TenArmor e GoPlus possuem poderosos sistemas de detecção de rug pull. Recentemente, os dois se uniram para realizar análises de risco aprofundadas e estudos de casos em resposta à crescente gravidade dos incidentes de rug pull. Sua pesquisa revelou as técnicas e tendências mais recentes em ataques de rug pull e forneceu aos usuários recomendações de segurança eficazes.

Estatísticas de Incidentes de Rugpull

O sistema de detecção da TenArmor identifica inúmeros incidentes de Rugpull todos os dias. Olhando para os dados do último mês, os incidentes de Rugpull têm aumentado, especialmente em 14 de novembro, quando o número chegou a impressionantes 31 em um único dia. Acreditamos que é necessário chamar a atenção da comunidade para esse fenômeno.

A maioria das perdas desses incidentes de Rugpull está na faixa de $0 — $100 mil, com perdas cumulativas alcançando $15 milhões.

O tipo mais típico de Rugpull no espaço Web3 é o token honeypot (conhecido como "貔貅盘" em chinês). A ferramenta de detecção de segurança de token da GoPlus pode identificar se um token se enquadra nessa categoria. No último mês, a GoPlus detectou 5.688 desses tokens. Para obter mais dados relacionados à segurança, visite a GoPlus’.painel de dados públicosna Porta.

TL;DR​

Com base nas características recentes de incidentes de Rugpull, resumimos as seguintes medidas preventivas:

1. Não siga cegamente: Ao comprar tokens populares, verifique se o endereço do token é legítimo para evitar comprar tokens falsificados e cair em armadilhas de golpes.
2. Realize a diligência devida durante o lançamento de novos tokens: Verifique se o tráfego inicial vem de endereços relacionados ao deployer do contrato. Se for o caso, isso pode indicar uma possível fraude, então é melhor evitá-la.
3. Reveja o código-fonte do contrato: Preste especial atenção à implementação das funções transfer/transferFrom para garantir que a compra e venda possam ocorrer normalmente. Se o código estiver ofuscado, evite o projeto.
4. Analise a distribuição dos detentores: se houver uma concentração óbvia de fundos entre os detentores, é melhor ficar longe do projeto.
5. Traçar a origem dos fundos do implementador do contrato: Tente rastrear até 10 saltos para verificar se os fundos do implementador do contrato têm origem em alguma exchange suspeita.
6. Siga as atualizações de alerta do TenArmor: reaja prontamente para minimizar as perdas. O TenArmor tem a capacidade de detectar Scam Tokens antecipadamente, então siga o TenArmor’s XA conta (anteriormente Twitter) pode fornecer alertas oportunos.
7. Utilize o sistema TenTrace: o TenTrace acumulou dados de endereço para incidentes de golpes / phishing / exploração em várias plataformas, permitindo a identificação efetiva dos movimentos de fundos em endereços na lista negra. A TenArmor está empenhada em melhorar a segurança da comunidade e acolhemos qualquer parceiro que precise de assistência para colaboração.

Características recentes de incidentes de rugpull

Através da análise de inúmeros incidentes de Rugpull, identificamos as seguintes características dos eventos de Rugpull recentes.

Imitando Tokens Populares

Desde 1 de novembro, o sistema de detecção TenArmor identificou cinco casos de incidentes de Rugpull envolvendo tokens PNUT falsos. De acordo com este tweet, PNUT começou a operar em 1 de novembro e viu um notável aumento de 161 vezes em apenas sete dias, atraindo com sucesso a atenção dos investidores. A linha do tempo do lançamento e aumento do PNUT coincide de perto com o momento em que os golpistas começaram a se passar pelo PNUT. Ao se passar pelo PNUT, os golpistas visavam atrair investidores desinformados.

O valor total fraudulento dos incidentes de PNUT Rugpull falso atingiu $103.1K. A TenArmor insta os usuários a não seguirem tendências cegamente; ao comprar tokens populares, sempre verifique se o endereço do token é legítimo.

Mirando Bots de Front-Running

A emissão de novos tokens ou projetos geralmente gera considerável atenção do mercado. Durante o lançamento inicial, os preços dos tokens podem flutuar drasticamente - até mesmo os preços em segundos podem variar significativamente. A velocidade se torna crucial para maximizar o lucro, tornando os bots de negociação uma ferramenta popular para antecipar a negociação de novos tokens.

No entanto, os golpistas também percebem rapidamente a abundância de bots de front-running e armam armadilhas de acordo. Por exemplo, o endereço 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 realizou mais de 200 incidentes fraudulentos desde outubro de 2024. Cada golpe foi concluído em questão de horas, desde a implantação do contrato de armadilha até a execução do Rugpull.

