının girmesini daha da çekiyor (bu adreslerin saldırganlar tarafından gizlendiğinin kanıtı: ilgili adreslerin fonları Rug Pull çetesi tarafından geçmişte kullanılan fon transfer adreslerinden geliyor).
Saldırgan, Rug Puller adresi aracılığıyla Rug Pull başlatarak, token'ın arka kapısından doğrudan likidite havuzundan 38,739,354 adet Token transfer etti ve ardından bu Token'ları havuzu çökertmek için kullandı, yaklaşık 3.95 Eter çıkardı.
Saldırgan, Rug Pull'dan elde edilen fonları transfer adresine gönderir.
Transfer adresi fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları belirli bir fon saklama adresine göndereceğini görebiliriz. Fon saklama adresi, izlenen birçok Rug Pull vakasının fon toplama yeri olup, alınan fonların büyük bir kısmını yeni bir Rug Pull başlatmak için bölerken, geriye kalan az miktardaki fonlar belirli bir borsa üzerinden çekilecektir.
Rug Pull kod kapısı
Saldırganlar, LP token'larını yok ederek dışarıya Rug Pull yapamayacaklarını kanıtlamaya çalışsalar da, aslında TOMMI token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir onay arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzunu oluştururken likidite havuzunun Rug Puller adresine token'ların transfer iznini onaylamasına olanak tanır, böylece Rug Puller adresi doğrudan likidite havuzundan token'ları alabilir.
suç işleme modeli
TOMMI vakasını analiz ederek aşağıdaki 4 özelliği özetleyebiliriz:
Deployer, bir borsa aracılığıyla fon elde eder: Saldırgan öncelikle bir borsa aracılığıyla Deployer adresine (Deployer) fon kaynağı sağlar.
Deployer, likidite havuzunu oluşturur ve LP Token'ları yok eder: Rug Pull token'ını oluşturduktan sonra, dağıtıcı hemen onun için bir likidite havuzu oluşturur ve LP Token'ları yok eder, bu da projenin güvenilirliğini artırır ve daha fazla yatırımcıyı çeker.
Rug Puller, likidite havuzundaki ETH için büyük miktarda token değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda token kullanır (genellikle miktar token toplam arzını çok aşar). Diğer durumlarda, Rug Puller, havuzdaki ETH'yi almak için likiditeyi kaldırarak da hareket edebilir.
Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine aktarır: Rug Puller elde ettiği ETH'yi fon saklama adresine aktarır, bazen ara adresler üzerinden geçiş yaparak.
Yukarıda belirtilen bu özellikler, yakaladığımız vakalarda yaygın olarak bulunmaktadır ve Rug Pull davranışlarının belirgin bir model özelliğine sahip olduğunu göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu, bu görünüşte bağımsız Rug Pull vakalarının arkasında muhtemelen aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini ima etmektedir.
Bu özelliklere dayanarak, bir Rug Pull davranış modeli çıkardık ve bu modeli izlenen vakaları taramak için kullandık; amacımız olası dolandırıcılık çetelerinin profillerini oluşturmaktı.
Rug Pull Suç Çetesi
Madencilik fonu saklama adresi
Yukarıda belirtildiği gibi, Rug Pull vakaları genellikle en sonunda fonları fon saklama adresine toplar. Bu modele dayanarak, bu yüksek derecede aktif olan ve ilişkilendirilmiş vakaların suç işleme yöntemlerinin belirgin olduğu birkaç fon saklama adresini derinlemesine analiz ettik.
Görüş alanımıza giren toplam 7 adet fon saklama adresi bulunmaktadır. Bu adreslerle ilişkili Rug Pull vakalarının sayısı 1.124'tür ve bunlar, zincir üzerindeki saldırı izleme sistemi tarafından başarıyla tespit edilmiştir. Rug Pull çeteleri, dolandırıcılıklarını başarıyla gerçekleştirdikten sonra, yasa dışı kazançlarını bu fon saklama adreslerinde toplar. Bu fon saklama adresleri, birikmiş fonları bölerek, gelecekteki yeni Rug Pull dolandırıcılıklarında yeni Token oluşturmak, likidite havuzlarını manipüle etmek gibi faaliyetler için kullanır. Ayrıca, bir miktar birikmiş fon ise belirli bir borsa veya anlık takas platformu aracılığıyla nakde çevrilir.
