TenArmor e GoPlus orgulham-se de possuir sistemas poderosos de detecção de rug pull. Recentemente, os dois uniram forças para conduzir uma análise de risco aprofundada e estudos de caso em resposta à crescente gravidade dos incidentes de rug pull. A sua pesquisa revelou as técnicas e tendências mais recentes em ataques de rug pull e forneceu aos utilizadores recomendações de segurança eficazes.

Estatísticas de incidentes de Rugpull

O sistema de detecção da TenArmor identifica inúmeros incidentes de rugpull todos os dias. Olhando para os dados do último mês, os incidentes de rugpull têm aumentado, especialmente em 14 de novembro, quando o número atingiu surpreendentes 31 em um único dia. Acreditamos que é necessário chamar a atenção da comunidade para esse fenômeno.

A maior parte das perdas resultantes destes incidentes de Rugpull situam-se na faixa de $0 a $100 mil, com perdas acumuladas a atingir os $15 milhões.

O tipo mais típico de Rugpull no espaço Web3 é o token honeypot (conhecido como "貔貅盘" em chinês). A Ferramenta de Detecção de Segurança de Tokens da GoPlus pode identificar se um token se enquadra nessa categoria. No último mês, a GoPlus detectou 5.688 tokens desse tipo. Para mais dados relacionados à segurança, visite a painel público de dadosna Duna.

TL;DR

Com base nas características dos incidentes recentes de rugpull, resumimos as seguintes medidas preventivas:

1. Não siga cegamente: Ao comprar tokens populares, verifique se o endereço do token é legítimo para evitar a compra de tokens falsificados e cair em armadilhas de golpes.
2. Realizar a devida diligência durante os lançamentos de novos tokens: Verificar se o tráfego inicial vem de endereços relacionados ao lançador do contrato. Se assim for, isso poderá indicar uma possível fraude, portanto, é melhor evitá-la.
3. Reveja o código fonte do contrato: Preste especial atenção à implementação das funções transfer/transferFrom para garantir que a compra e venda possam ocorrer normalmente. Se o código estiver ofuscado, evite o projeto.
4. Analisar a distribuição dos detentores: Se houver uma concentração óbvia de fundos entre os detentores, é melhor ficar longe do projeto.
5. Rastrear a fonte de financiamento do implantador do contrato: Tente rastrear até 10 saltos para verificar se os fundos do implantador do contrato têm origem em alguma troca suspeita.
6. Siga as atualizações de alerta da TenArmor: reaja prontamente para minimizar as perdas. A TenArmor tem a capacidade de detectar Scam Tokens antecipadamente, portanto, siga a TenArmor'sXUma conta (anteriormente no Twitter) pode fornecer alertas em tempo útil.
7. Utilize o sistema TenTrace: TenTrace acumulou dados de endereço para incidentes de Golpes/Phishing/Exploração de várias plataformas, permitindo a identificação eficaz de movimentos de fundos de endereços na lista negra. A TenArmor está comprometida em melhorar a segurança da comunidade e damos as boas-vindas a qualquer parceiro que precise de assistência para colaboração.

Características recentes de incidentes de Rugpull

Através da análise de numerosos incidentes de Rugpull, identificamos as seguintes características dos eventos recentes de Rugpull.

Imitando Tokens Populares

Desde 1º de novembro, o sistema de detecção TenArmor identificou cinco casos de incidentes de Rugpull envolvendo tokens PNUT falsos. De acordo com este tweet, O PNUT começou a operar em 1 de novembro e viu um notável aumento de 161 vezes em apenas sete dias, atraindo com sucesso a atenção dos investidores. A linha do tempo do lançamento e aumento do PNUT coincide de perto com o momento em que os golpistas começaram a se passar pelo PNUT. Ao se passarem pelo PNUT, os golpistas pretendiam atrair investidores desinformados.

O valor total fraudulento dos incidentes PNUT Rugpull falsos atingiu $103,1K. A TenArmor insta os usuários a não seguirem tendências cegamente; ao comprar tokens populares, sempre verifique se o endereço do token é legítimo.

Visando Bots de Front-Running

A emissão de novos tokens ou projetos muitas vezes gera considerável atenção do mercado. Durante o lançamento inicial, os preços dos tokens podem variar drasticamente - até mesmo os preços em segundos podem variar significativamente. A velocidade se torna crucial para maximizar o lucro, tornando os bots de negociação uma ferramenta popular para antecipar-se a novos tokens.

