Глибоке дослідження випадків Rug Pull, викриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви над тим, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають на порожньому місці. За останні кілька місяців команда з безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що токени, що беруть участь у цих випадках, без винятку є новими токенами, які лише-но були запущені в мережу.
Потім було проведено детальне розслідування цих випадків Rug Pull, в ході якого було виявлено, що за ними стоять організовані злочинні угруповання, і узагальнено їхні модельні характеристики шахрайств. Глибокий аналіз методів злочинної діяльності цих угруповань виявив один можливий шлях шахрайства від групи Rug Pull: групи Telegram. Ці угруповання використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до купівлі шахрайських токенів і в підсумку отримувати прибуток через Rug Pull.
Статистика токенів, надісланих у цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, показує, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що становить 49.53%. За статистикою, загальні витрати групи, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, а прибуток склав 282,699.96 ETH з дохідністю 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які надсилаються через групи Telegram, у мережі Ethereum, були зібрані дані про нові токени, випущені в тій же часовій рамці на основній мережі Ethereum. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, що надсилаються через групи Telegram, складають 89.99% від основної мережі. В середньому щодня народжується близько 370 нових токенів, що значно перевищує розумні очікування. Після постійних і глибоких розслідувань виявлена тривожна правда------ щонайменше 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що не лише на основній мережі Ethereum, але й безпека всього нового екосистеми токенів Web3 набагато серйозніша, ніж очікувалося. Тому була складена ця дослідна доповідь, яка сподівається допомогти всім членам Web3 підвищити обізнаність щодо запобігання ризикам, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим як офіційно розпочати цей звіт, давайте спершу ознайомимось з деякими базовими концепціями.
ERC-20 Токени є одним з найпоширеніших стандартів токенів на блокчейні. Він визначає набір специфікацій, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токенів, такі як переказ, перевірка балансу, надання дозволів третім особам на управління токенами тощо. Завдяки цьому стандартному протоколу розробники можуть легше випускати та керувати токенами, що спрощує процес створення та використання токенів. Насправді будь-яка особа або організація може випускати свої власні токени на основі стандарту ERC-20 та залучати стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 Токенів вони стали основою для багатьох ICO та децентралізованих фінансових проектів.
Ми звикли до USDT, PEPE, DOGE, які є токенами ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські угруповання також можуть самостійно випускати шкідливі токени ERC-20 з кодом для бекдору, викладати їх на децентралізовані біржі та спонукати користувачів до покупки.
Типові випадки шахрайства з токенами Rug Pull
Тут ми використовуємо випадок шахрайства з Токеном Rug Pull, щоб глибше зрозуміти моделі роботи зловмисного шахрайства з токенами. По-перше, слід зазначити, що Rug Pull - це шахрайська дія, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованих фінансових проєктах, що призводить до величезних втрат для інвесторів. Токени Rug Pull - це токени, що випускаються спеціально для здійснення таких шахрайських дій.
У цій статті згадуються токени Rug Pull, які іноді також називають "медовими банками (Honey Pot) токенами" або "схемами виходу (Exit Scam) токенами", але в подальшому ми будемо однаково називати їх токенами Rug Pull.
приклад
Атакувальники (група Rug Pull) використовують адресу Deployer для розгортання токена TOMMI, а потім створюють ліквідність пулу за допомогою 1,5 ETH та 100 000 000 токенів TOMMI, активно купуючи токени TOMMI з інших адрес, щоб підробити обсяги торгів в ліквідності пулу, щоб залучити користувачів та новачків на ланцюзі для покупки токенів TOMMI. Коли певна кількість новачків попадає в пастку, атакувальники використовують адресу Rug Puller для виконання Rug Pull, Rug Puller за допомогою 38 739 354 токенів TOMMI знищує ліквідність пулу, обмінюючи приблизно на 3,95 ETH. Токени Rug Puller походять з зловмисного дозволу на approve токена TOMMI, контракт токена TOMMI на момент розгортання надає Rug Puller права на approve ліквідності пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідності пулу, а потім виконувати Rug Pull.