Tam bir Rug Pull dolandırıcılığı sırasında, Rug Pull çetesi genellikle bir adresi Rug Pull token'ının dağıtımcısı (Deployer) olarak kullanır ve bir borsa aracılığıyla para çekerek başlangıç sermayesini temin eder. Yeterli sayıda kullanıcı veya yeni token satın alma botlarının ETH ile Rug Pull token'ı satın alması sağlandığında, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak hareket eder ve elde edilen fonları bir fon saklama adresine transfer eder.
Yukarıdaki süreçte, Deployer'ın borsa aracılığıyla elde ettiği ETH'yi veya Deployer'ın likidite havuzunu oluştururken yatırdığı ETH'yi Rug Pull maliyeti olarak değerlendireceğiz (hesaplama şekli Deployer'ın davranışına bağlıdır). Rug Puller, Rug Pull'u tamamladıktan sonra fonların saklandığı adrese (veya başka bir transfer adresine) aktardığı ETH ise o Rug Pull'un geliri olarak kabul edilir.
Şunu belirtmek gerekir ki, Rug Pull çeteleri dolandırıcılık gerçekleştirirken, normal likidite havuzu faaliyetlerini simüle etmek için kendi oluşturdukları Rug Pull Token'larını satın almak amacıyla ETH kullanmaktadır. Bu nedenle, bu maliyet hesaplamaya dahil edilmemiştir ve bu da verilerin Rug Pull çetelerinin gerçek kârını abartmasına yol açmaktadır; gerçek kâr görece daha düşük olacaktır.
Aslında, nihai fonlar farklı fon saklama adreslerine toplandığında bile, bu adreslerle ilişkili vakalar arasında Rug Pull'ün arka kapı uygulama yöntemleri, nakit çıkış yolları gibi birçok ortaklık bulunduğundan, bu fon saklama adreslerinin arkasında muhtemelen aynı çeteye ait olduğunu yüksek bir şüpheyle değerlendiriyoruz.
madencilik fonu saklama adresleri arasındaki ilişki
Fonların tutulduğu adresler arasında bir ilişki olup olmadığını belirlemenin önemli bir göstergesi, bu adresler arasında doğrudan bir transfer ilişkisi olup olmadığını kontrol etmektir. Fonların tutulduğu adresler arasındaki ilişkiyi doğrulamak için,
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
4
Share
Comment
0/400
LayerHopper
· 3h ago
RATS varsa, kedi de vardır.
View OriginalReply0
WhaleWatcher
· 3h ago
Yeni enayilerin yatırım yapmak için girmesini bekliyorum.
View OriginalReply0
ChainPoet
· 3h ago
kripto dünyası enayiler必经之路?
View OriginalReply0
TradFiRefugee
· 3h ago
Tuzak derinmiş... Ben de neredeyse bu zararı gördüm.
Ethereum yeni Token ekosisteminin büyük araştırması: %48 Rug Pull dolandırıcılığına karıştı, kayıplar 800 milyon dolara ulaştı.
Rug Pull vakalarının derinlemesine incelenmesi, Ethereum Token ekosistemindeki kaosun ortaya çıkarılması
Giriş
Web3 dünyasında yeni tokenler sürekli ortaya çıkıyor. Her gün gerçekten ne kadar yeni tokenin piyasaya sürüldüğünü hiç düşündünüz mü? Bu yeni tokenler güvenli mi?
