Autor: Ada
TenArmor y GoPlus cuentan con un potente sistema de detección de Rugpull. Recientemente, ambos se han unido para realizar un análisis de riesgo y un estudio de casos sobre la grave situación de Rugpull en curso, revelando las últimas técnicas y tendencias de ataque de Rugpull, y ofreciendo recomendaciones efectivas de seguridad a los usuarios.
Estadísticas de eventos de Rugpull
El sistema de detección de TenArmor detecta diariamente una gran cantidad de eventos de Rugpull. Al revisar los datos del último mes, se observa una tendencia al alza en los eventos de Rugpull, especialmente el 14 de noviembre, cuando se registraron 31 eventos en un solo día. Creemos que es necesario exponer este fenómeno a la comunidad.
La mayoría de las pérdidas en estos eventos de Rugpull caen en el rango de 0 a 100K, con pérdidas acumuladas que alcanzan los 15M.
El tipo de Rugpull más típico en el ámbito Web3 es el esquema de Pi Xiu. La herramienta de detección de seguridad de tokens de GoPlus puede identificar si un token es un esquema de Pi Xiu. En el último mes, GoPlus ha detectado un total de 5688 esquemas de Pi Xiu. Para más datos relacionados con la seguridad, se puede visitar el panel de datos de GoPlus en DUNE.
TL;DR
Basándonos en las características actuales de los eventos de Rugpull, resumimos los puntos de prevención a continuación.
1. No sigas a ciegas las tendencias; al comprar criptomonedas populares, verifica si la dirección de la criptomoneda es la correcta. Evita comprar criptomonedas falsas y caer en trampas de estafa.
2. Al lanzar nuevas criptomonedas, se debe realizar la debida diligencia para verificar si el tráfico inicial proviene de direcciones relacionadas con el emisor del contrato; si es así, significa que podría ser una trampa de fraude y debe evitarse en lo posible.
3. Verifica el código fuente del contrato, prestando especial atención a la implementación de las funciones transfer/transferFrom, para ver si se pueden comprar y vender normalmente. Para los códigos ofuscados, se deben evitar.
4. Al invertir, verifica la distribución de los Holders; si hay una concentración de fondos evidente, evita en lo posible.
5. Verifica la fuente de fondos del emisor del contrato, trata de rastrear hacia atrás 10 saltos y comprueba si la fuente de fondos del emisor proviene de intercambios sospechosos.
6. Presta atención a las alertas publicadas por TenArmor para detener las pérdidas a tiempo. TenArmor tiene la capacidad de detectar anticipadamente tokens de estafa, sigue la cuenta de X de TenArmor para recibir alertas oportunas.
7. El sistema TenTrace ya ha acumulado información sobre direcciones de Scam/Phishing/Explotación de múltiples plataformas, capaz de identificar eficazmente la entrada y salida de fondos de direcciones negras. TenArmor se dedica a mejorar el entorno de seguridad de la comunidad y da la bienvenida a socios interesados en colaborar.
Características de los eventos de RugPull
Al analizar numerosos eventos de Rugpull, encontramos que los Rugpull recientes tienen las siguientes características.
Suplantando criptomonedas conocidas
Desde el 1 de noviembre, el sistema de detección de TenArmor ha identificado 5 eventos de Rugpull que suplantan el token PNUT. Según el análisis de este tweet, PNUT comenzó a operar el 1 de noviembre y en 7 días experimentó un aumento de 161 veces, atrayendo exitosamente la atención de los inversores. El momento del auge de PNUT y el inicio de la suplantación por parte de los estafadores son muy coincidentes. Los estafadores eligen suplantar PNUT para atraer a más personas desprevenidas.
El evento de Rugpull que suplantó a PNUT tuvo un monto de estafa total de 103.1K. TenArmor recuerda a los usuarios que no sigan ciegamente las tendencias; al comprar criptomonedas populares, verifiquen si la dirección de la criptomoneda es realmente la correcta.
