1500万美金损失背后的 Rugpull 套路:别再踩雷!

广告 X
OK欧意app

欧意最新版本

欧意最新版是全球三大交易所之一,注册即送最高6万元礼包

APP下载  官网地址


TenArmor 和 GoPlus 拥有强大的 Rugpull 检测系统。近期,二者强强联合,针对近期 Rugpull 的严重情况,进行了深入的风险分析与案例研究,揭示了 Rugpull 攻击的**手法和趋势,并为用户提供了有效的安全防护建议。


Rugpull 事件统计数据


TenArmor 的检测系统每天都会检测到大量的 Rugpull 事件。回看过去一个月的数据,Rugpull 事件成上升趋势,尤其是 11 月 14 日,当天 Rugpull 事件竟高达 31 起。我们认为有必要向社区揭露这一现象。



这些 Rugpull 事件的损失金额多数落在 0 - 100K 区间范围内,累计损失达 15M。



Web3 领域中最为典型的 Rugpull 类型是貔貅盘。GoPlus 的 Token 安全检测工具能够检测出 token 是否为貔貅盘。在过去的一个月中,GoPlus 共检测出 5688 个貔貅盘。更多安全相关的数据可访问 GoPlus 在 DUNE 中的数据仪表盘。



TL;DR


我们根据当下 Rugpull 事件的特点,总结防范要点如下。


1. 不要盲目跟风,在购买热门币种时,要查看币的地址是否是真正的地址。防止买到假冒的币种,落入**陷阱。


2. 打新时,要做好尽职调查,看前期流量是否来自合约部署者的关联地址,如果是,则意味着这可能是一起**陷阱,尽可能避开。


3. 查看合约的源码,尤其警惕 tran**er/tran**erFrom 函数的实现,看是否可以正常的买入和卖出。对于混淆的源码,则需要避开。


4. 投资时,查看 Holder 的分布情况,如果存在资金明显集中的情况,则尽可能避开。


5. 查看合约发布者的资金来源,尽可能往前追溯 10 跳,查看合约发布者的资金来源是否来自可疑的交易所


6. 关注 TenArmor 发布的预警信息,及时止损。TenArmor 针对此类 Scam Token 具备提前检测的能力,关注 TenArmor 的 X 账号以获取及时的预警。


7.TenTrace 系统目前已经积累了多个平台的 Scam/Phishing/Exploit 的地址库信息,能够有效识别到黑地址资金的流入流出。TenArmor 致力于改进社区的安全环境,欢迎有需求的伙伴洽谈合作。


RugPull 事件特点


通过对大量 Rugpull 事件进行分析,我们发现近期的 Rugpull 有以下特点。


冒充当下知名币


从 11 月 1 日起,TenArmor 检测系统检测到 5 起冒充 PNUT token 的 Rugpull 事件。根据这篇推文的梳理,PNUT 在 11 月 1 日开始运营,并在 7 天内** 161 倍,成功吸引到投资者的眼球。PNUT 运营并**的时间点和**者开始冒充 PNUT 的时间点非常一致。**者选择冒充 PNUT 能吸引到更多不明真相的人上钩。



冒充 PNUT 的 Rugpull 事件共计**金额 103.1K。TenArmor 在此提醒用户,不要盲目跟风,在购买热门币种时,要查看币的地址是否是真正的地址。


针对打新机器人


新币或新项目的发行通常会引发市场的极大关注。新币**发行时,价格波动较大,甚至前一秒和后一秒的价格都会相去甚远,追求交易速度成为获利的关键目标。交易机器人无论是速度还是反应能力都远超人工交易者,所以打新机器人在当下**受追捧。


然而,**者也敏锐的察觉到了大量打新机器人的存在,于是布下陷阱,等打新机器人上钩。例如 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 这个地址自 2024 年 10 月份以来,发起了 200 多起**事件,每个事件从部署陷阱合约到 Rugpull 都是在几小时内结束。