Bu soruların ortaya çıkması boşuna değil. Son birkaç ay içinde, güvenlik ekibi çok sayıda Rug Pull işlem vakası tespit etti. Dikkate değer olan, bu vakalarda yer alan tokenlerin hepsinin yeni bir şekilde zincire eklenmiş tokenler olması.
Ardından, bu Rug Pull vakaları derinlemesine incelendi ve arkasında organize bir suç çetesi olduğu ortaya çıktı; bu dolandırıcılıkların kalıplaşmış özellikleri derlendi. Bu çetelerin suç işleme yöntemlerini derinlemesine analiz ederek, Rug Pull çetelerinin olası bir dolandırıcılık tanıtım yolunu keşfettik: Telegram grupları. Bu çeteler, bazı gruplardaki "New Token Tracer" işlevini kullanarak kullanıcıları dolandırıcılık Token'ları satın almaya çekiyor ve nihayetinde Rug Pull ile kâr elde ediyor.
2023 yılı Kasım ayından 2024 yılı Ağustos ayının başına kadar bu Telegram gruplarının Token gönderim bilgilerini istatistiksel olarak inceledik, toplamda 93,930 yeni Token gönderildiği ve bunlar arasında Rug Pull ile ilgili 46,526 Token bulunduğu, bu oranın %49.53'e ulaştığı tespit edildi. İstatistiklere göre, bu Rug Pull Token'ların arkasındaki çetelerin toplam yatırım maliyeti 149,813.72 Eter olup, %188.7'ye varan bir getiri oranıyla 282,699.96 Eter kazanç sağladığı, bu da yaklaşık 800 milyon dolara denk geliyor.
Telegram grubunun gönderdiği yeni Token'ların Ethereum ana ağındaki oranını değerlendirmek için, aynı zaman diliminde Ethereum ana ağında ihraç edilen yeni Token verileri istatistiklere alındı. Veriler, bu süre zarfında toplam 100,260 yeni Token'ın ihraç edildiğini ve bunların %89.99'unun Telegram grubundan gönderilen Token'lar olduğunu gösteriyor. Ortalama olarak, her gün yaklaşık 370 yeni Token doğuyor ve bu da makul beklentilerin çok üzerinde. Sürekli derinlemesine araştırmalar sonucunda ortaya çıkan gerçek rahatsız edici - bunların en az 48,265'i Rug Pull dolandırıcılığına karışmış olup, oranı %48.14'e kadar çıkmaktadır. Başka bir deyişle, Ethereum ana ağında neredeyse her iki yeni Token'dan biri dolandırıcılık içeriyor.
Ayrıca, diğer blok zinciri ağlarında daha fazla Rug Pull vakası tespit edilmiştir. Bu, yalnızca Ethereum ana ağı değil, tüm Web3'te yeni çıkarılan token ekosisteminin güvenlik durumunun beklenenden çok daha ciddi olduğunu göstermektedir. Bu araştırma raporunu yazmamızın nedeni, tüm Web3 üyelerinin önlem alma bilincini artırmalarına yardımcı olmak, sürekli ortaya çıkan dolandırıcılıklara karşı dikkatli kalmalarını sağlamak ve zamanında gerekli önlemleri alarak varlık güvenliklerini korumaktır.
ERC-20 Token
Bu rapora resmi olarak başlamadan önce, bazı temel kavramları anlamaya başlayalım.
ERC-20 Token, blockchain üzerindeki en yaygın token standartlarından biridir ve tokenların farklı akıllı sözleşmeler ve merkeziyetsiz uygulamalar (dApp) arasında etkileşimde bulunabilmesi için bir dizi standart tanımlar. ERC-20 standardı tokenların temel işlevlerini belirler, örneğin transfer, bakiye sorgulama, üçüncü tarafların token yönetimini yetkilendirme gibi. Bu standartlaştırılmış protokol sayesinde, geliştiriciler tokenları daha kolay bir şekilde yayımlayıp yönetebilir, böylece token yaratımını ve kullanımını basitleştirir. Gerçekten de, herhangi bir birey veya organizasyon ERC-20 standardına dayanarak kendi token'ını yayımlayabilir ve çeşitli finansal projeler için başlangıç sermayesi toplamak amacıyla token ön satışları yapabilir. ERC-20 Token'ın geniş kapsamlı kullanımı nedeniyle, birçok ICO ve merkeziyetsiz finans projesinin temeli haline gelmiştir.