Enfocado en bots de lanzamiento
El lanzamiento de nuevas criptomonedas o proyectos suele generar un gran interés en el mercado. Cuando una nueva criptomoneda se lanza por primera vez, su precio puede fluctuar considerablemente, e incluso el precio puede variar significativamente de un segundo a otro, por lo que la velocidad de transacción se convierte en un objetivo clave para obtener beneficios. Los bots de transacción, tanto en velocidad como en capacidad de respuesta, superan con creces a los traders humanos, por lo que los bots de lanzamiento son muy apreciados en la actualidad.
Sin embargo, los estafadores también han notado la presencia de muchos bots de lanzamiento, por lo que tendieron trampas, esperando que los bots de lanzamiento picaran el anzuelo. Por ejemplo, la dirección 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 ha iniciado más de 200 eventos de estafa desde octubre de 2024, cada evento desde el despliegue del contrato trampa hasta el Rugpull se ha completado en cuestión de horas.
Como ejemplo de un reciente evento de estafa iniciado desde esta dirección, el estafador primero utilizó 0xCd93 para crear el token FLIGHT, y luego creó el par de comercio FLIGHT/ETH.
Después de que se creó el par de comercio, una gran cantidad de bots de lanzamiento de Banana Gun comenzaron a entrar en el intercambio de tokens de bajo valor. Tras un análisis, no es difícil ver que estos bots de lanzamiento están controlados por estafadores, con el objetivo de crear tráfico.
Aproximadamente 50 transacciones pequeñas, una vez que se creó el tráfico, atrajeron a verdaderos inversores. La mayoría de estos inversores también utilizaron bots de lanzamiento de Banana Gun para realizar transacciones.
Después de un tiempo de operación, los estafadores desplegaron el contrato para el Rugpull, y se puede observar que los fondos de este contrato provienen de la dirección 0xC757. Solo 1 hora y 42 minutos después de desplegar el contrato, se realizó el Rugpull, vaciando el fondo de liquidez y obteniendo una ganancia de 27 ETH.
Analizando los métodos de este estafador, se puede ver que el estafador primero crea tráfico a través de pequeños intercambios, atrayendo a los bots de lanzamiento, y luego despliega el contrato de Rug; cuando las ganancias alcanzan lo esperado, se ejecuta el Rug. TenArmor considera que aunque los bots de lanzamiento pueden facilitar y acelerar la compra de nuevas criptomonedas, también se debe considerar la existencia de estafadores. Al invertir en nuevos lanzamientos, se debe realizar la debida diligencia para verificar si el tráfico inicial proviene de direcciones relacionadas con el emisor del contrato; si es así, se debe evitar.
El código oculta secretos
Impuesto sobre transacciones
La siguiente imagen muestra la implementación del código de la función de transferencia de FLIGHT. Se puede ver claramente que esta implementación de transferencia presenta diferencias significativas con la implementación estándar. Cada transferencia debe decidir si se aplicará un impuesto según las condiciones actuales. Este impuesto sobre las transacciones limita tanto la compra como la venta, lo que muy probablemente indica que es una criptomoneda fraudulenta.
En situaciones como esta, los usuarios solo necesitan verificar el código fuente del token para detectar señales de advertencia y evitar caer en trampas.
Ofuscación de código
En la última y significativa revisión de los eventos de Rug Pull de TenArmor: cómo deben responder los inversores y usuarios. El artículo menciona que algunos estafadores, para no permitir que los usuarios comprendan su intención, intencionalmente ofuscan el código fuente, dificultando su legibilidad. Ante esta situación, se debe evitar de inmediato.
Apropiación de rugApproved
Entre los numerosos eventos de Rugpull detectados por TenArmor, hay quienes son bastante descarados. Por ejemplo, esta transacción expresa claramente la intención.