以此地址发起的最近的一起**事件为例,**者先利用 0xCd93 创建 FLIGHT **,然后创建 FLIGHT/ETH 交易对。



交易对被创建之后,立即有大量 Banana Gun 打新机器人涌入小额兑换**。分析之后不难发现这些打新机器人都是**者控制的,目的是为了营造流量。



大概 50 多笔小额交易,流量营造起来之后,吸引到了真正的投资者。这些投资者多数也使用了 Banana Gun 打新机器人进行交易。



交易持续了一段时间之后,**者部署了用于 Rugpull 的合约,可以看到此合约的资金来自地址 0xC757。部署合约后,仅过了 1 小时 42 分钟即 Rugpull,一次性抽空了流动性池,获利 27 ETH。



分析这个**者的手法不难发现,**者先通过小额兑换制造流量,吸引打新机器人上钩,然后再部署 Rug 的合约,待收益达到预期后就 Rug。TenArmor 认为,尽管打新机器人可以方便且快速的购买新币,抢得先机,但是也需要考虑**者的存在。打新时,要做好尽职调查,看前期流量是否来自合约部署者的关联地址,如果是,则绕过。


源码暗藏玄机


交易收税


下图是 FLIGHT 的转账函数实现代码。可以明显的看到这个转账实现和标准实现存在巨大差异。每次转账都要根据当前的条件,来决定要不要收税。这个交易税使得买入和卖出都受到限制,这大概率是**的币种。



像这种情况,用户只需要检查 token 的源码,即可发现端倪,避免掉入陷阱。


代码混淆


在 TenArmor **和重大 Rug Pull 事件回顾:投资者和用户应如何应对 文章中提到,有的**者为了不让用户看懂 TA 的意图,故意混淆源码,使其可读性变差。遇到这种情况,立即避开。


明目张胆的 rugApproved


TenArmor 检测到的众多 Rugpull 事件中,不乏明目张胆者。例如,此交易就是直接表明了意图。



从**者部署用于 Rugpull 的合约,到真正 Rugpull 通常会有一个时间窗口。例如这个案例中的时间窗口接近 3 小时。对于这种类型的**的预防,可以关注 TenArmor 的 X 账号,我们会及时发送此类风险合约的部署消息,提醒广大用户及时撤资。


除此之外,rescueEth/recoverStuckETH 也是常用的 Rugpull 接口。当然,有这个接口不代表真的是 Rugpull,还需要结合其他的特征来识别。


Holder 集中


TenArmor 近期检测到的 Rugpull 事件中,Holder 的分布也非常有特点。我们随机选取了 3 个 Rugpull 事件涉及的 token 的 holder 分布。其情况如下。


0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a



0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115



0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23



这 3 个案例中,不难发现 Uniswap V2 pair 是**的 holder,在持币数量上占**优势。TenArmor 提醒用户,如果发现一个币种的 Holder 集中在某一个地址,例如 Uniswap V2 pair 中,那么这个币种需要谨慎交易。


资金来源


我们从 TenArmor 检测到的 Rugpull 事件中,随机挑选了 3 个来分析资金来源。


案例 1


tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291


往前追踪 6 跳发现 FixedFloat 的资金流入。


FixedFloat 是一家无需用户注册或 KYC 验证的自动化加密货币交易所。**者选择从 FixedFloat 引入资金可以隐藏身份。


案例 2


tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725


往前追踪 5 跳发现 MEXC 1 的资金流入。


2024 年 3 月 15 日,香港证监会发布了关于平台 MEXC 的告诫,文章提到 MEXC 向香港 投资者积极推广其服务,但它没有获取证监会发牌或向证监会申请牌照。证监会已于 2024 年 3 月 15 日将 MEXC 及其网站列入可疑虚拟资产交易平台警示名单


案例 3


tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23


往前 5 跳发现 Disperse.app的资金流入。


Disperse.app 用于把 ETH 分散发给不同的合约地址 (distribute ether or tokens to multiple addresses)。


分析交易发现此次 Disperse.app 的调用者是 0x511E04C8f3F88541d0D7DFB662d71790A419a039,往前 2 跳又发现 Disperse.app 的资金流入。