Bizim tanıdığımız USDT, PEPE, DOGE, ERC-20 Token'larına aittir. Kullanıcılar bu Token'ları merkeziyetsiz borsa üzerinden satın alabilirler. Ancak, bazı dolandırıcılık çeteleri kendi arka kapılı kötü niyetli ERC-20 Token'larını çıkarabilir, bunları merkeziyetsiz borsa üzerinde listeleyebilir ve kullanıcıları satın almaya teşvik edebilir.
Rug Pull Token'ların Tipik Dolandırıcılık Vakaları
Burada, bir Rug Pull Token dolandırıcılık vakasından yararlanarak, kötü niyetli Token dolandırıcılıklarının işletim modelini derinlemesine inceleyeceğiz. İlk olarak, Rug Pull'un, proje ekibinin merkeziyetsiz finans projelerinde aniden fonları çekmesi veya projeden vazgeçmesi sonucu yatırımcıların büyük kayıplar yaşadığı bir dolandırıcılık faaliyeti olduğunu belirtmek gerekir. Rug Pull Token ise, bu tür dolandırıcılık faaliyetlerini gerçekleştirmek üzere özel olarak çıkarılan Token'dır.
Bu yazıda bahsedilen Rug Pull Token'ları, bazen "Honey Pot Token" veya "Exit Scam Token" olarak da adlandırılmaktadır, ancak aşağıda bunları Rug Pull Token olarak adlandıracağız.
örnek
Saldırganlar (Rug Pull çetesi) Deployer adresi ile TOMMI Token'ını dağıttı, ardından 1.5 ETH ve 100.000.000 TOMMI ile bir likidite havuzu oluşturdu ve diğer adreslerden aktif olarak TOMMI Token'ını satın alarak sahte bir likidite havuzu işlem hacmi oluşturdu ve kullanıcıları ve zincirdeki yeni token alım botlarını TOMMI Token'ını satın almaya çekti. Belirli sayıda yeni token alım botu tuzağa düştüğünde, saldırgan Rug Puller adresini kullanarak Rug Pull'u gerçekleştirdi, Rug Puller 38.739.354 TOMMI Token'ını likidite havuzunu çökertmek için kullandı ve yaklaşık 3.95 ETH ile takas etti. Rug Puller'ın token kaynağı, TOMMI Token sözleşmesinin kötü niyetli Onay yetkisi ile geldi; TOMMI Token sözleşmesi dağıtılırken Rug Puller'a likidite havuzuna onay yetkisi verilir, bu da Rug Puller'ın doğrudan likidite havuzundan TOMMI Token'larını çekip Rug Pull gerçekleştirmesine olanak tanır.
Rug Pull süreci
Saldırgan, bir borsa aracılığıyla, Rug Pull'u başlatmak için 2.47309009 Eter miktarında Token Deployer'a para yatırdı.
Deployer, 100.000.000 Token ön madenciliği yaparak bunları kendisine tahsis etti.
Deployer, 1.5 Eter ve önceden madenciliği yapılmış tüm Token'ları kullanarak bir likidite havuzu oluşturdu ve yaklaşık 0.387 LP Token'ı aldı.
Token Deployer, tüm LP tokenlerini 0 adrese göndererek imha eder. TOMMI sözleşmesinde Mint işlevi olmadığı için, bu noktada Token Deployer teorik olarak Rug Pull yeteneğini kaybetmiştir. (Bu, yeni token alım robotlarının sahaya girmesi için gerekli koşullardan biridir; bazı yeni token alım robotları, yeni havuza eklenen tokenlerin Rug Pull riski taşıyıp taşımadığını değerlendirir. Deployer ayrıca sözleşmenin sahibi olarak 0 adresini ayarlayarak, yeni token alım robotlarının dolandırıcılık önleme programını atlatmaya çalışır.)