Pegue o mais recenteincidente de fraudeiniciado por este endereço como exemplo. O golpista primeiro usou 0xCd93 para criar o token FLIGHT e depois estabeleceu o par de negociação FLIGHT/ETH.

Após a criação do par de negociação, inúmeros bots de front-running Banana Gun se apressaram para fazer trocas de tokens de pequeno valor. Após análise, ficou claro que esses bots eram na verdade controlados pelo golpista para gerar volume de negociação artificial.

Aproximadamente 50 negociações de pequeno valor foram executadas para criar a ilusão de tráfego, o que atraiu investidores reais - muitos dos quais usaram os bots de front-running da Banana Gun para suas negociações.

Após um período de atividade de negociação, o golpista implantou um contrato para executar o Rugpull. Os fundos para este contrato vieram do endereço 0xC757. Apenas 1 hora e 42 minutos após implantar o contrato, o golpista esvaziou o pool de liquidez de uma só vez, obtendo um lucro de 27 ETH.

Ao analisar as táticas do golpista, é evidente que eles primeiro usaram negociações de pequeno valor para fabricar tráfego, atraíram bots de front-running e depois implantaram um contrato Rug, desligando-o uma vez que seus lucros atingiram um nível desejado.

TenArmor acredita que, embora os bots de front-running facilitem a compra de novos tokens de forma conveniente e rápida, é preciso também ter cautela com os golpistas. Realize uma diligência completa e, se o volume inicial parecer vir de endereços relacionados ao implementador do contrato, é melhor evitar o projeto.

Truques Ocultos no Código Fonte

Taxa de Transação

O código a seguir mostra a implementação da função de transferência de tokens FLIGHT. É evidente que essa implementação difere significativamente da padrão. Cada decisão de transferência envolve determinar se aplicar ou não um imposto com base nas condições atuais. Esse imposto de transação limita tanto a compra quanto a venda, tornando altamente provável que esse token seja uma fraude.

Em casos como este, os usuários podem simplesmente verificar o código-fonte do token para identificar possíveis problemas e evitar cair em armadilhas.

Ofuscação de código

No artigo da TenArmor, Revisão dos Novos e Principais Eventos de Rug Pull: Como os Investidores e Usuários Devem Responder, é mencionado que alguns golpistas deliberadamente obfuscam o código-fonte para torná-lo menos legível e ocultar suas verdadeiras intenções. Ao encontrar tal código obfuscado, é melhor evitá-lo imediatamente.

Openly Malicious rugApproved

Entre os inúmeros incidentes de Rugpull detectados pelo TenArmor, há casos em que os golpistas são flagrantemente óbvios sobre suas intenções. Por exemplo, esta transação declara explicitamente sua intenção.

Normalmente, há uma janela de tempo entre quando o golpista implanta o contrato usado para o Rugpull e quando o Rugpull é executado. Neste caso específico, a janela de tempo é de quase três horas. Para evitar esses tipos de golpes, você pode seguir o TenArmor's Xconta. Enviaremos alertas imediatamente sobre a implantação desses contratos arriscados, lembrando os usuários a retirar seus investimentos a tempo.

Além disso, funções como rescueEth/recoverStuckETH são comumente usadas em contratos Rugpull. Claro, a existência de tais funções não significa necessariamente que seja um Rugpull; ainda é necessário considerar outros indicadores para confirmação.

Concentração de Detentores

Nos incidentes recentes de Rugpull detectados pela TenArmor, a distribuição de detentores tem mostrado características distintas. Selecionamos aleatoriamente três incidentes de Rugpull para analisar a distribuição de detentores dos tokens envolvidos. Os resultados são os seguintes.

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Em todos esses 3 casos, é fácil observar que o par Uniswap V2 é o maior detentor, detendo uma maioria avassaladora dos tokens. TenArmor aconselha os usuários que se os detentores de um token estiverem amplamente concentrados em um único endereço, como um par Uniswap V2, é altamente provável que o token seja uma fraude.

Origem dos Fundos

Selecionamos aleatoriamente 3 incidentes de Rugpull detectados pela TenArmor para analisar suas fontes de fundos.

Caso 1

tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291

Depois de rastrear 6 saltos para trás, encontramos uma entrada de fundos de FixedFloat.

FixedFloat é uma troca automatizada de criptomoedas que não requer registro de usuário ou verificação de "Conheça seu Cliente" (KYC). Os golpistas escolhem obter fundos da FixedFloat para ocultar suas identidades.

Caso 2

tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725

Após rastrear 5 saltos para trás, identificamos uma entrada de fundos de MEXC 1.

