Autor: Ada
TenArmor e GoPlus possuem um poderoso sistema de detecção de Rugpull. Recentemente, as duas se uniram para realizar uma análise de risco e estudos de caso aprofundados sobre a grave situação dos Rugpulls, revelando as mais recentes táticas e tendências de ataque de Rugpull, além de fornecer recomendações eficazes de proteção de segurança aos usuários.
Estatísticas de eventos de Rugpull
O sistema de detecção da TenArmor detecta diariamente um grande número de eventos de Rugpull. Ao revisar os dados do último mês, notamos uma tendência de aumento nos eventos de Rugpull, especialmente em 14 de novembro, quando o número de eventos de Rugpull atingiu 31. Acreditamos que é necessário expor este fenômeno à comunidade.
As perdas na maioria desses eventos de Rugpull variam de 0 a 100K, totalizando perdas de 15M.
O tipo de Rugpull mais típico no domínio Web3 é o esquema Pixiu. A ferramenta de detecção de segurança do token da GoPlus consegue identificar se um token é um esquema Pixiu. No último mês, a GoPlus detectou um total de 5688 esquemas Pixiu. Mais dados relacionados à segurança podem ser acessados no painel de dados da GoPlus no DUNE.
TL;DR
Resumimos os pontos de prevenção com base nas características atuais dos eventos de Rugpull.
1. Não siga a multidão cegamente; ao comprar tokens populares, verifique se o endereço do token é verdadeiro. Evite comprar tokens falsificados e cair em armadilhas.
2. Ao investir, faça a devida diligência, verificando se o tráfego inicial vem de endereços relacionados ao emissor do contrato; se sim, isso pode indicar uma armadilha de golpe, e deve ser evitado.
3. Verifique o código-fonte do contrato, especialmente preste atenção à implementação das funções transfer/transferFrom, para ver se é possível comprar e vender normalmente. Para código-fonte ofuscado, deve-se evitar.
4. Ao investir, verifique a distribuição dos Holders; se houver uma concentração óbvia de fundos, evite.
5. Verifique a fonte de financiamento do emissor do contrato; sempre que possível, retroceda 10 transações para ver se a fonte de financiamento do emissor do contrato vem de exchanges suspeitas.
6. Fique atento às informações de alerta publicadas pela TenArmor e minimize perdas a tempo. A TenArmor possui a capacidade de detectar previamente esses Scam Tokens; siga a conta X da TenArmor para obter alertas oportunos.
7. O sistema TenTrace já acumulou informações de base de dados de endereços de Scam/Phishing/Exploit de várias plataformas, podendo identificar efetivamente a entrada e saída de fundos de endereços fraudulentos. A TenArmor se dedica a melhorar o ambiente de segurança da comunidade e convida parceiros com necessidades a cooperar.
Características dos eventos de RugPull
Por meio da análise de muitos eventos de Rugpull, descobrimos que os Rugpulls recentes têm as seguintes características.
Disfarçar-se de tokens conhecidos
A partir de 1 de novembro, o sistema de detecção da TenArmor identificou 5 eventos de Rugpull disfarçados de token PNUT. De acordo com a revisão deste tweet, o PNUT começou a operar em 1 de novembro e, em 7 dias, disparou 161 vezes, atraindo a atenção dos investidores. O ponto de tempo em que o PNUT começou a operar e o ponto em que os golpistas começaram a se passar por PNUT são muito consistentes. Os golpistas escolheram se passar por PNUT para atrair mais pessoas desinformadas.
O evento de Rugpull disfarçado de PNUT teve um valor total de fraude de 103.1K. A TenArmor alerta os usuários a não seguirem a multidão cegamente; ao comprar tokens populares, verifique se o endereço do token é verdadeiro.
Para robôs de novos investimentos
A emissão de novos tokens ou projetos novos geralmente atrai grande atenção do mercado. Quando um novo token é emitido pela primeira vez, a volatilidade de preços é alta, e até mesmo o preço em um segundo pode ser muito diferente do preço no segundo seguinte; a busca pela velocidade de negociação se torna o objetivo chave para lucrar. Os robôs de negociação superam os traders humanos em velocidade e capacidade de resposta, tornando os robôs de novos investimentos extremamente populares atualmente.
No entanto, os golpistas também perceberam a presença de muitos robôs de novos investimentos e armaram uma armadilha para atraí-los. Por exemplo, o endereço 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 iniciou mais de 200 eventos de fraude desde outubro de 2024, com cada evento indo da implantação do contrato armadilha ao Rugpull em questão de horas.
Tomando como exemplo um evento recente de fraude iniciado por este endereço, o golpista primeiro utilizou 0xCd93 para criar o token FLIGHT e, em seguida, criou o par de negociação FLIGHT/ETH.
Após a criação do par de negociação, muitos robôs de novos investimentos Banana Gun imediatamente começaram a trocar pequenos valores. Após análise, não é difícil perceber que esses robôs de novos investimentos são controlados por golpistas, com o objetivo de criar tráfego.