Saldırganlar, likidite havuzundan TOMMI Token satın almak için birden fazla adres kullanarak havuzun işlem hacmini artırıyor ve bu da yeni işlem botlarının girmesini daha da çekiyor (bu adreslerin saldırganlar tarafından gizlendiğinin kanıtı: ilgili adreslerin fonları Rug Pull çetesi tarafından geçmişte kullanılan fon transfer adreslerinden geliyor).
Saldırgan, Rug Puller adresi aracılığıyla Rug Pull başlatarak, token'ın arka kapısından doğrudan likidite havuzundan 38,739,354 adet Token transfer etti ve ardından bu Token'ları havuzu çökertmek için kullandı, yaklaşık 3.95 Eter çıkardı.
Saldırgan, Rug Pull'dan elde edilen fonları transfer adresine gönderir.
Transfer adresi fonları fon saklama adresine gönderir. Buradan, Rug Pull tamamlandığında, Rug Puller'ın fonları belirli bir fon saklama adresine göndereceğini görebiliriz. Fon saklama adresi, izlenen birçok Rug Pull vakasının fon toplama yeri olup, alınan fonların büyük bir kısmını yeni bir Rug Pull başlatmak için bölerken, geriye kalan az miktardaki fonlar belirli bir borsa üzerinden çekilecektir.
Rug Pull kod kapısı
Saldırganlar, LP token'larını yok ederek dışarıya Rug Pull yapamayacaklarını kanıtlamaya çalışsalar da, aslında TOMMI token sözleşmesinin openTrading fonksiyonunda kötü niyetli bir onay arka kapısı bırakmışlardır. Bu arka kapı, likidite havuzunu oluştururken likidite havuzunun Rug Puller adresine token'ların transfer iznini onaylamasına olanak tanır, böylece Rug Puller adresi doğrudan likidite havuzundan token'ları alabilir.
suç işleme modeli
TOMMI vakasını analiz ederek aşağıdaki 4 özelliği özetleyebiliriz:
Deployer, bir borsa aracılığıyla fon elde eder: Saldırgan öncelikle bir borsa aracılığıyla Deployer adresine (Deployer) fon kaynağı sağlar.
Deployer, likidite havuzunu oluşturur ve LP Token'ları yok eder: Rug Pull token'ını oluşturduktan sonra, dağıtıcı hemen onun için bir likidite havuzu oluşturur ve LP Token'ları yok eder, bu da projenin güvenilirliğini artırır ve daha fazla yatırımcıyı çeker.
Rug Puller, likidite havuzundaki ETH için büyük miktarda token değiştirir: Rug Pull adresi (Rug Puller), likidite havuzundaki ETH'yi değiştirmek için büyük miktarda token kullanır (genellikle miktar token toplam arzını çok aşar). Diğer durumlarda, Rug Puller, havuzdaki ETH'yi almak için likiditeyi kaldırarak da hareket edebilir.
Rug Puller, Rug Pull ile elde edilen ETH'yi fon saklama adresine aktarır: Rug Puller elde ettiği ETH'yi fon saklama adresine aktarır, bazen ara adresler üzerinden geçiş yaparak.
Yukarıda belirtilen bu özellikler, yakaladığımız vakalarda yaygın olarak bulunmaktadır ve Rug Pull davranışlarının belirgin bir model özelliğine sahip olduğunu göstermektedir. Ayrıca, Rug Pull tamamlandıktan sonra, fonlar genellikle bir fon saklama adresine toplanır; bu, bu görünüşte bağımsız Rug Pull vakalarının arkasında muhtemelen aynı grup veya hatta aynı dolandırıcılık çetesi ile ilgili olabileceğini ima etmektedir.
