Houve vários incidentes de Rug Pull recentemente, e a equipe de pesquisa de segurança do SharkTeam conduziu uma análise detalhada desses incidentes. Durante a análise, descobrimos que o contrato de fábrica de Rugpull na Rede BNB iniciou mais de 70 Rugpulls no mês passado. A seguir, analisaremos os aspectos de rastreabilidade de fundos e padrões de comportamento fraudulentos.
Devido a limitações de espaço, analisaremos principalmente eventos de token SEI, X, TIP e Blue. Esses tokens são criados pela operação createToken do contrato de fábrica de tokens 0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696.
Na função createToken, os seguintes parâmetros precisam ser passados ao criar um token: nome do token, símbolo do token, precisão, fornecimento, endereço do proprietário do token, endereço do contrato de fábrica para criação de pares de tokens e endereço stablecoin BUSD-T. Entre eles, o contrato de fábrica para a criação de pares de tokens utiliza o contrato de fábrica do PancakeSwap, e cada token possui um endereço de proprietário diferente.
1. Rastreabilidade de fundos
O endereço do proprietário, símbolo e endereço do contrato dos tokens SEI, X, TIP e Blue são mostrados na figura abaixo. Entre eles, o endereço do proprietário de X, TIP e Blue é:
0x44A028Dae3680697795A8d50960c8C155cBc0D74。
0x 44 A 028 Os fundos de Da vêm de 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3, endereço 0x 0 a 8310 ec Os fundos vêm de várias contas EOA e têm um endereço comum
0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3。
A seguir estão as informações relevantes para o contrato Token Factory 0x DC 4397 ffb 9 F 2C 9119 ED 9 c 32 E 42 E 3588 bbD 377696. O contrato de fábrica foi criado com o endereço 0x 1 dE 949 eac 4 b 5 fc 1 B 814 E 733 C D5 6 AE 65 DfF 1 bcEEF. Os fundos no endereço 0x1dE949ea vêm de várias contas e há um endereço de origem de fundos de 0x 072 e 9 A 13791 f 3 a 45 fc 6 eB 6 AD 38 e 6 ea 258 C 080 cc 3.
A origem dos recursos no endereço 0x 072 e 9 A 13 é a seguinte: O endereço 0x 1 dE 949 ea possui alguma interação de fundos. Outros endereços também criaram contratos de tokens de fábrica e são Rug Pullers para alguns tokens.
Por exemplo, 0x 04067 B 4 fcC 9 f 3d 99 aC 5211 cfE 8 d 3 e 8687 B 0401 d 3 é financiado por 0x 6 ae 8 F 98830894518 c 939 B 0 D 0 A 5 EF 11 c 671 e 9 DFCa. E 0x6ae8F988 cria o contrato de fábrica 0x e 83 EbBb 4 acc 3d 8 B 237923 Ee 33 3D 04 B 887 ca 1 a 008. O contrato de fábrica também executa o mesmo comportamento de criação de token:
Selecionamos um dos tokens para análise e descobrimos que o token possui comportamento Rug Pull.
Os fundos de 0x6ae8F988 vêm de 0xa6764FBbbFD89AEeBac25FCbB69d3E9438395e57, e os fundos deste endereço vêm de 0xE5A5c50980176Cc32573c993D0b99a843D77BC6E. Os fundos no endereço 0xE5A5c509 são fornecidos pelo endereço Tornado Cash e os fundos são de 10 BNB. Além dos recursos disponibilizados pelo Tornado, há também uma parte dos lucros obtidos por meio de phishing e token Rug Pull.
Além disso, o endereço acima desempenhou um papel importante no padrão subsequente de comportamento fraudulento nas instalações de Rugpull.
2. Modelo de comportamento fraudulento da fábrica Rugpull
Vamos dar uma olhada nos padrões de comportamento de fraude da fábrica Rugpull dos tokens SEI, X, TIP e Blue.
(1)SEI
Primeiro, o proprietário do token SEI 0x 0 a 8310 eca 430 beb 13 a 8 d 1 b 42 a 03 b 3521326 e 4 a 58 trocou 249 SEIs ao preço de 1u.
Em seguida, 0x6f9963448071b88FB23Fd9971d24A87e5244451A realizou operações de compra e venda em massa. Nas operações de compra e venda, a liquidez do token aumentou significativamente e o preço também aumentou.
Promova-o através de phishing e outros métodos para atrair um grande número de usuários à compra.À medida que a liquidez aumenta, o preço do token dobra.
Quando o preço do token atinge um determinado valor, o proprietário do token entra na operação de venda para realizar o Rugpull. Pode-se observar na figura abaixo que o tempo de colheita e o preço são diferentes.