Cerca de 50 transações pequenas foram realizadas, e uma vez criado o tráfego, atraiu verdadeiros investidores. A maioria desses investidores também usou robôs de novos investimentos Banana Gun para negociar.
Após um período de negociação, o golpista implantou o contrato para Rugpull; pode-se observar que os fundos desse contrato vieram do endereço 0xC757. Apenas 1 hora e 42 minutos após a implantação do contrato, ocorreu o Rugpull, esvaziando o pool de liquidez e lucrando 27 ETH.
Analisando as táticas desse golpista, não é difícil perceber que ele primeiro cria tráfego por meio de pequenas trocas, atraindo robôs de novos investimentos, e depois implanta o contrato de Rug, esperando que os lucros atinjam o esperado antes de realizar o Rug. A TenArmor acredita que, embora os robôs de novos investimentos possam comprar novos tokens de forma conveniente e rápida, capturando a oportunidade, é necessário também considerar a presença dos golpistas. Ao participar de novos investimentos, faça a devida diligência, verificando se o tráfego inicial vem de endereços relacionados ao emissor do contrato; se sim, então evite.
O código esconde segredos
Imposto sobre transações
A imagem abaixo mostra a implementação do código da função de transferência do FLIGHT. É claramente visível que essa implementação da transferência tem diferenças enormes em relação à implementação padrão. Cada transferência deve ser decidida com base nas condições atuais, para determinar se o imposto deve ser aplicado. Esse imposto sobre transações limita tanto a compra quanto a venda, o que é altamente provável que seja um token fraudulento.
Em situações como esta, os usuários apenas precisam verificar o código-fonte do token para encontrar pistas e evitar cair na armadilha.
Código ofuscado
Na revisão recente e significativa dos eventos de Rug Pull da TenArmor: como investidores e usuários devem reagir, o artigo menciona que alguns golpistas, para esconder suas intenções, propositadamente ofuscam o código, dificultando a legibilidade. Encontre esse tipo de situação e evite-a imediatamente.
Aprovado rug de maneira descarada
Entre os muitos eventos de Rugpull detectados pela TenArmor, não faltam os descarados. Por exemplo, essa transação deixa claro a intenção.
Do momento em que o golpista implanta o contrato para Rugpull até o verdadeiro Rugpull, geralmente há uma janela de tempo. Por exemplo, a janela de tempo neste caso foi de quase 3 horas. Para prevenir esse tipo de golpe, fique atento à conta X da TenArmor, onde publicaremos mensagens sobre a implantação de contratos de risco desse tipo, alertando os usuários a retirarem seus investimentos a tempo.
Além disso, rescueEth/recoverStuckETH também são interfaces comuns de Rugpull. Claro, ter essa interface não significa que seja realmente um Rugpull, é necessário combinar com outras características para identificar.
Concentração de Holders
Recentemente, a TenArmor detectou que a distribuição dos Holders nos eventos de Rugpull também apresenta características muito específicas. Selecionamos aleatoriamente 3 eventos de Rugpull e analisamos a distribuição dos Holders. A situação é a seguinte.
0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a
0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115
0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Nestes 3 casos, não é difícil perceber que o par Uniswap V2 é o maior holder, dominando em quantidade de tokens. A TenArmor avisa os usuários que, se um token tiver Holders concentrados em um único endereço, como no par Uniswap V2, esse token deve ser negociado com cautela.
Fonte de financiamento
Selecionamos aleatoriamente 3 eventos de Rugpull detectados pela TenArmor para analisar a fonte de financiamento.
Caso 1
tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
Rastreando 6 transações anteriores, encontramos fluxo de fundos do FixedFloat.
FixedFloat é uma exchange de criptomoedas automatizada que não requer registro de usuário ou verificação KYC. Os golpistas preferem trazer fundos do FixedFloat para ocultar suas identidades.
Caso 2
tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
Rastreando 5 transações anteriores, encontramos fluxo de fundos do MEXC 1.
Em 15 de março de 2024, a Comissão de Valores Mobiliários de Hong Kong emitiu um aviso sobre a plataforma MEXC, mencionando que a MEXC promove ativamente seus serviços para investidores em Hong Kong, mas não obteve licença da comissão ou solicitou uma. A comissão já listou a MEXC e seu site na lista de alerta de plataformas de negociação de ativos virtuais suspeitas.
Caso 3
tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Rastreando 5 transações anteriores, encontramos fluxo de fundos do Disperse.app.
O Disperse.app é usado para distribuir ETH para diferentes endereços de contrato (distribuir ether ou tokens para múltiplos endereços).
A análise da transação revelou que o chamador do Disperse.app é 0x511E04C8f3F88541d0D7DFB662d71790A419a039, e duas transações anteriores revelaram o fluxo de fundos do Disperse.app.
A análise da transação revelou que o chamador do Disperse.app é 0x97e8B942e91275E0f9a841962865cE0B889F83ac, e duas transações anteriores revelaram o fluxo de fundos do MEXC 1.
