Autor: Ada

TenArmor und GoPlus verfügen über ein leistungsstarkes Rugpull-Detektionssystem. Kürzlich haben die beiden zusammengearbeitet, um die schwerwiegenden aktuellen Rugpull-Situationen eingehend zu analysieren und Fallstudien durchzuführen, die die neuesten Methoden und Trends von Rugpull-Angriffen aufdecken und den Benutzern wirksame Sicherheitsvorschläge bieten.

Statistik zu Rugpull-Ereignissen

Das Detektionssystem von TenArmor erkennt täglich eine große Anzahl von Rugpull-Ereignissen. Ein Rückblick auf die Daten des letzten Monats zeigt einen Anstieg der Rugpull-Ereignisse, insbesondere am 14. November, als es an diesem Tag 31 Rugpull-Ereignisse gab. Wir halten es für notwendig, diese Situation der Community offenzulegen.

Die Verluste bei diesen Rugpull-Ereignissen liegen hauptsächlich im Bereich von 0 - 100K, insgesamt 15M.

Die typischste Art von Rugpull im Web3-Bereich ist das PiXiu-Schema. Das Token-Sicherheitsüberprüfungstool von GoPlus kann erkennen, ob ein Token ein PiXiu-Schema ist. Im vergangenen Monat hat GoPlus insgesamt 5688 PiXiu-Schemata erkannt. Weitere sicherheitsrelevante Daten können auf dem Daten-Dashboard von GoPlus in DUNE eingesehen werden.

TL;DR

Basierend auf den Merkmalen der aktuellen Rugpull-Ereignisse haben wir die Präventionspunkte wie folgt zusammengefasst.

1. Folgen Sie nicht blind dem Trend. Überprüfen Sie beim Kauf von heißen Coins, ob die Adresse des Coins die echte Adresse ist. Verhindern Sie den Kauf gefälschter Coins und den Fall in Betrugsfallen.

2. Bei neuen Käufen sollten Sie eine Due Diligence durchführen, um zu prüfen, ob der anfängliche Geldfluss von Adressen des Vertragserstellers stammt. Wenn ja, bedeutet das, dass es sich möglicherweise um eine Betrugsfalle handelt, die möglichst vermieden werden sollte.

3. Überprüfen Sie den Quellcode des Vertrags, insbesondere die Implementierung der Funktionen transfer/transferFrom, um zu sehen, ob ein normaler Kauf und Verkauf möglich ist. Bei verwirrtem Quellcode sollte vermieden werden.

4. Überprüfen Sie beim Investieren die Verteilung der Inhaber. Wenn es eine offensichtliche Konzentration von Geldern gibt, vermeiden Sie möglichst.

5. Überprüfen Sie die Finanzierungsquelle des Vertragsanbieters und verfolgen Sie möglichst 10 Sprünge zurück, um zu sehen, ob die Finanzierungsquelle des Vertragserstellers von verdächtigen Börsen stammt.

6. Achten Sie auf die von TenArmor veröffentlichten Warnmeldungen, um rechtzeitig Verluste zu vermeiden. TenArmor hat die Fähigkeit, Scam-Token im Voraus zu erkennen, und verfolgt TenArmors X-Konto, um rechtzeitige Warnungen zu erhalten.

7. Das TenTrace-System hat mittlerweile Adressdatenbanken zu Scam/Phishing/Exploits auf mehreren Plattformen angesammelt, die effektiv den Geldfluss von schwarzen Adressen erkennen können. TenArmor setzt sich dafür ein, die Sicherheitsumgebung der Community zu verbessern und lädt Partner mit Bedarf zur Zusammenarbeit ein.

Merkmale von RugPull-Ereignissen

Durch die Analyse zahlreicher Rugpull-Ereignisse haben wir festgestellt, dass die aktuellen Rugpulls folgende Merkmale aufweisen.