Процес Rug Pull
Підготуйте кошти для атаки.
Зловмисник через одну з бірж поповнив рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.
Розгортання токенів Rug Pull з бекдором.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
Створення початкового ліквідного пулу.
Deployer використав 1,5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримавши близько 0,387 LP токенів.
Знищити всі попередньо видобуті обсяги Токенів.
Token Deployer надсилає всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей час Token Deployer теоретично вже втратив можливість Rug Pull. (Це також одна з необхідних умов для залучення роботів по новим токенам, деякі роботи оцінюють, чи існує ризик Rug Pull для нових токенів, що входять до пулу, Deployer також встановлює власника контракту на адресу 0, все це зроблено, щоб обдурити програми протидії шахрайству роботів по новим токенам).
Підробка обсягу торгів.
Зловмисники активно купували токени TOMMI з ліквідних пулів за допомогою кількох адрес, підвищуючи обсяги торгівлі пулом та додатково залучаючи боти для нових інвестицій (підстави для визначення цих адрес як маскування зловмисників: кошти на відповідних адресах походять з історичних адрес переказу коштів групи Rug Pull).
Зловмисник ініціює Rug Pull через адресу Rug Puller, безпосередньо виводячи 38,739,354 токенів з ліквідного пулу через заднє вікно токена, а потім використовує ці токени, щоб знищити пул, витягуючи приблизно 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.
Адреса для транзакцій відправляє кошти на адресу зберігання коштів. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де накопичуються кошти з великої кількості випадків Rug Pull, і вона буде розподіляти більшість отриманих коштів для початку нового раунду Rug Pull, в той час як решта невеликої суми коштів буде виведена через певну біржу.
Код для Rug Pull задня дверцята
Хоча зловмисники намагалися довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді вони залишили зловмисний бекдор у функції openTrading контракту токена TOMMI, цей бекдор дозволяє під час створення ліквідності пулу надавати адресі Rug Puller право на переказ токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідності пулу.
Моделізація злочинних дій
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує кошти через певну біржу: зловмисник спочатку надає джерело фінансування для адреси розробника (Deployer) через певну біржу.
Deployer створює ліквідні пул і знищує LP токени: деплоєр після створення токенів Rug Pull негайно створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідності пулу: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (звичайно, кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквідності пулу. В інших випадках, Rug Puller також має випадки, коли отримує ETH з пулу, видаляючи ліквідність.
Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу зберігання коштів: Rug Puller переміщує отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу для переходу.
Ці характеристики загалом присутні у випадках, які ми зафіксували, що вказує на очевидні патерни поведінки Rug Pull. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресі зберігання, що натякає на те, що за цими на перший погляд незалежними випадками Rug Pull може стояти одна і та ж група шахраїв або навіть одна і та ж банда.
На основі цих характеристик ми виділили модель поведінки Rug Pull і використали цю модель для сканування виявлених випадків, сподіваючись створити можливий портрет шахрайської групи.
Злочинна група Rug Pull
Адреса зберігання коштів для видобутку
Як зазначалося раніше, випадки Rug Pull зазвичай в кінці зводять кошти до адреси зберігання. На основі цієї моделі ми обрали кілька таких високоефективних адрес зберігання, у яких явно помітні риси методів злочинної діяльності.
У нашому полі зору є 7 адресів для зберігання коштів, пов'язаних із 1,124 випадками Rug Pull, які успішно були зафіксовані системою моніторингу атак в блокчейні. Групи Rug Pull після успішного здійснення шахрайства збирають незаконно отримані доходи на цих адресах для зберігання коштів. Ці адреси для зберігання коштів розподіляють накопичені кошти для створення нових токенів, маніпулювання ліквідністю та інших активностей у майбутніх схемах Rug Pull. Крім того, невелика частина накопичених коштів конвертується через певну біржу або платформу обміну.