(2)X、PONTA、Azul
Primeiro, o proprietário dos tokens X, TIP e Blue 0x44A028Dae3680697795A8d50960c8C155cBc0D74 trocou 1u pelos tokens correspondentes. Então, o mesmo que o token Sei. 0x 6 f 9963448071 b 88 FB 23 Fd 9971 d 24 A 87 e 5244451 A Operações de compra e venda em lote. Nas operações de compra e venda, a liquidez aumenta significativamente e os preços sobem.
Depois, através de phishing e outros meios de publicidade, um grande número de utilizadores é atraído para comprar.À medida que a liquidez aumenta, o preço do token duplica.
Assim como o SEI, quando o preço do token atinge um determinado valor, o proprietário do token entra no mercado para vender e realizar o Rugpull. Como pode ser observado na figura abaixo, os períodos de entrada e colheita e os preços são diferentes.
Os gráficos de flutuação dos tokens SEI, X, TIP e Blue são os seguintes:
Podemos aprender com a rastreabilidade dos fundos e os padrões comportamentais:
No conteúdo de rastreabilidade de fundos, os fundadores da fábrica de tokens e os fundos dos criadores de tokens vêm de múltiplas contas EOA. Existem também trocas de fundos entre contas diferentes, algumas das quais são transferidas através de endereços de phishing, algumas são obtidas através de comportamentos anteriores de token Rugpull e algumas são obtidas através de plataformas de mistura de moedas, como o tornado cash. O uso de vários métodos para transferir fundos visa construir uma rede financeira complexa e intrincada. Endereços diferentes também criam vários contratos de fábrica de tokens e produzem tokens em grandes quantidades. .
Ao analisar o comportamento do token Rugpull, descobrimos que o endereço 0x6f9963448071b88FB23Fd9971d24A87e5244451A era uma das fontes de financiamento. Uma abordagem em lote também é usada ao operar preços de tokens. O endereço 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 também atua como provedor de fundos, fornecendo fundos correspondentes a vários detentores de tokens. .
Em suma, existe uma gangue fraudulenta Web3 com uma clara divisão de trabalho por trás dessa série de ações, formando uma cadeia da indústria negra, que envolve principalmente coleta de pontos de acesso, emissão automática de moeda, transações automáticas, propaganda falsa, ataques de phishing, colheita de Rugpull, etc., ocorrendo principalmente no BNBChain. Os tokens Rugpull falsos emitidos estão intimamente relacionados a eventos importantes do setor e são altamente confusos e instigantes. Os usuários precisam estar sempre vigilantes, permanecer racionais e evitar perdas desnecessárias.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
SharkTeam: Análise da cadeia da indústria negra da fábrica Rugpull
Houve vários incidentes de Rug Pull recentemente, e a equipe de pesquisa de segurança do SharkTeam conduziu uma análise detalhada desses incidentes. Durante a análise, descobrimos que o contrato de fábrica de Rugpull na Rede BNB iniciou mais de 70 Rugpulls no mês passado. A seguir, analisaremos os aspectos de rastreabilidade de fundos e padrões de comportamento fraudulentos.
Devido a limitações de espaço, analisaremos principalmente eventos de token SEI, X, TIP e Blue. Esses tokens são criados pela operação createToken do contrato de fábrica de tokens 0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696.
Na função createToken, os seguintes parâmetros precisam ser passados ao criar um token: nome do token, símbolo do token, precisão, fornecimento, endereço do proprietário do token, endereço do contrato de fábrica para criação de pares de tokens e endereço stablecoin BUSD-T. Entre eles, o contrato de fábrica para a criação de pares de tokens utiliza o contrato de fábrica do PancakeSwap, e cada token possui um endereço de proprietário diferente.
1. Rastreabilidade de fundos
O endereço do proprietário, símbolo e endereço do contrato dos tokens SEI, X, TIP e Blue são mostrados na figura abaixo. Entre eles, o endereço do proprietário de X, TIP e Blue é:
0x44A028Dae3680697795A8d50960c8C155cBc0D74。
0x 44 A 028 Os fundos de Da vêm de 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3, endereço 0x 0 a 8310 ec Os fundos vêm de várias contas EOA e têm um endereço comum
0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3。
A seguir estão as informações relevantes para o contrato Token Factory 0x DC 4397 ffb 9 F 2C 9119 ED 9 c 32 E 42 E 3588 bbD 377696. O contrato de fábrica foi criado com o endereço 0x 1 dE 949 eac 4 b 5 fc 1 B 814 E 733 C D5 6 AE 65 DfF 1 bcEEF. Os fundos no endereço 0x1dE949ea vêm de várias contas e há um endereço de origem de fundos de 0x 072 e 9 A 13791 f 3 a 45 fc 6 eB 6 AD 38 e 6 ea 258 C 080 cc 3.
A origem dos recursos no endereço 0x 072 e 9 A 13 é a seguinte: O endereço 0x 1 dE 949 ea possui alguma interação de fundos. Outros endereços também criaram contratos de tokens de fábrica e são Rug Pullers para alguns tokens.