Vortäuschung bekannter Coins

Seit dem 1. November hat das TenArmor-Detektionssystem 5 Rugpull-Ereignisse entdeckt, die sich als PNUT-Token ausgeben. Laut dieser Zusammenstellung begann PNUT am 1. November mit dem Betrieb und stieg innerhalb von 7 Tagen um das 161-fache, was erfolgreich das Interesse von Investoren ansprach. Der Zeitpunkt des Betriebs und des Anstiegs von PNUT stimmt sehr genau mit dem Zeitpunkt überein, an dem Betrüger begannen, sich als PNUT auszugeben. Die Betrüger wählten die Täuschung mit PNUT, um mehr ahnungslose Personen zu ködern.

Der Rugpull-Vorfall, der sich als PNUT ausgibt, betrug insgesamt 103,1K. TenArmor erinnert die Benutzer daran, nicht blind dem Trend zu folgen und beim Kauf von heißen Coins zu überprüfen, ob die Adresse des Coins die echte Adresse ist.

Für neue Investoren

Die Ausgabe neuer Coins oder neuer Projekte zieht normalerweise ein enormes Interesse des Marktes nach sich. Bei der erstmaligen Ausgabe neuer Coins schwanken die Preise stark, und selbst der Preis in der einen Sekunde kann erheblich von dem in der nächsten Sekunde abweichen; die Verfolgung der Handelsgeschwindigkeit wird zum entscheidenden Ziel für den Gewinn. Handelsbots übertreffen in Geschwindigkeit und Reaktionsfähigkeit menschliche Händler erheblich, weshalb neue Investoren derzeit sehr gefragt sind.

Die Betrüger haben jedoch auch die große Anzahl von Handelsbots wahrgenommen und Trap-Contracts aufgebaut, um die Handelsbots zu ködern. Beispielsweise hat die Adresse 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 seit Oktober 2024 über 200 Betrugsereignisse initiiert, wobei jedes Ereignis vom Aufbau des Trap-Contracts bis zum Rugpull innerhalb weniger Stunden abgeschlossen wurde.

Als Beispiel für einen kürzlich von dieser Adresse initiierten Betrugsfall nutzte der Betrüger 0xCd93 zur Erstellung des FLIGHT-Tokens und dann zur Erstellung des FLIGHT/ETH-Handelspaars.

Nachdem das Handelspaar erstellt wurde, strömten sofort zahlreiche Banana Gun Handelsbots in den kleinen Austausch von Token. Nach der Analyse ist es nicht schwer zu erkennen, dass diese Handelsbots alle von Betrügern kontrolliert werden, mit dem Ziel, Geldfluss zu erzeugen.

Ungefähr 50 kleine Transaktionen wurden durchgeführt, und nachdem der Geldfluss erzeugt wurde, zogen sie echte Investoren an. Die meisten dieser Investoren verwendeten auch den Banana Gun Handelsbot für Transaktionen.

Nachdem der Handel eine Weile andauerte, implementierte der Betrüger den Rugpull-Vertrag, wobei zu sehen ist, dass die Gelder von der Adresse 0xC757 stammen. Nach der Bereitstellung des Vertrags, nur 1 Stunde und 42 Minuten später, wurde der Rugpull durchgeführt und der Liquiditätspool vollständig abgeräumt, mit einem Gewinn von 27 ETH.

Die Analyse der Methoden dieses Betrügers zeigt, dass er zunächst mit kleinen Beträgen einen Geldfluss erzeugt, um neue Investoren zu ködern, bevor er den Rugpull-Vertrag implementiert. Wenn die Gewinne den Erwartungen entsprechen, zieht er den Rug. TenArmor glaubt, dass, obwohl neue Investoren schnell und bequem neue Coins kaufen können, sie auch die Existenz von Betrügern berücksichtigen müssen. Bei neuen Käufen sollte eine Due Diligence durchgeführt werden, um zu prüfen, ob der anfängliche Geldfluss von Adressen des Vertragserstellers stammt; wenn ja, sollte man umschiffen.