У повному шахрайстві Rug Pull, група Rug Pull зазвичай використовує одну адресу як розробника токена Rug Pull (Deployer) і отримує стартовий капітал шляхом виведення коштів через певну біржу для створення токена Rug Pull та відповідного ліквідного пулу. Коли залучено достатню кількість користувачів або ботів для нових токенів, які купують токени Rug Pull за допомогою ETH, група Rug Pull використовує іншу адресу як виконавця Rug Pull (Rug Puller) для виконання операцій, переводячи отримані кошти на адресу зберігання коштів.
У вищезазначеному процесі ми вважаємо ETH, отриманий Deployer через біржу, або ETH, вкладений Deployer під час створення пулу ліквідності, вартістю Rug Pull (конкретний розрахунок залежить від дій Deployer). А ETH, який Rug Puller переміщує на адресу зберігання коштів (або іншу проміжну адресу) після завершення Rug Pull, вважається доходом від цього Rug Pull.
Необхідно зазначити, що банда Rug Pull під час здійснення шахрайства також активно використовує ETH для купівлі створених ними Токенів Rug Pull, щоб змоделювати нормальну активність ліквідності, залучаючи боти для купівлі новинок. Але ця частина витрат не була врахована в обчисленнях, тому дані завищують фактичний прибуток банди Rug Pull, реальний прибуток буде відносно нижчим.
Насправді, навіть якщо в кінцевому підсумку кошти були зібрані на різні адреси зберігання, ми все ще висловлюємо великі сумніви, що ці адреси зберігання можуть належати одній і тій же групі, оскільки між випадками, пов'язаними з цими адресами, існує велика кількість спільних рис (таких як способи реалізації бекдорів Rug Pull, шляхи виведення коштів тощо).
зв'язок між адресами зберігання видобуткових коштів
Важливим показником для визначення наявності зв'язку між адресами зберігання коштів є перевірка наявності прямого відношення переказів між цими адресами. Для перевірки зв'язку між адресами зберігання коштів,
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
4
Поділіться
Прокоментувати
0/400
LayerHopper
· 9год тому
Якщо є миша, то є і кіт.
Переглянути оригіналвідповісти на0
WhaleWatcher
· 9год тому
Сидіти і чекати, поки нові невдахи увійдуть в інвестиції
Переглянути оригіналвідповісти на0
ChainPoet
· 9год тому
криптосвіт невдахи必经之路?
Переглянути оригіналвідповісти на0
TradFiRefugee
· 9год тому
пастка глибока… я також майже попався на цей гачок
Дослідження нової екосистеми токенів Ethereum: 48% пов'язані з шахрайством Rug Pull, збитки досягають 800 мільйонів доларів
Глибоке дослідження випадків Rug Pull, викриття хаосу в екосистемі токенів Ethereum
Вступ
У світі Web3 постійно з'являються нові токени. Чи замислювалися ви над тим, скільки нових токенів випускається щодня? Чи безпечні ці нові токени?
Ці питання не виникають на порожньому місці. За останні кілька місяців команда з безпеки зафіксувала велику кількість випадків Rug Pull. Варто зазначити, що токени, що беруть участь у цих випадках, без винятку є новими токенами, які лише-но були запущені в мережу.
Потім було проведено детальне розслідування цих випадків Rug Pull, в ході якого було виявлено, що за ними стоять організовані злочинні угруповання, і узагальнено їхні модельні характеристики шахрайств. Глибокий аналіз методів злочинної діяльності цих угруповань виявив один можливий шлях шахрайства від групи Rug Pull: групи Telegram. Ці угруповання використовують функцію "New Token Tracer" в деяких групах, щоб залучити користувачів до купівлі шахрайських токенів і в підсумку отримувати прибуток через Rug Pull.