分析交易发现此次 Disperse.app 的调用者是 0x97e8B942e91275E0f9a841962865cE0B889F83ac,往前 2 跳发现 MEXC 1的资金流入。


分析以上 3 个案例,**者选取了无 KYC 和无牌照的交易所入金。TenArmor 提醒用户,在投资新币时,要查看合约部署者的资金来源是否来自可疑的交易所。


预防措施


基于 TenArmor 和 GoPlus 的数据集合,本文对 Rugpull 的技术特征进行了**梳理,并展示了代表性的案例。针对以上 Rugpull 特点,我们总结相应的预防措施如下。


1. 不要盲目跟风,在购买热门币种时,要查看币的地址是否是真正的地址。防止买到假冒的币种,落入**陷阱。


2. 打新时,要做好尽职调查,看前期流量是否来自合约部署者的关联地址,如果是,则意味着这可能是一起**陷阱,尽可能避开。


3. 查看合约的源码,尤其警惕 tran**er/tran**erFrom 函数的实现,看是否可以正常的买入和卖出。对于混淆的源码,则需要避开。


4. 投资时,查看 Holder 的分布情况,如果存在资金明显集中的情况,则尽可能避免选择该币种。


5. 查看合约发布者的资金来源,尽可能往前追溯 10 跳,查看合约发布者的资金来源是否来自可疑的交易所。


6. 关注 TenArmor 发布的预警信息,及时止损。TenArmor 针对此类 Scam Token 具备提前检测的能力,关注 TenArmor 的 X 账号以获取及时的预警。


这些 Rugpull 事件涉及的恶意地址都会实时进入到 TenTrace 系统中。TenTrace 系统是 TenArmor 自主研发的反**系统 (AML),适用于反**,反**,攻击者身份追踪等多重场景。TenTrace 系统目前已经积累了多个平台的 Scam/Phishing/Exploit 的地址库信息,能够有效识别到黑地址的资金流入,并且能够准确的监控黑地址的资金流出。TenArmor 致力于改进社区的安全环境,欢迎有需求的伙伴洽谈合作。


关于 TenArmor


TenArmor 是您在 Web3 世界中的**道防线。我们提供先进的安全解决方案,专注于解决区块链技术带来的独特挑战。通过我们的创新产品 ArgusAlert 和 VulcanShield, 我们确保对潜在威胁的实时保护和快速响应。我们的专家团队精通从智能合约审计到加密货币追踪的一切,成为**希望在去**化领域保护其数字资产的组织的**合作伙伴。


关注我们 @TenArmorAlert, 及时获取我们**的 Web3 安全预警。


欢迎联系我们:


X: @TenArmor


Mail: team@tenarmor.com


Telegram: TenArmorTeam


Medium: TenArmor


关于 GoPlus


GoPlus 作为**链上安全防护网络,旨在为每一位用户提供最易操作、全方位的链上安全保障,来确保用户的每一笔交易及资产安全。


安全服务架构上主要分为直接面向 C 端用户的 GoPlus APP(网页端与浏览器插件产品)与间接服务 C 端用户(通过 B 端集成或接入)的 GoPlus Intelligence,已覆盖最广泛的 Web3 用户群体和各类交易场景,致力于构建一个开放、用户驱动的链上安全防护网络:


一方面**项目都可以自行通过接入 GoPlus 来为用户提供链上安全防护,另一方面 GoPlus 也允许开发者充分利用自身优势,将创新安全产品部署至 GoPlus 安**场,用户可自主选择和配置便捷、个性化的安全服务,从而构建开发者与用户协作的开放去**化安全生态。


目前 GoPlus 已成为 Web3 Builder 们**的安全合作伙伴,其链上安全服务被 Trust Wallet、CoinMarketCap、OKX、Bybit、DexScreener、SushiSwap 等广泛采用与集成,平均日均调用超 3400 万次,累计被调用逾 40 亿次,覆盖 90% 以上用户链上交易,其开放安全应用平台也已服务超过 1200 万链上用户。


我们的社区:


X: @GoPlusSecurity


Discord: GoPlusSecurity


Medium: GoPlusSecurity



标签: /
上一篇2024-11-29

相关推荐