Geheimnisse im Quellcode

Transaktionsbesteuerung

Das folgende Bild zeigt den Implementierungscode der Transferfunktion von FLIGHT. Es ist deutlich zu erkennen, dass diese Implementierung von der Standardimplementierung erheblich abweicht. Bei jeder Überweisung muss entschieden werden, ob Steuern erhoben werden, basierend auf den aktuellen Bedingungen. Diese Transaktionssteuer schränkt sowohl den Kauf als auch den Verkauf ein, was wahrscheinlich ein Betrugscoin ist.

In solchen Fällen müssen Benutzer nur den Quellcode des Tokens überprüfen, um Hinweise zu finden und in die Falle zu tappen.

Code-Verschleierung

In TenArmors Rückblick auf die neuesten und bedeutendsten Rug Pull-Ereignisse: Wie sollten Investoren und Benutzer reagieren? In dem Artikel wird erwähnt, dass einige Betrüger absichtlich den Quellcode verwirren, um ihre Absichten unverständlich zu machen. In solchen Fällen sollten Sie sich sofort zurückziehen.

Offensichtlicher rugApproved

Von den zahlreichen Rugpull-Ereignissen, die TenArmor erkannt hat, gibt es auch offensichtliche Fälle. Zum Beispiel zeigt diese Transaktion direkt die Absicht an.

Von der Bereitstellung des Rugpull-Vertrags durch den Betrüger bis zum tatsächlichen Rugpull gibt es normalerweise ein Zeitfenster. Zum Beispiel beträgt das Zeitfenster in diesem Fall fast 3 Stunden. Um diese Art von Betrug zu verhindern, können Sie TenArmors X-Konto beobachten; wir werden rechtzeitig Nachrichten über die Bereitstellung solcher Risiko-Verträge versenden, um die Benutzer zu warnen, ihre Investitionen rechtzeitig abzuziehen.

Darüber hinaus sind rescueEth/recoverStuckETH auch häufig verwendete Rugpull-Schnittstellen. Natürlich bedeutet das Vorhandensein dieser Schnittstelle nicht, dass es sich wirklich um einen Rugpull handelt; es ist notwendig, andere Merkmale zur Identifizierung zu berücksichtigen.

Konzentration der Inhaber

In den von TenArmor kürzlich erkannten Rugpull-Ereignissen ist die Verteilung der Inhaber ebenfalls sehr charakteristisch. Wir haben zufällig die Verteilung der Inhaber von 3 Token in Rugpull-Ereignissen ausgewählt. Der Zustand ist wie folgt.

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

In diesen 3 Fällen ist es nicht schwer zu erkennen, dass das Uniswap V2-Paar der größte Inhaber ist und bei der Anzahl der gehaltenen Coins einen absoluten Vorteil hat. TenArmor erinnert die Benutzer daran, vorsichtig zu sein, wenn sie feststellen, dass die Inhaber eines Coins auf eine Adresse konzentriert sind, wie im Fall des Uniswap V2-Paares.

Finanzierungsquelle

Wir haben aus den von TenArmor erkannten Rugpull-Ereignissen zufällig 3 ausgewählt, um die Finanzierungsquellen zu analysieren.

Fall 1

tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291

Durch Rückverfolgung von 6 Sprüngen wurde der Geldfluss zu FixedFloat entdeckt.

FixedFloat ist eine automatisierte Kryptowährungsbörse, die keine Registrierung oder KYC-Überprüfung erfordert. Betrüger wählen die Finanzierung von FixedFloat, um ihre Identität zu verbergen.

Fall 2

tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725

Durch Rückverfolgung von 5 Sprüngen wurde der Geldfluss zu MEXC 1 entdeckt.