Статистика токенів, надісланих у цих групах Telegram з початку листопада 2023 року до початку серпня 2024 року, показує, що було надіслано 93,930 нових токенів, з яких 46,526 токенів пов'язані з Rug Pull, що становить 49.53%. За статистикою, загальні витрати групи, що стоять за цими токенами Rug Pull, становлять 149,813.72 ETH, а прибуток склав 282,699.96 ETH з дохідністю 188.7%, що еквівалентно приблизно 800 мільйонам доларів.
Щоб оцінити частку нових токенів, які надсилаються через групи Telegram, у мережі Ethereum, були зібрані дані про нові токени, випущені в тій же часовій рамці на основній мережі Ethereum. Дані показують, що за цей період було випущено 100,260 нових токенів, з яких токени, що надсилаються через групи Telegram, складають 89.99% від основної мережі. В середньому щодня народжується близько 370 нових токенів, що значно перевищує розумні очікування. Після постійних і глибоких розслідувань виявлена тривожна правда------ щонайменше 48,265 токенів пов'язані з шахрайством Rug Pull, що становить 48.14%. Іншими словами, майже кожен другий новий токен в мережі Ethereum пов'язаний з шахрайством.
Крім того, було виявлено більше випадків Rug Pull на інших блокчейн-мережах. Це означає, що не лише на основній мережі Ethereum, але й безпека всього нового екосистеми токенів Web3 набагато серйозніша, ніж очікувалося. Тому була складена ця дослідна доповідь, яка сподівається допомогти всім членам Web3 підвищити обізнаність щодо запобігання ризикам, залишатися насторожі перед численними шахрайствами та вчасно вжити необхідних запобіжних заходів для захисту своїх активів.
ERC-20 Токен
Перед тим як офіційно розпочати цей звіт, давайте спершу ознайомимось з деякими базовими концепціями.
ERC-20 Токени є одним з найпоширеніших стандартів токенів на блокчейні. Він визначає набір специфікацій, що дозволяє токенам взаємодіяти між різними смарт-контрактами та децентралізованими додатками (dApp). Стандарт ERC-20 встановлює основні функції токенів, такі як переказ, перевірка балансу, надання дозволів третім особам на управління токенами тощо. Завдяки цьому стандартному протоколу розробники можуть легше випускати та керувати токенами, що спрощує процес створення та використання токенів. Насправді будь-яка особа або організація може випускати свої власні токени на основі стандарту ERC-20 та залучати стартовий капітал для різних фінансових проектів через попередній продаж токенів. Саме завдяки широкому використанню ERC-20 Токенів вони стали основою для багатьох ICO та децентралізованих фінансових проектів.
Ми звикли до USDT, PEPE, DOGE, які є токенами ERC-20, користувачі можуть купувати ці токени через децентралізовані біржі. Проте деякі шахрайські угруповання також можуть самостійно випускати шкідливі токени ERC-20 з кодом для бекдору, викладати їх на децентралізовані біржі та спонукати користувачів до покупки.
Типові випадки шахрайства з токенами Rug Pull
Тут ми використовуємо випадок шахрайства з Токеном Rug Pull, щоб глибше зрозуміти моделі роботи зловмисного шахрайства з токенами. По-перше, слід зазначити, що Rug Pull - це шахрайська дія, коли команда проєкту раптово забирає кошти або відмовляється від проєкту в децентралізованих фінансових проєктах, що призводить до величезних втрат для інвесторів. Токени Rug Pull - це токени, що випускаються спеціально для здійснення таких шахрайських дій.
У цій статті згадуються токени Rug Pull, які іноді також називають "медовими банками (Honey Pot) токенами" або "схемами виходу (Exit Scam) токенами", але в подальшому ми будемо однаково називати їх токенами Rug Pull.