No entanto, os golpistas também rapidamente percebem a abundância de bots de front-running e armam armadilhas em conformidade. Por exemplo, o endereço 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 realizou mais de 200 incidentes fraudulentos desde outubro de 2024. Cada golpe foi concluído em questão de horas, desde a implementação do contrato armadilha até a execução do Rugpull.

Leve o mais recente incidente de fraudeiniciado por este endereço como exemplo. O golpista primeiro usou 0xCd93 para criar o token FLIGHT e depois estabeleceu o par de negociação FLIGHT/ETH.

Após a criação do par de negociação, inúmeros bots de front-running da Banana Gun entraram apressadamente para fazer trocas de tokens de pequeno valor. Após análise, ficou claro que esses bots eram controlados pelo golpista para gerar volume de negociação artificial.

Aproximadamente 50 negociações de pequeno valor foram executadas para criar a ilusão de tráfego, o que então atraiu investidores reais - muitos dos quais usaram os bots de front-running Banana Gun para suas negociações.

Após um período de atividade comercial, o golpista implantou um contrato para executar o Rugpull. Os fundos para este contrato vieram do endereço 0xC757. Apenas 1 hora e 42 minutos após a implantação do contrato, o golpista esvaziou a piscina de liquidez de uma só vez, obtendo um lucro de 27 ETH.

Ao analisar as táticas do golpista, é evidente que eles primeiro usaram negociações de pequeno valor para fabricar tráfego, atraíram bots front-running e, em seguida, implantaram um contrato de tapete, puxando a ficha assim que seus lucros atingiram o nível desejado.

A TenArmor acredita que, embora os bots de front-running tornem a compra de novos tokens conveniente e rápida, também é necessário ter cuidado com os golpistas. Faça uma diligência completa e, se o volume inicial parecer vir de endereços relacionados ao implementador do contrato, é melhor evitar o projeto.

Truques Ocultos no Código Fonte

Imposto sobre Transações

O código seguinte mostra a implementação da função de transferência de tokens FLIGHT. É evidente que esta implementação difere significativamente da padrão. Cada decisão de transferência envolve a determinação de aplicar ou não um imposto com base nas condições atuais. Este imposto sobre transações limita tanto a compra como a venda, tornando altamente provável que este token seja uma fraude.

Em casos como este, os utilizadores podem simplesmente verificar o código-fonte do token para identificar possíveis problemas e evitar cair em armadilhas.

Obfuscação de código

No artigo da TenArmor,Análise dos novos e principais eventos de Rug Pull: Como os investidores e usuários devem responder, é mencionado que alguns golpistas deliberadamente obfuscam o código-fonte para torná-lo menos legível e ocultar suas verdadeiras intenções. Ao encontrar tal código obfuscado, é melhor evitá-lo imediatamente.

Openamente malicioso aprovado por passadeira

Entre os numerosos incidentes de Rugpull detectados pela TenArmor, há casos em que os golpistas são descaradamente óbvios sobre suas intenções. Por exemplo, esta transação explicita suas intenções.

Normalmente, há uma janela de tempo entre quando o golpista implanta o contrato usado para o Rugpull e quando o Rugpull é executado. Neste caso em particular, a janela de tempo é de quase três horas. Para evitar esses tipos de golpes, você pode seguir TenArmor's X conta. Enviaremos prontamente alertas sobre a implantação de tais contratos arriscados, lembrando os usuários de retirar seus investimentos a tempo.

Além disso, funções como rescueEth/recoverStuckETH são comumente usadas em contratos Rugpull. Claro, a existência de tais funções não significa necessariamente que seja um Rugpull; ainda é necessário considerar outros indicadores para confirmação.

Concentração de Detentores

Nos recentes incidentes de Rugpull detectados pela TenArmor, a distribuição de detentores mostrou características distintas. Selecionamos aleatoriamente três incidentes de Rugpull para analisar a distribuição de detentores dos tokens envolvidos. Os resultados são os seguintes.

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Em todos esses 3 casos, é fácil observar que o par Uniswap V2 é o maior detentor, detendo uma maioria esmagadora dos tokens. A TenArmor aconselha os usuários que, se os detentores de um token estiverem amplamente concentrados em um único endereço, como um par Uniswap V2, é altamente provável que o token seja uma fraude.

Fonte de fundos

Selecionamos aleatoriamente 3 incidentes de Rugpull detectados pela TenArmor para analisar as suas fontes de financiamento.

Caso 1

tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291

Após rastrear 6 saltos para trás, encontramos uma entrada de fundos de FixedFloat.

FixedFloat é uma troca de criptomoedas automatizada que não requer registro de usuário ou verificação de “Conheça o seu cliente” (KYC). Os golpistas optam por obter fundos da FixedFloat para ocultar suas identidades.