Am 15. März 2024 veröffentlichte die Hongkonger Wertpapieraufsichtsbehörde eine Warnung zu der Plattform MEXC. Der Artikel erwähnt, dass MEXC aktiv seine Dienste an Investoren in Hongkong bewirbt, jedoch keine Lizenz von der Wertpapieraufsichtsbehörde erhalten oder beantragt hat. Die Wertpapieraufsichtsbehörde hat MEXC und seine Website am 15. März 2024 in die Liste der verdächtigen virtuellen Vermögenshandelsplattformen aufgenommen.

Fall 3

tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Durch Rückverfolgung von 5 Sprüngen wurde der Geldfluss zu Disperse.app entdeckt.

Disperse.app wird verwendet, um ETH an verschiedene Vertragsadressen zu verteilen (Ether oder Tokens an mehrere Adressen verteilen).

Die Analyse der Transaktionen zeigt, dass der Aufrufer von Disperse.app 0x511E04C8f3F88541d0D7DFB662d71790A419a039 ist, und durch zwei Sprünge zurück wurde der Geldfluss zu Disperse.app entdeckt.

Die Analyse der Transaktionen zeigt, dass der Aufrufer von Disperse.app 0x97e8B942e91275E0f9a841962865cE0B889F83ac ist. Durch zwei Sprünge zurück wurde der Geldfluss von MEXC 1 entdeckt.

Die Analyse der oben genannten 3 Fälle zeigt, dass die Betrüger eine Einzahlung von nicht-KYC und nicht-lizenzierten Börsen gewählt haben. TenArmor erinnert die Benutzer daran, beim Investieren in neue Coins zu überprüfen, ob die Finanzierungsquelle des Vertragserstellers von verdächtigen Börsen stammt.

Präventionsmaßnahmen

Basierend auf den Daten von TenArmor und GoPlus hat dieser Artikel die technischen Merkmale von Rugpull umfassend untersucht und repräsentative Fälle dargestellt. Zu den oben genannten Rugpull-Merkmalen haben wir die entsprechenden Präventionsmaßnahmen wie folgt zusammengefasst.

1. Folgen Sie nicht blind dem Trend. Überprüfen Sie beim Kauf von heißen Coins, ob die Adresse des Coins die echte Adresse ist. Verhindern Sie den Kauf gefälschter Coins und den Fall in Betrugsfallen.

2. Bei neuen Käufen sollten Sie eine Due Diligence durchführen, um zu prüfen, ob der anfängliche Geldfluss von Adressen des Vertragserstellers stammt. Wenn ja, bedeutet das, dass es sich möglicherweise um eine Betrugsfalle handelt, die möglichst vermieden werden sollte.

3. Überprüfen Sie den Quellcode des Vertrags, insbesondere die Implementierung der Funktionen transfer/transferFrom, um zu sehen, ob ein normaler Kauf und Verkauf möglich ist. Bei verwirrtem Quellcode sollte vermieden werden.

4. Überprüfen Sie beim Investieren die Verteilung der Inhaber. Wenn es eine offensichtliche Konzentration von Geldern gibt, vermeiden Sie möglichst die Auswahl dieser Kryptowährung.

5. Überprüfen Sie die Finanzierungsquelle des Vertragsanbieters und verfolgen Sie möglichst 10 Sprünge zurück, um zu sehen, ob die Finanzierungsquelle des Vertragserstellers von verdächtigen Börsen stammt.

6. Achten Sie auf die von TenArmor veröffentlichten Warnmeldungen, um rechtzeitig Verluste zu vermeiden. TenArmor hat die Fähigkeit, Scam-Token im Voraus zu erkennen, und verfolgt TenArmors X-Konto, um rechtzeitige Warnungen zu erhalten.