приклад
Атакувальники (група Rug Pull) використовують адресу Deployer для розгортання токена TOMMI, а потім створюють ліквідність пулу за допомогою 1,5 ETH та 100 000 000 токенів TOMMI, активно купуючи токени TOMMI з інших адрес, щоб підробити обсяги торгів в ліквідності пулу, щоб залучити користувачів та новачків на ланцюзі для покупки токенів TOMMI. Коли певна кількість новачків попадає в пастку, атакувальники використовують адресу Rug Puller для виконання Rug Pull, Rug Puller за допомогою 38 739 354 токенів TOMMI знищує ліквідність пулу, обмінюючи приблизно на 3,95 ETH. Токени Rug Puller походять з зловмисного дозволу на approve токена TOMMI, контракт токена TOMMI на момент розгортання надає Rug Puller права на approve ліквідності пулу, що дозволяє Rug Puller безпосередньо виводити токени TOMMI з ліквідності пулу, а потім виконувати Rug Pull.
Процес Rug Pull
Зловмисник через одну з бірж поповнив рахунок Token Deployer на 2.47309009ETH як стартовий капітал для Rug Pull.
Deployer створює токен TOMMI, попередньо видобуваючи 100,000,000 токенів та розподіляючи їх собі.
Deployer використав 1,5 ETH та всі попередньо видобуті токени для створення ліквідного пулу, отримавши близько 0,387 LP токенів.
Token Deployer надсилає всі LP Токени на адресу 0 для знищення, оскільки в контракті TOMMI немає функції Mint, тому в цей час Token Deployer теоретично вже втратив можливість Rug Pull. (Це також одна з необхідних умов для залучення роботів по новим токенам, деякі роботи оцінюють, чи існує ризик Rug Pull для нових токенів, що входять до пулу, Deployer також встановлює власника контракту на адресу 0, все це зроблено, щоб обдурити програми протидії шахрайству роботів по новим токенам).
Зловмисники активно купували токени TOMMI з ліквідних пулів за допомогою кількох адрес, підвищуючи обсяги торгівлі пулом та додатково залучаючи боти для нових інвестицій (підстави для визначення цих адрес як маскування зловмисників: кошти на відповідних адресах походять з історичних адрес переказу коштів групи Rug Pull).
Зловмисник ініціює Rug Pull через адресу Rug Puller, безпосередньо виводячи 38,739,354 токенів з ліквідного пулу через заднє вікно токена, а потім використовує ці токени, щоб знищити пул, витягуючи приблизно 3.95 Етер.
Зловмисник відправляє кошти, отримані від Rug Pull, на проміжну адресу.
Адреса для транзакцій відправляє кошти на адресу зберігання коштів. З цього ми можемо зрозуміти, що після завершення Rug Pull, Rug Puller відправляє кошти на певну адресу зберігання коштів. Адреса зберігання коштів є місцем, де накопичуються кошти з великої кількості випадків Rug Pull, і вона буде розподіляти більшість отриманих коштів для початку нового раунду Rug Pull, в той час як решта невеликої суми коштів буде виведена через певну біржу.
Код для Rug Pull задня дверцята
Хоча зловмисники намагалися довести зовнішньому світу, що вони не можуть здійснити Rug Pull, знищивши LP токени, насправді вони залишили зловмисний бекдор у функції openTrading контракту токена TOMMI, цей бекдор дозволяє під час створення ліквідності пулу надавати адресі Rug Puller право на переказ токенів, що дозволяє адресі Rug Puller безпосередньо виводити токени з ліквідності пулу.
Моделізація злочинних дій
Аналізуючи випадок TOMMI, ми можемо підсумувати такі 4 характеристики:
Deployer отримує кошти через певну біржу: зловмисник спочатку надає джерело фінансування для адреси розробника (Deployer) через певну біржу.
Deployer створює ліквідні пул і знищує LP токени: деплоєр після створення токенів Rug Pull негайно створює ліквідний пул і знищує LP токени, щоб підвищити довіру до проєкту та залучити більше інвесторів.