Analisando os 3 casos acima, os golpistas escolheram exchanges sem KYC e sem licença para depositar. A TenArmor avisa os usuários que, ao investir em novos tokens, verifiquem se a fonte de financiamento do emissor do contrato vem de exchanges suspeitas.
Medidas de prevenção
Baseado na coleta de dados da TenArmor e GoPlus, este artigo revisa de forma abrangente as características técnicas dos Rugpulls e apresenta casos representativos. Para as características dos Rugpulls mencionadas, resumimos as medidas de prevenção correspondentes a seguir.
1. Não siga a multidão cegamente; ao comprar tokens populares, verifique se o endereço do token é verdadeiro. Evite comprar tokens falsificados e cair em armadilhas.
2. Ao investir, faça a devida diligência, verificando se o tráfego inicial vem de endereços relacionados ao emissor do contrato; se sim, isso pode indicar uma armadilha de golpe, e deve ser evitado.
3. Verifique o código-fonte do contrato, especialmente preste atenção à implementação das funções transfer/transferFrom, para ver se é possível comprar e vender normalmente. Para código-fonte ofuscado, deve-se evitar.
4. Ao investir, verifique a distribuição dos Holders; se houver uma concentração óbvia de fundos, evite escolher esse token.
5. Verifique a fonte de financiamento do emissor do contrato; sempre que possível, retroceda 10 transações para ver se a fonte de financiamento do emissor do contrato vem de exchanges suspeitas.
6. Fique atento às informações de alerta publicadas pela TenArmor e minimize perdas a tempo. A TenArmor possui a capacidade de detectar previamente esses Scam Tokens; siga a conta X da TenArmor para obter alertas oportunos.
Os endereços maliciosos envolvidos nesses eventos de Rugpull são automaticamente adicionados ao sistema TenTrace. O sistema TenTrace é uma solução de anti-lavagem de dinheiro (AML) desenvolvida autonomamente pela TenArmor, aplicável em múltiplos cenários como anti-lavagem de dinheiro, anti-golpe, rastreamento de identidade de atacantes, etc. O sistema TenTrace já acumulou informações de base de dados de endereços de Scam/Phishing/Exploit de várias plataformas, podendo identificar efetivamente a entrada de fundos de endereços fraudulentos e monitorar com precisão a saída de fundos desses endereços. A TenArmor se dedica a melhorar o ambiente de segurança da comunidade e convida parceiros com necessidades a cooperar.
Sobre a TenArmor
A TenArmor é sua primeira linha de defesa no mundo Web3. Oferecemos soluções de segurança avançadas, focando em resolver os desafios únicos trazidos pela tecnologia blockchain. Por meio de nossos produtos inovadores ArgusAlert e VulcanShield, garantimos proteção em tempo real contra ameaças potenciais e resposta rápida. Nossa equipe de especialistas é proficiente em tudo, desde auditoria de contratos inteligentes até rastreamento de criptomoedas, tornando-se a parceira preferida de qualquer organização que deseje proteger seus ativos digitais em um domínio descentralizado.
Siga-nos @TenArmorAlert para receber os mais recentes alertas de segurança do Web3.
Entre em contato conosco:
X: @TenArmor
Mail: team@tenarmor.com
Telegram: TenArmorTeam
Medium: TenArmor
Sobre o GoPlus
A GoPlus, como a primeira rede de proteção de segurança on-chain, visa fornecer a cada usuário uma proteção de segurança on-chain fácil de usar e abrangente para garantir a segurança de cada transação e ativo do usuário.
A arquitetura dos serviços de segurança é principalmente dividida em GoPlus APP (produtos da web e extensões de navegador) voltados diretamente para usuários finais e GoPlus Intelligence, que atende indiretamente usuários finais (por meio de integrações B2B), cobrindo a mais ampla gama de usuários do Web3 e vários cenários de negociação, com a meta de construir uma rede de proteção de segurança on-chain aberta e impulsionada pelo usuário.
Por um lado, qualquer projeto pode se conectar ao GoPlus para oferecer proteção de segurança on-chain aos usuários; por outro lado, o GoPlus também permite que os desenvolvedores aproveitem suas próprias vantagens para implantar produtos de segurança inovadores no mercado de segurança do GoPlus, permitindo que os usuários escolham e configurem serviços de segurança personalizados e convenientes, construindo assim um ecossistema de segurança descentralizado e aberto de colaboração entre desenvolvedores e usuários.
Atualmente, o GoPlus se tornou o parceiro de segurança preferido para os construtores do Web3, com seus serviços de segurança on-chain sendo amplamente adotados e integrados por Trust Wallet, CoinMarketCap, OKX, Bybit, DexScreener, SushiSwap, entre outros; a média diária de chamadas supera 34 milhões, totalizando mais de 4 bilhões de chamadas, cobrindo mais de 90% das transações on-chain dos usuários, e sua plataforma de aplicativos de segurança aberta já atendeu mais de 12 milhões de usuários on-chain.
Nossa comunidade:
X: @GoPlusSecurity
Discord: GoPlusSecurity
Medium: GoPlusSecurity