Bu özelliklere dayanarak, bir Rug Pull davranış modeli çıkardık ve bu modeli izlenen vakaları taramak için kullandık; amacımız olası dolandırıcılık çetelerinin profillerini oluşturmaktı.
Rug Pull Suç Çetesi
Madencilik fonu saklama adresi
Yukarıda belirtildiği gibi, Rug Pull vakaları genellikle en sonunda fonları fon saklama adresine toplar. Bu modele dayanarak, bu yüksek derecede aktif olan ve ilişkilendirilmiş vakaların suç işleme yöntemlerinin belirgin olduğu birkaç fon saklama adresini derinlemesine analiz ettik.
Görüş alanımıza giren toplam 7 adet fon saklama adresi bulunmaktadır. Bu adreslerle ilişkili Rug Pull vakalarının sayısı 1.124'tür ve bunlar, zincir üzerindeki saldırı izleme sistemi tarafından başarıyla tespit edilmiştir. Rug Pull çeteleri, dolandırıcılıklarını başarıyla gerçekleştirdikten sonra, yasa dışı kazançlarını bu fon saklama adreslerinde toplar. Bu fon saklama adresleri, birikmiş fonları bölerek, gelecekteki yeni Rug Pull dolandırıcılıklarında yeni Token oluşturmak, likidite havuzlarını manipüle etmek gibi faaliyetler için kullanır. Ayrıca, bir miktar birikmiş fon ise belirli bir borsa veya anlık takas platformu aracılığıyla nakde çevrilir.
Tam bir Rug Pull dolandırıcılığı sırasında, Rug Pull çetesi genellikle bir adresi Rug Pull token'ının dağıtımcısı (Deployer) olarak kullanır ve bir borsa aracılığıyla para çekerek başlangıç sermayesini temin eder. Yeterli sayıda kullanıcı veya yeni token satın alma botlarının ETH ile Rug Pull token'ı satın alması sağlandığında, Rug Pull çetesi başka bir adresi Rug Pull uygulayıcısı (Rug Puller) olarak kullanarak hareket eder ve elde edilen fonları bir fon saklama adresine transfer eder.
Yukarıdaki süreçte, Deployer'ın borsa aracılığıyla elde ettiği ETH'yi veya Deployer'ın likidite havuzunu oluştururken yatırdığı ETH'yi Rug Pull maliyeti olarak değerlendireceğiz (hesaplama şekli Deployer'ın davranışına bağlıdır). Rug Puller, Rug Pull'u tamamladıktan sonra fonların saklandığı adrese (veya başka bir transfer adresine) aktardığı ETH ise o Rug Pull'un geliri olarak kabul edilir.
Şunu belirtmek gerekir ki, Rug Pull çeteleri dolandırıcılık gerçekleştirirken, normal likidite havuzu faaliyetlerini simüle etmek için kendi oluşturdukları Rug Pull Token'larını satın almak amacıyla ETH kullanmaktadır. Bu nedenle, bu maliyet hesaplamaya dahil edilmemiştir ve bu da verilerin Rug Pull çetelerinin gerçek kârını abartmasına yol açmaktadır; gerçek kâr görece daha düşük olacaktır.
Aslında, nihai fonlar farklı fon saklama adreslerine toplandığında bile, bu adreslerle ilişkili vakalar arasında Rug Pull'ün arka kapı uygulama yöntemleri, nakit çıkış yolları gibi birçok ortaklık bulunduğundan, bu fon saklama adreslerinin arkasında muhtemelen aynı çeteye ait olduğunu yüksek bir şüpheyle değerlendiriyoruz.
madencilik fonu saklama adresleri arasındaki ilişki
Fonların tutulduğu adresler arasında bir ilişki olup olmadığını belirlemenin önemli bir göstergesi, bu adresler arasında doğrudan bir transfer ilişkisi olup olmadığını kontrol etmektir. Fonların tutulduğu adresler arasındaki ilişkiyi doğrulamak için,