Rug Puller використовує велику кількість токенів для обміну на ETH у ліквідності пулу: адреса Rug Pull (Rug Puller) використовує велику кількість токенів (звичайно, кількість значно перевищує загальну пропозицію токенів) для обміну на ETH у ліквідності пулу. В інших випадках, Rug Puller також має випадки, коли отримує ETH з пулу, видаляючи ліквідність.
Rug Puller переміщує ETH, отриманий від Rug Pull, на адресу зберігання коштів: Rug Puller переміщує отриманий ETH на адресу зберігання коштів, іноді через проміжну адресу для переходу.
Ці характеристики загалом присутні у випадках, які ми зафіксували, що вказує на очевидні патерни поведінки Rug Pull. Крім того, після завершення Rug Pull кошти зазвичай збираються на адресі зберігання, що натякає на те, що за цими на перший погляд незалежними випадками Rug Pull може стояти одна і та ж група шахраїв або навіть одна і та ж банда.
На основі цих характеристик ми виділили модель поведінки Rug Pull і використали цю модель для сканування виявлених випадків, сподіваючись створити можливий портрет шахрайської групи.
Злочинна група Rug Pull
Адреса зберігання коштів для видобутку
Як зазначалося раніше, випадки Rug Pull зазвичай в кінці зводять кошти до адреси зберігання. На основі цієї моделі ми обрали кілька таких високоефективних адрес зберігання, у яких явно помітні риси методів злочинної діяльності.
У нашому полі зору є 7 адресів для зберігання коштів, пов'язаних із 1,124 випадками Rug Pull, які успішно були зафіксовані системою моніторингу атак в блокчейні. Групи Rug Pull після успішного здійснення шахрайства збирають незаконно отримані доходи на цих адресах для зберігання коштів. Ці адреси для зберігання коштів розподіляють накопичені кошти для створення нових токенів, маніпулювання ліквідністю та інших активностей у майбутніх схемах Rug Pull. Крім того, невелика частина накопичених коштів конвертується через певну біржу або платформу обміну.
У повному шахрайстві Rug Pull, група Rug Pull зазвичай використовує одну адресу як розробника токена Rug Pull (Deployer) і отримує стартовий капітал шляхом виведення коштів через певну біржу для створення токена Rug Pull та відповідного ліквідного пулу. Коли залучено достатню кількість користувачів або ботів для нових токенів, які купують токени Rug Pull за допомогою ETH, група Rug Pull використовує іншу адресу як виконавця Rug Pull (Rug Puller) для виконання операцій, переводячи отримані кошти на адресу зберігання коштів.
У вищезазначеному процесі ми вважаємо ETH, отриманий Deployer через біржу, або ETH, вкладений Deployer під час створення пулу ліквідності, вартістю Rug Pull (конкретний розрахунок залежить від дій Deployer). А ETH, який Rug Puller переміщує на адресу зберігання коштів (або іншу проміжну адресу) після завершення Rug Pull, вважається доходом від цього Rug Pull.
Необхідно зазначити, що банда Rug Pull під час здійснення шахрайства також активно використовує ETH для купівлі створених ними Токенів Rug Pull, щоб змоделювати нормальну активність ліквідності, залучаючи боти для купівлі новинок. Але ця частина витрат не була врахована в обчисленнях, тому дані завищують фактичний прибуток банди Rug Pull, реальний прибуток буде відносно нижчим.
Насправді, навіть якщо в кінцевому підсумку кошти були зібрані на різні адреси зберігання, ми все ще висловлюємо великі сумніви, що ці адреси зберігання можуть належати одній і тій же групі, оскільки між випадками, пов'язаними з цими адресами, існує велика кількість спільних рис (таких як способи реалізації бекдорів Rug Pull, шляхи виведення коштів тощо).
зв'язок між адресами зберігання видобуткових коштів
Важливим показником для визначення наявності зв'язку між адресами зберігання коштів є перевірка наявності прямого відношення переказів між цими адресами. Для перевірки зв'язку між адресами зберігання коштів,