Web3代幣生態亂象調查報告

簡介

在Web3世界中,新代幣層出不窮。每天究竟有多少新代幣發行?這些新代幣都安全嗎?

這些疑問並非無由。近期,安全團隊捕獲了大量涉及新上鏈代幣的Rug Pull案例。深入調查發現,這些案例背後存在組織化的犯罪團夥,並呈現出模式化特徵。進一步分析揭示,這些團夥可能通過Telegram羣組中的"新代幣追蹤"功能進行詐騙推廣。

統計顯示,2023年11月至2024年8月期間,相關Telegram羣組共推送93,930種新代幣,其中46,526種涉及Rug Pull,佔比49.53%。這些Rug Pull代幣背後團夥投入成本149,813.72 ETH,以188.7%的回報率牟利282,699.96 ETH,折合約8億美元。

爲評估Telegram羣組推送代幣在以太坊主網中的佔比,統計了同期以太坊主網上發行的新代幣數據。結果顯示,共有100,260種新代幣發行,Telegram羣組推送的代幣佔89.99%。平均每天約370種新代幣誕生,遠超合理預期。深入調查發現,至少48,265種代幣涉及Rug Pull詐騙,佔比48.14%。換言之,以太坊主網上幾乎每兩個新代幣中就有一個涉及詐騙。

此外,其他區塊鏈網路中也發現了更多Rug Pull案例。這表明整個Web3新發代幣生態的安全形勢比預期更爲嚴峻。本報告旨在提升Web3社區防範意識,呼籲各方保持警惕,採取必要預防措施,保護資產安全。

ERC-20代幣簡介

ERC-20是區塊鏈上最常見的代幣標準之一,定義了一組規範,使代幣可在不同智能合約和dApp間互操作。它規定了代幣的基本功能,如轉帳、查詢餘額、授權第三方管理等。這一標準簡化了代幣的創建和使用。任何個人或組織都可基於ERC-20標準發行代幣,並通過預售爲項目籌集資金。

USDT、PEPE、DOGE等都屬於ERC-20代幣,可通過去中心化交易所購買。然而,某些詐騙團夥可能發行帶後門的惡意ERC-20代幣,將其上架交易所誘導用戶購買。

Rug Pull代幣典型詐騙案例

Rug Pull指項目方突然抽走資金或放棄項目,導致投資者蒙受巨大損失的欺詐行爲。Rug Pull代幣專爲實施這種詐騙而發行。

案例分析

攻擊者用Deployer地址部署TOMMI代幣,創建流動性池,並通過其他地址購買以僞造交易量。當打新機器人上當後,攻擊者執行Rug Pull,從流動性池兌換出ETH。TOMMI代幣合約預先爲Rug Puller授予了流動性池的approve權限,使其可直接從池中轉出代幣進行Rug Pull。

Rug Pull過程

1. 準備攻擊資金:從交易所向Deployer充值ETH。

2. 部署帶後門代幣:創建TOMMI代幣,預挖1億個。

3. 創建初始流動性池:用1.5 ETH和全部代幣創建池子。

4. 銷毀預挖代幣:銷毀LP代幣,看似失去Rug Pull能力。

5. 僞造交易量:用多個地址購買TOMMI代幣。

6. 執行Rug Pull:從流動性池轉出大量代幣並砸盤套現。

7. 轉移資金:將獲利發送至中轉地址。

8. 資金歸集:中轉地址將資金發送至留存地址。

代碼後門分析

TOMMI代幣合約在openTrading函數中留有後門,創建流動性池時會讓池子向Rug Puller地址approve代幣轉移權限,使其可直接從池中轉走代幣。

作案特徵

1. Deployer從交易所獲取資金
2. 創建流動性池並銷毀LP代幣
3. Rug Puller用大量代幣兌換池中ETH
4. 將獲利轉移至資金留存地址

這些特徵在多個案例中普遍存在,表明Rug Pull行爲高度模式化,可能涉及同一批詐騙團夥。

Rug Pull作案團夥分析

資金留存地址

分析發現7個高度活躍的資金留存地址,關聯1,124個Rug Pull案例。這些地址將沉澱資金拆分用於新的Rug Pull,小部分通過交易所套現。

統計顯示,這些地址總成本149,813.72 ETH,總收入432,513.68 ETH,利潤282,699.96 ETH(約8億美元),平均回報率188.7%。

資金留存地址間關聯

通過分析資金流向,可將7個地址劃分爲3個集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

集合內存在直接轉帳,集合間無直接轉帳。但都通過同樣的基礎設施合約拆分資金,表明可能屬於同一團夥。

共用基礎設施分析

主要共用兩個基礎設施地址:0x1d39和0x6348。

0x1d39主要功能:

• multiSendETH:拆分轉帳
• 0x7a860e7e:購買Rug Pull代幣

0x6348功能類似,購買函數名爲0x3f8a436c。

統計顯示,少量地址用於拆分資金,大量地址用於僞造交易。資金留存地址通過基礎設施總計拆分3,616次,金額9,369.98 ETH。

作案資金來源

分析1,124個案例,95.11%的Deployer資金來自交易所熱錢包。團夥同時使用多個交易所,以增加追蹤難度。

這些特徵顯示Rug Pull團夥組織嚴密、分工明確、作案專業。

推廣渠道分析

主要推廣渠道:Twitter和Telegram羣組。

羣組由鏈上狙擊機器人團隊或職業打新團隊維護,專門推送新代幣,成爲Rug Pull團夥的天然廣告渠道。

Twitter廣告

利用第三方服務(如Dexed.com)推送新幣信息。

Telegram羣組廣告

如Banana Gun羣組,推送新代幣並提供便捷購買入口。人工抽檢發現大比例爲Rug Pull代幣。

以太坊代幣生態分析

Telegram羣組推送代幣分析

2023年10月至2024年8月期間,羣組共推送93,930個代幣。

使用以下規則檢測Rug Pull代幣:

1. 24小時內無轉帳
2. 存在Uniswap V2流動性池
3. 總Transfer事件不超過1000次
4. 最後5筆交易有大額流動性撤出或砸盤

檢測結果:46,526個Rug Pull代幣,佔比49.53%。

41,801個(89.84%)活躍時間小於72小時,25,622個(55.07%)小於3小時,顯示作案效率極高。

69.06%通過移除流動性套現,76.35%通過Uniswap Router執行Rug Pull。

總利潤282,699.96 ETH,利潤率188.70%,折合約8億美元。

以太坊主網代幣分析

同期主網發行100,260個代幣,Telegram羣組覆蓋率89.99%。

主網Rug Pull代幣48,265個,佔比48.14%,與羣組推送數據高度一致。

77.82%代幣生命週期小於72小時,可能存在其他未被檢測到的詐騙形式。

思考與建議

1. 當前以太坊生態存在嚴重安全隱患,其他區塊鏈網路情況可能更糟。

2. 需進一步研究:

   • Rug Pull團夥數量及關聯
   • 受害者與攻擊者地址區分
   • 事前/事中Rug Pull檢測
   • 團夥獲利策略
   • 其他可能的推廣渠道

3. 投資者建議:

   • 優先通過知名中心化交易所購買
   • 核實官方合約地址
   • 驗證項目官網和社區
   • 避免購買創建時間低於3天的代幣
   • 使用第三方安全掃描服務

呼籲

1. 交易所加強監管,打擊違法欺詐行爲。

2. 第三方服務提供商加強內容審查。

3. 受害者積極使用安全工具,主動披露犯罪行爲。

4. 安全從業者主動發現和對抗不法行爲。

5. Web3各參與方共同努力,創建更安全透明的區塊鏈環境。