Desde que los estafadores despliegan contratos para Rugpull hasta que realmente se lleva a cabo el Rugpull, generalmente hay una ventana de tiempo. Por ejemplo, en este caso, la ventana de tiempo es de aproximadamente 3 horas. Para prevenir este tipo de estafas, se puede seguir la cuenta de X de TenArmor, donde enviaremos mensajes sobre la implementación de contratos de riesgo en tiempo real, recordando a los usuarios que retiren sus inversiones a tiempo.
Además, rescueEth/recoverStuckETH son también interfaces comunes de Rugpull. Por supuesto, tener esta interfaz no significa que sea realmente un Rugpull; aún se necesitan combinar otras características para identificarlo.
Concentración de Holders
En los eventos de Rugpull detectados recientemente por TenArmor, la distribución de Holders también es muy característica. Seleccionamos aleatoriamente 3 tokens involucrados en eventos de Rugpull y su distribución de Holders es la siguiente.
0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a
0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115
0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
En estos 3 casos, no es difícil notar que el par de Uniswap V2 es el mayor holder, con una ventaja absoluta en la cantidad de tokens en posesión. TenArmor advierte a los usuarios que si notan que la concentración de Holders de un token está en una sola dirección, como en el par de Uniswap V2, ese token debe ser negociado con precaución.
Fuente de fondos
Seleccionamos aleatoriamente 3 eventos de Rugpull detectados por TenArmor para analizar las fuentes de fondos.
Caso 1
tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
Al rastrear hacia atrás 6 saltos, se encuentra la entrada de fondos de FixedFloat.
FixedFloat es un intercambio de criptomonedas automatizado que no requiere registro de usuarios ni verificación KYC. Los estafadores eligen traer fondos de FixedFloat para ocultar su identidad.
Caso 2
tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
Al rastrear hacia atrás 5 saltos, se encuentra la entrada de fondos de MEXC 1.
El 15 de marzo de 2024, la Comisión de Valores de Hong Kong emitió una advertencia sobre la plataforma MEXC, mencionando que MEXC estaba promoviendo activamente sus servicios a los inversores de Hong Kong sin haber obtenido una licencia de la Comisión de Valores o solicitarla. La Comisión de Valores ha incluido a MEXC y su sitio web en una lista de advertencia de plataformas de comercio de activos virtuales sospechosas.
Caso 3
tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Al rastrear hacia atrás 5 saltos, se encuentra la entrada de fondos de Disperse.app.
Disperse.app se utiliza para distribuir ETH a diferentes direcciones de contratos (distribuir ether o tokens a múltiples direcciones).
El análisis de la transacción revela que el invocador de Disperse.app es 0x511E04C8f3F88541d0D7DFB662d71790A419a039, y siguiendo dos saltos hacia atrás se encuentra la entrada de fondos de Disperse.app.
El análisis de la transacción revela que el invocador de Disperse.app es 0x97e8B942e91275E0f9a841962865cE0B889F83ac, y siguiendo dos saltos hacia atrás se encuentra la entrada de fondos de MEXC 1.
Al analizar los 3 casos anteriores, se observa que los estafadores eligieron intercambios sin KYC y sin licencia para depositar fondos. TenArmor recuerda a los usuarios que al invertir en nuevas criptomonedas, deben verificar si la fuente de fondos del emisor del contrato proviene de intercambios sospechosos.
Medidas de prevención
Basado en la colección de datos de TenArmor y GoPlus, este artículo revisa de manera exhaustiva las características técnicas de Rugpull y presenta casos representativos. Las medidas de prevención correspondientes a las características de Rugpull se resumen a continuación.
1. No sigas a ciegas las tendencias; al comprar criptomonedas populares, verifica si la dirección de la criptomoneda es la correcta. Evita comprar criptomonedas falsas y caer en trampas de estafa.
2. Al lanzar nuevas criptomonedas, se debe realizar la debida diligencia para verificar si el tráfico inicial proviene de direcciones relacionadas con el emisor del contrato; si es así, significa que podría ser una trampa de fraude y debe evitarse en lo posible.
3. Verifica el código fuente del contrato, prestando especial atención a la implementación de las funciones transfer/transferFrom, para ver si se pueden comprar y vender normalmente. Para los códigos ofuscados, se deben evitar.