Por exemplo, 0x 04067 B 4 fcC 9 f 3d 99 aC 5211 cfE 8 d 3 e 8687 B 0401 d 3 é financiado por 0x 6 ae 8 F 98830894518 c 939 B 0 D 0 A 5 EF 11 c 671 e 9 DFCa. E 0x6ae8F988 cria o contrato de fábrica 0x e 83 EbBb 4 acc 3d 8 B 237923 Ee 33 3D 04 B 887 ca 1 a 008. O contrato de fábrica também executa o mesmo comportamento de criação de token:
Selecionamos um dos tokens para análise e descobrimos que o token possui comportamento Rug Pull.
Os fundos de 0x6ae8F988 vêm de 0xa6764FBbbFD89AEeBac25FCbB69d3E9438395e57, e os fundos deste endereço vêm de 0xE5A5c50980176Cc32573c993D0b99a843D77BC6E. Os fundos no endereço 0xE5A5c509 são fornecidos pelo endereço Tornado Cash e os fundos são de 10 BNB. Além dos recursos disponibilizados pelo Tornado, há também uma parte dos lucros obtidos por meio de phishing e token Rug Pull.
Além disso, o endereço acima desempenhou um papel importante no padrão subsequente de comportamento fraudulento nas instalações de Rugpull.
2. Modelo de comportamento fraudulento da fábrica Rugpull
Vamos dar uma olhada nos padrões de comportamento de fraude da fábrica Rugpull dos tokens SEI, X, TIP e Blue.
(1)SEI
Primeiro, o proprietário do token SEI 0x 0 a 8310 eca 430 beb 13 a 8 d 1 b 42 a 03 b 3521326 e 4 a 58 trocou 249 SEIs ao preço de 1u.
Em seguida, 0x6f9963448071b88FB23Fd9971d24A87e5244451A realizou operações de compra e venda em massa. Nas operações de compra e venda, a liquidez do token aumentou significativamente e o preço também aumentou.
Promova-o através de phishing e outros métodos para atrair um grande número de usuários à compra.À medida que a liquidez aumenta, o preço do token dobra.
Quando o preço do token atinge um determinado valor, o proprietário do token entra na operação de venda para realizar o Rugpull. Pode-se observar na figura abaixo que o tempo de colheita e o preço são diferentes.
(2)X、PONTA、Azul
Primeiro, o proprietário dos tokens X, TIP e Blue 0x44A028Dae3680697795A8d50960c8C155cBc0D74 trocou 1u pelos tokens correspondentes. Então, o mesmo que o token Sei. 0x 6 f 9963448071 b 88 FB 23 Fd 9971 d 24 A 87 e 5244451 A Operações de compra e venda em lote. Nas operações de compra e venda, a liquidez aumenta significativamente e os preços sobem.
Depois, através de phishing e outros meios de publicidade, um grande número de utilizadores é atraído para comprar.À medida que a liquidez aumenta, o preço do token duplica.
Assim como o SEI, quando o preço do token atinge um determinado valor, o proprietário do token entra no mercado para vender e realizar o Rugpull. Como pode ser observado na figura abaixo, os períodos de entrada e colheita e os preços são diferentes.
Os gráficos de flutuação dos tokens SEI, X, TIP e Blue são os seguintes:
Podemos aprender com a rastreabilidade dos fundos e os padrões comportamentais:
No conteúdo de rastreabilidade de fundos, os fundadores da fábrica de tokens e os fundos dos criadores de tokens vêm de múltiplas contas EOA. Existem também trocas de fundos entre contas diferentes, algumas das quais são transferidas através de endereços de phishing, algumas são obtidas através de comportamentos anteriores de token Rugpull e algumas são obtidas através de plataformas de mistura de moedas, como o tornado cash. O uso de vários métodos para transferir fundos visa construir uma rede financeira complexa e intrincada. Endereços diferentes também criam vários contratos de fábrica de tokens e produzem tokens em grandes quantidades. .
Ao analisar o comportamento do token Rugpull, descobrimos que o endereço 0x6f9963448071b88FB23Fd9971d24A87e5244451A era uma das fontes de financiamento. Uma abordagem em lote também é usada ao operar preços de tokens. O endereço 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 também atua como provedor de fundos, fornecendo fundos correspondentes a vários detentores de tokens. .
Em suma, existe uma gangue fraudulenta Web3 com uma clara divisão de trabalho por trás dessa série de ações, formando uma cadeia da indústria negra, que envolve principalmente coleta de pontos de acesso, emissão automática de moeda, transações automáticas, propaganda falsa, ataques de phishing, colheita de Rugpull, etc., ocorrendo principalmente no BNBChain. Os tokens Rugpull falsos emitidos estão intimamente relacionados a eventos importantes do setor e são altamente confusos e instigantes. Os usuários precisam estar sempre vigilantes, permanecer racionais e evitar perdas desnecessárias.