Die bösartigen Adressen, die in diesen Rugpull-Ereignissen beteiligt sind, werden in Echtzeit in das TenTrace-System aufgenommen. Das TenTrace-System ist ein von TenArmor eigenständig entwickeltes Anti-Geldwäsche-System (AML), das für mehrere Szenarien wie Geldwäsche, Betrug und Verfolgung von Angreiferidentitäten geeignet ist. Das TenTrace-System hat mittlerweile Adressdatenbanken zu Scam/Phishing/Exploits auf mehreren Plattformen angesammelt, die effektiv den Geldfluss von schwarzen Adressen erkennen können und in der Lage sind, den Geldfluss aus schwarzen Adressen genau zu überwachen. TenArmor setzt sich dafür ein, die Sicherheitsumgebung der Community zu verbessern und lädt Partner mit Bedarf zur Zusammenarbeit ein.

Über TenArmor

TenArmor ist Ihre erste Verteidigungslinie in der Web3-Welt. Wir bieten fortschrittliche Sicherheitslösungen an, die sich auf die einzigartigen Herausforderungen konzentrieren, die die Blockchain-Technologie mit sich bringt. Mit unseren innovativen Produkten ArgusAlert und VulcanShield stellen wir den Echtzeitschutz und die schnelle Reaktion auf potenzielle Bedrohungen sicher. Unser Expertenteam ist in allem versiert, von der Überprüfung von Smart Contracts bis zur Verfolgung von Kryptowährungen und ist der bevorzugte Partner für Organisationen, die ihre digitalen Vermögenswerte im dezentralen Bereich schützen möchten.

Folgen Sie uns @TenArmorAlert, um rechtzeitig unsere neuesten Web3-Sicherheitswarnungen zu erhalten.

Kontaktieren Sie uns:

X: @TenArmor

Mail: team@tenarmor.com

Telegram: TenArmorTeam

Medium: TenArmor

Über GoPlus

GoPlus, als erstes On-Chain-Sicherheitsnetzwerk, hat sich zum Ziel gesetzt, jedem Benutzer die am leichtesten zu bedienenden und umfassendsten Sicherheitsgarantien zu bieten, um die Sicherheit jeder Transaktion und jedes Vermögens der Benutzer zu gewährleisten.

Die Sicherheitsdienstarchitektur unterteilt sich hauptsächlich in die direkt an Endbenutzer gerichtete GoPlus APP (Web- und Browser-Plugin-Produkte) und die indirekten Dienste für Endbenutzer (durch B2B-Integration oder -Zugang) von GoPlus Intelligence, die die breiteste Web3-Benutzergemeinschaft und verschiedene Handelszenarien abdeckt und darauf abzielt, ein offenes, benutzergetriebenes On-Chain-Sicherheitsnetzwerk aufzubauen:

Einerseits kann jedes Projekt durch die Integration von GoPlus seinen Benutzern On-Chain-Sicherheitsmaßnahmen bieten, andererseits erlaubt GoPlus Entwicklern, ihre eigenen Vorteile zu nutzen, um innovative Sicherheitsprodukte auf dem GoPlus-Sicherheitsmarkt bereitzustellen. Benutzer können bequem und individuell Sicherheitsdienste auswählen und konfigurieren, um ein offenes, dezentralisiertes Sicherheitsökosystem der Zusammenarbeit zwischen Entwicklern und Benutzern aufzubauen.

Derzeit ist GoPlus der bevorzugte Sicherheitskooperationspartner für Web3-Builder. Ihre On-Chain-Sicherheitsdienste werden weitreichend von Trust Wallet, CoinMarketCap, OKX, Bybit, DexScreener, SushiSwap und anderen genutzt und integriert, mit einem durchschnittlichen täglichen Aufruf von über 34 Millionen und insgesamt über 4 Milliarden Aufrufen, die über 90 % der On-Chain-Transaktionen der Benutzer abdecken; ihre offene Sicherheitsanwendungsplattform hat bereits über 12 Millionen On-Chain-Benutzer bedient.

Unsere Community:

X: @GoPlusSecurity

Discord: GoPlusSecurity

Medium: GoPlusSecurity