Web3代币生态乱象调查报告

简介

在Web3世界中,新代币层出不穷。每天究竟有多少新代币发行?这些新代币都安全吗?

这些疑问并非无由。近期,安全团队捕获了大量涉及新上链代币的Rug Pull案例。深入调查发现,这些案例背后存在组织化的犯罪团伙,并呈现出模式化特征。进一步分析揭示,这些团伙可能通过Telegram群组中的"新代币追踪"功能进行诈骗推广。

统计显示,2023年11月至2024年8月期间,相关Telegram群组共推送93,930种新代币,其中46,526种涉及Rug Pull,占比49.53%。这些Rug Pull代币背后团伙投入成本149,813.72 ETH,以188.7%的回报率牟利282,699.96 ETH,折合约8亿美元。

为评估Telegram群组推送代币在以太坊主网中的占比,统计了同期以太坊主网上发行的新代币数据。结果显示,共有100,260种新代币发行,Telegram群组推送的代币占89.99%。平均每天约370种新代币诞生,远超合理预期。深入调查发现,至少48,265种代币涉及Rug Pull诈骗,占比48.14%。换言之,以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

此外,其他区块链网络中也发现了更多Rug Pull案例。这表明整个Web3新发代币生态的安全形势比预期更为严峻。本报告旨在提升Web3社区防范意识,呼吁各方保持警惕,采取必要预防措施,保护资产安全。

ERC-20代币简介

ERC-20是区块链上最常见的代币标准之一,定义了一组规范,使代币可在不同智能合约和dApp间互操作。它规定了代币的基本功能,如转账、查询余额、授权第三方管理等。这一标准简化了代币的创建和使用。任何个人或组织都可基于ERC-20标准发行代币,并通过预售为项目筹集资金。

USDT、PEPE、DOGE等都属于ERC-20代币,可通过去中心化交易所购买。然而,某些诈骗团伙可能发行带后门的恶意ERC-20代币,将其上架交易所诱导用户购买。

Rug Pull代币典型诈骗案例

Rug Pull指项目方突然抽走资金或放弃项目,导致投资者蒙受巨大损失的欺诈行为。Rug Pull代币专为实施这种诈骗而发行。

案例分析

攻击者用Deployer地址部署TOMMI代币,创建流动性池,并通过其他地址购买以伪造交易量。当打新机器人上当后,攻击者执行Rug Pull,从流动性池兑换出ETH。TOMMI代币合约预先为Rug Puller授予了流动性池的approve权限,使其可直接从池中转出代币进行Rug Pull。

Rug Pull过程

1. 准备攻击资金:从交易所向Deployer充值ETH。

2. 部署带后门代币:创建TOMMI代币,预挖1亿个。

3. 创建初始流动性池:用1.5 ETH和全部代币创建池子。

4. 销毁预挖代币:销毁LP代币,看似失去Rug Pull能力。

5. 伪造交易量:用多个地址购买TOMMI代币。

6. 执行Rug Pull:从流动性池转出大量代币并砸盘套现。

7. 转移资金:将获利发送至中转地址。

8. 资金归集:中转地址将资金发送至留存地址。

代码后门分析

TOMMI代币合约在openTrading函数中留有后门,创建流动性池时会让池子向Rug Puller地址approve代币转移权限,使其可直接从池中转走代币。

作案特征

1. Deployer从交易所获取资金
2. 创建流动性池并销毁LP代币
3. Rug Puller用大量代币兑换池中ETH
4. 将获利转移至资金留存地址

这些特征在多个案例中普遍存在,表明Rug Pull行为高度模式化,可能涉及同一批诈骗团伙。

Rug Pull作案团伙分析

资金留存地址

分析发现7个高度活跃的资金留存地址,关联1,124个Rug Pull案例。这些地址将沉淀资金拆分用于新的Rug Pull,小部分通过交易所套现。

统计显示,这些地址总成本149,813.72 ETH,总收入432,513.68 ETH,利润282,699.96 ETH(约8亿美元),平均回报率188.7%。

资金留存地址间关联

通过分析资金流向,可将7个地址划分为3个集合:

1. 0xDF1a和0xDEd0
2. 0x1607和0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

集合内存在直接转账,集合间无直接转账。但都通过同样的基础设施合约拆分资金,表明可能属于同一团伙。

共用基础设施分析

主要共用两个基础设施地址:0x1d39和0x6348。

0x1d39主要功能:

• multiSendETH:拆分转账
• 0x7a860e7e:购买Rug Pull代币

0x6348功能类似,购买函数名为0x3f8a436c。

统计显示,少量地址用于拆分资金,大量地址用于伪造交易。资金留存地址通过基础设施总计拆分3,616次,金额9,369.98 ETH。

作案资金来源

分析1,124个案例,95.11%的Deployer资金来自交易所热钱包。团伙同时使用多个交易所,以增加追踪难度。

这些特征显示Rug Pull团伙组织严密、分工明确、作案专业。

推广渠道分析

主要推广渠道:Twitter和Telegram群组。

群组由链上狙击机器人团队或职业打新团队维护,专门推送新代币,成为Rug Pull团伙的天然广告渠道。

Twitter广告

利用第三方服务(如Dexed.com)推送新币信息。

Telegram群组广告

如Banana Gun群组,推送新代币并提供便捷购买入口。人工抽检发现大比例为Rug Pull代币。

以太坊代币生态分析

Telegram群组推送代币分析

2023年10月至2024年8月期间,群组共推送93,930个代币。

使用以下规则检测Rug Pull代币:

1. 24小时内无转账
2. 存在Uniswap V2流动性池
3. 总Transfer事件不超过1000次
4. 最后5笔交易有大额流动性撤出或砸盘

检测结果:46,526个Rug Pull代币,占比49.53%。

41,801个(89.84%)活跃时间小于72小时,25,622个(55.07%)小于3小时,显示作案效率极高。

69.06%通过移除流动性套现,76.35%通过Uniswap Router执行Rug Pull。

总利润282,699.96 ETH,利润率188.70%,折合约8亿美元。

以太坊主网代币分析

同期主网发行100,260个代币,Telegram群组覆盖率89.99%。

主网Rug Pull代币48,265个,占比48.14%,与群组推送数据高度一致。

77.82%代币生命周期小于72小时,可能存在其他未被检测到的诈骗形式。

思考与建议

1. 当前以太坊生态存在严重安全隐患,其他区块链网络情况可能更糟。

2. 需进一步研究:

   • Rug Pull团伙数量及关联
   • 受害者与攻击者地址区分
   • 事前/事中Rug Pull检测
   • 团伙获利策略
   • 其他可能的推广渠道

3. 投资者建议:

   • 优先通过知名中心化交易所购买
   • 核实官方合约地址
   • 验证项目官网和社区
   • 避免购买创建时间低于3天的代币
   • 使用第三方安全扫描服务

呼吁

1. 交易所加强监管,打击违法欺诈行为。

2. 第三方服务提供商加强内容审查。

3. 受害者积极使用安全工具,主动披露犯罪行为。

4. 安全从业者主动发现和对抗不法行为。

5. Web3各参与方共同努力,创建更安全透明的区块链环境。