4. Al invertir, verifica la distribución de los Holders; si hay una concentración de fondos evidente, evita elegir esa criptomoneda.
5. Verifica la fuente de fondos del emisor del contrato, trata de rastrear hacia atrás 10 saltos y comprueba si la fuente de fondos del emisor proviene de intercambios sospechosos.
6. Presta atención a las alertas publicadas por TenArmor para detener las pérdidas a tiempo. TenArmor tiene la capacidad de detectar anticipadamente tokens de estafa, sigue la cuenta de X de TenArmor para recibir alertas oportunas.
Las direcciones maliciosas involucradas en estos eventos de Rugpull se ingresan en tiempo real en el sistema TenTrace. El sistema TenTrace es un sistema de detección de lavado de dinero (AML) desarrollado de manera independiente por TenArmor, aplicable a múltiples escenarios, como prevención de lavado de dinero, prevención de fraudes y seguimiento de la identidad de los atacantes. El sistema TenTrace ha acumulado información sobre direcciones de Scam/Phishing/Explotación de múltiples plataformas, capaz de identificar la entrada de fondos de direcciones negras y monitorear con precisión la salida de fondos.
Acerca de TenArmor
TenArmor es su primera línea de defensa en el mundo Web3. Ofrecemos soluciones de seguridad avanzadas, enfocándonos en resolver los desafíos únicos que presenta la tecnología blockchain. A través de nuestros productos innovadores ArgusAlert y VulcanShield, garantizamos protección en tiempo real contra amenazas potenciales y respuestas rápidas. Nuestro equipo de expertos domina todo, desde auditorías de contratos inteligentes hasta el seguimiento de criptomonedas, convirtiéndose en el socio preferido de cualquier organización que busque proteger sus activos digitales en el ámbito descentralizado.
Síguenos en @TenArmorAlert para obtener las últimas alertas de seguridad Web3.
Contáctanos:
X: @TenArmor
Correo: team@tenarmor.com
Telegram: TenArmorTeam
Medium: TenArmor
Acerca de GoPlus
GoPlus, como la primera red de protección de seguridad en la cadena, tiene como objetivo proporcionar a cada usuario una garantía de seguridad completa y fácil de usar, asegurando la seguridad de cada transacción y activo del usuario.
La arquitectura del servicio de seguridad se divide principalmente en la aplicación GoPlus (producto web y extensión de navegador) orientada directamente a los usuarios finales, y GoPlus Intelligence, que presta servicios indirectos a los usuarios finales (a través de la integración o conexión con empresas), abarcando la más amplia gama de usuarios de Web3 y diversos escenarios de transacciones, con el objetivo de construir una red de protección de seguridad en la cadena abierta y dirigida por los usuarios:
Por un lado, cualquier proyecto puede ofrecer protección de seguridad en la cadena a los usuarios a través de GoPlus; por otro lado, GoPlus también permite a los desarrolladores aprovechar sus ventajas y desplegar productos de seguridad innovadores en el mercado de seguridad de GoPlus, permitiendo a los usuarios elegir y configurar de manera conveniente y personalizada sus servicios de seguridad, construyendo así un ecosistema de seguridad descentralizado y abierto en colaboración entre desarrolladores y usuarios.
Actualmente, GoPlus se ha convertido en el socio de seguridad preferido para los Constructores de Web3, sus servicios de seguridad en la cadena son ampliamente utilizados e integrados por Trust Wallet, CoinMarketCap, OKX, Bybit, DexScreener, SushiSwap, etc., con un promedio de más de 34 millones de llamadas diarias, acumulando más de 4 mil millones de llamadas y cubriendo más del 90% de los usuarios en transacciones en la cadena; su plataforma de aplicaciones de seguridad abierta también ha servido a más de 12 millones de usuarios en la cadena.
Nuestra comunidad:
X: @GoPlusSecurity
Discord: GoPlusSecurity
Medium: GoPlusSecurity