Caso 2

tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725

Após rastrearmos 5 saltos para trás, identificamos uma entrada de fundos de MEXC 1.

Em 15 de março de 2024, a Comissão de Valores Mobiliários e Futuros de Hong Kong (SFC) emitiu um aviso sobre a plataforma MEXC. O artigo mencionou que a MEXC tinha estado a promover ativamente os seus serviços aos investidores de Hong Kong sem obter uma licença da SFC ou solicitar uma. Em 15 de março de 2024, a SFC incluiu a MEXC e o seu site na lista de plataformas de negociação de ativos virtuais suspeitas.

Caso 3

TX: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Após rastrear 5 saltos de volta, encontramos uma entrada de fundos deDisperse.app.

Disperse.app é usado para distribuir éter ou tokens para vários endereços.

A análise da transação revelou que o chamador do Disperse.app neste caso foi 0x511E04C8f3F88541d0D7DFB662d71790A419a039. Rastreando de volta 2 saltos, também encontramos uma entrada de fundos do Disperse.app.

Análises adicionais mostraram que o chamador do Disperse.app neste caso foi 0x97e8B942e91275E0f9a841962865cE0B889F83ac. Rastreando 2 saltos, identificamos uma entrada de fundos de MEXC 1.

Da análise destes 3 casos, é evidente que os golpistas usaram exchanges sem requisitos de KYC e exchanges não licenciadas para financiar suas atividades. A TenArmor lembra aos usuários que, ao investir em novos tokens, é crucial verificar se a fonte de fundos do implementador do contrato provém de exchanges suspeitas.

Métodos de Prevenção

Com base nos conjuntos de dados combinados de TenArmor e GoPlus, este artigo fornece uma visão abrangente das características técnicas dos Rugpulls e apresenta casos representativos. Em resposta a essas características de Rugpull, resumimos as seguintes medidas preventivas.

1. Não siga as tendências cegamente: Ao comprar tokens populares, verifique se o endereço do token é legítimo. Isso ajuda a evitar a compra de tokens falsificados e cair em armadilhas de golpes.
2. Realize uma diligência completa durante o lançamento de novos tokens: Verifique se o tráfego inicial vem de endereços relacionados ao implementador de contrato. Se isso acontecer, isso pode indicar uma armadilha de fraude, então é melhor evitá-lo.
3. Reveja o código-fonte do contrato: Preste especial atenção à implementação das funções transfer/transferFrom para garantir que a compra e venda possam ocorrer normalmente. Evite projetos com código-fonte ofuscado.
4. Analisar a distribuição dos detentores antes de investir: Se os detentores estiverem concentrados em grande parte num endereço específico, é aconselhável evitar esse token.
5. Verificar a origem dos fundos do implementador de contrato: Rastrear até 10 saltos para determinar se os fundos do implementador de contrato têm origem em bolsas suspeitas.
6. Siga as atualizações de alerta da TenArmor para minimizar as perdas: A TenArmor tem a capacidade de detetar Tokens de Golpe antecipadamente. Siga a conta X da TenArmor (anteriormente Twitter) para alertas atempados.

Os endereços maliciosos envolvidos nesses incidentes de Rugpull são integrados em tempo real ao sistema TenTrace. O TenTrace é um sistema de Anti-Lavagem de Dinheiro (AML) desenvolvido independentemente pela TenArmor, projetado para vários casos de uso, incluindo lavagem de dinheiro, anti-fraude e rastreamento de identificação de atacantes. O TenTrace acumulou dados de endereço de várias plataformas relacionadas a Scam/Phishing/Exploit, identificando efetivamente fluxos de fundos para endereços na lista negra e monitorando com precisão os fluxos desses endereços. A TenArmor está comprometida em melhorar a segurança da comunidade e recebe parceiros interessados em colaboração.

Sobre TenArmor

TenArmor é a sua primeira linha de defesa no mundo Web3. Fornecemos soluções avançadas de segurança que abordam os desafios únicos da tecnologia blockchain. Com os nossos produtos inovadores, ArgusAlert e VulcanShield, garantimos proteção em tempo real e resposta rápida a potenciais ameaças. A nossa equipa de especialistas é especializada em tudo, desde auditoria de contratos inteligentes até rastreamento de criptomoedas, tornando a TenArmor o parceiro ideal para qualquer organização que pretenda garantir a sua presença digital no espaço descentralizado.

Aviso Legal:

1. Este artigo é reimpresso de [gatemédio]. Todos os direitos autorais pertencem ao autor original [Segurança GoPlus]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa, e eles tratarão disso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.