Em 15 de março de 2024, a Comissão de Valores Mobiliários e Futuros de Hong Kong (SFC) emitiu uma aviso sobre a plataforma MEXC. O artigo mencionou que a MEXC vinha promovendo ativamente seus serviços para investidores de Hong Kong sem adquirir uma licença da SFC ou solicitar uma. Em 15 de março de 2024, a SFC incluiu a MEXC e seu site na lista negra.lista de plataformas de negociação de ativos virtuais suspeitas.

Caso 3

tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Após rastrear 5 saltos para trás, encontramos uma entrada de fundos de Disperse.app.

Disperse.app é usado para distribuir ether ou tokens para múltiplos endereços.

Análise da transação revelou que o chamador do Disperse.app neste caso foi 0x511E04C8f3F88541d0D7DFB662d71790A419a039. Rastreando de volta 2 saltos, também encontramos uma entrada de fundos do Disperse.app.

Análises adicionais mostraram que o chamador do Disperse.app neste caso foi 0x97e8B942e91275E0f9a841962865cE0B889F83ac. Rastreando 2 saltos, identificamos uma entrada de fundos de MEXC 1.

Da análise desses 3 casos, é evidente que os golpistas usaram exchanges sem requisitos de KYC e exchanges não licenciadas para financiar suas atividades. A TenArmor lembra aos usuários que, ao investir em novos tokens, é crucial verificar se a origem dos fundos do contratante vem de exchanges suspeitas.

Métodos de Prevenção

Com base nos conjuntos de dados combinados da TenArmor e da GoPlus, este artigo fornece uma visão geral abrangente das características técnicas dos Rugpulls e apresenta casos representativos. Em resposta a essas características do Rugpull, resumimos as seguintes medidas preventivas.

1. Não siga as tendências cegamente: ao comprar tokens populares, verifique se o endereço do token é legítimo. Isso ajuda a evitar a compra de tokens falsificados e cair em armadilhas de golpes.
2. Realize uma due diligence detalhada durante os lançamentos de novos tokens: Verifique se o tráfego inicial vem de endereços relacionados ao implementador do contrato. Se for o caso, isso pode indicar uma armadilha de golpe, então é melhor evitá-lo.
3. Revise o código-fonte do contrato: Preste atenção especial à implementação das funções de transferência/transferência para garantir que a compra e a venda possam ocorrer normalmente. Evite projetos com código-fonte ofuscado.
4. Analisar a distribuição do detentor antes de investir: Se os detentores estiverem concentrados fortemente em um endereço específico, é aconselhável evitar esse token.
5. Verifique a origem de fundos do implantador de contrato: rastreie até 10 saltos para determinar se os fundos do implantador de contrato são originários de exchanges suspeitas.
6. Siga as atualizações de alerta da TenArmor para minimizar as perdas: TenArmor tem a capacidade de detectar Tokens Scam antecipadamente. Siga a conta X da TenArmor (anteriormente Twitter) para alertas oportunos.

Os endereços maliciosos envolvidos nesses incidentes de Rugpull são integrados ao sistema TenTrace em tempo real. TenTrace é um sistema Anti-Lavagem de Dinheiro (AML) desenvolvido independentemente pela TenArmor, projetado para vários casos de uso, incluindo anti-lavagem de dinheiro, anti-fraude e rastreamento de identificação de atacantes. TenTrace acumulou dados de endereço de várias plataformas relacionadas a Scam/Phishing/Exploit, identificando efetivamente fluxos de fundos para endereços na lista negra e monitorando com precisão os fluxos desses endereços. A TenArmor está comprometida em melhorar a segurança da comunidade e recebe parceiros interessados em colaboração.

Sobre a TenArmor

TenArmor é sua primeira linha de defesa no mundo Web3. Fornecemos soluções avançadas de segurança que abordam os desafios únicos da tecnologia blockchain. Com nossos produtos inovadores, ArgusAlert e VulcanShield, garantimos proteção em tempo real e resposta rápida a ameaças potenciais. Nossa equipe de especialistas é especializada em tudo, desde auditoria de contratos inteligentes até rastreamento de criptomoedas, tornando a TenArmor a parceira ideal para qualquer organização que deseje proteger sua presença digital no espaço descentralizado.

Aviso Legal:

1. Este artigo é reproduzido a partir de [médio]. Todos os direitos autorais pertencem ao autor original [GoPlus Security]. Se houver objeções a esta reimpressão, entre em contato com o Portão Aprenderequipe e eles vão lidar com isso prontamente.
2. Isenção de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe de aprendizado da Gate. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.