Не наступайте на ті самі граблі.
Автор: Ада
TenArmor та GoPlus мають потужну систему виявлення Rugpull. Нещодавно обидві компанії об'єднали свої сили для глибокого аналізу ризиків та дослідження випадків останніх серйозних ситуацій Rugpull, розкриваючи новітні методи та тенденції атак Rugpull, а також надаючи користувачам ефективні поради з безпеки.
Статистичні дані про випадки Rugpull
Система виявлення TenArmor щодня виявляє численні випадки Rugpull. Аналізуючи дані за останній місяць, випадки Rugpull мають тенденцію до зростання, особливо 14 листопада, коли кількість випадків Rugpull досягла 31. Ми вважаємо за необхідне розкрити цю ситуацію спільноті.
Ці випадки Rugpull зазвичай призводять до збитків у діапазоні від 0 до 100K, загальні збитки досягли 15M.
Найтиповішим типом Rugpull в сфері Web3 є пантера. Інструмент безпеки токенів GoPlus може виявити, чи є токен пантерою. Протягом останнього місяця GoPlus виявив 5688 пантер. Більше даних про безпеку можна знайти на інформаційній панелі GoPlus у DUNE.
TL;DR
Зважаючи на характеристики подій Rugpull, ми підсумували основні заходи безпеки наступним чином.
1. Не слід сліпо слідувати за трендами, при купівлі популярних монет слід перевіряти, чи є адреса монети справжньою. Запобігайте купівлі підроблених монет, потрапляючи в шахрайські пастки.
2. Під час нових угод потрібно провести належну перевірку, щоб з'ясувати, чи походить попередній трафік з пов'язаних адрес розробника контракту, якщо так, це може означати, що це може бути шахрайська пастка, намагайтеся уникати цього.
3. Перевірте вихідний код контракту, особливо звертайте увагу на реалізацію функцій transfer/transferFrom, щоб перевірити, чи можна нормально купувати та продавати. Для обфускованих вихідних кодів слід уникати.
4. Під час інвестування перегляньте розподіл холдерів, якщо є явна концентрація коштів, намагайтеся уникати вибору цієї монети.
5. Перегляньте джерело фінансування розробника контракту, намагайтеся відстежити його на 10 кроків назад, щоб перевірити, чи походить джерело фінансування з підозрілих бірж.
6. Слідкуйте за попереджувальною інформацією TenArmor, щоб своєчасно зупинити збитки. TenArmor має можливість вчасно виявляти такі Scam Token, слідкуйте за акаунтом TenArmor в X для отримання своєчасних попереджень.
7. Система TenTrace наразі вже акумулює інформацію адрес шахрайства/фішингу/експлуатації з кількох платформ, що дозволяє ефективно виявляти надходження та витік коштів з чорних адрес. TenArmor прагне покращити безпекове середовище спільноти, запрошуємо партнерів до співпраці.
Характеристики випадків RugPull
Провівши аналіз великої кількості випадків Rugpull, ми виявили, що останні випадки Rugpull мають такі характеристики.
Підробка відомих монет
З 1 листопада система виявлення TenArmor зафіксувала 5 випадків Rugpull під виглядом токена PNUT. Згідно з цією публікацією, PNUT почав свою діяльність 1 листопада і за 7 днів виріс на 161 раз, успішно привернувши увагу інвесторів. Час, коли PNUT почав свою діяльність та зростав, збігається з часом, коли шахраї почали підробляти PNUT. Шахраї вибрали підробку PNUT, щоб залучити більше людей, які не знають правди.
Шахрайство під виглядом PNUT призвело до збитків на загальну суму 103,1K. TenArmor нагадує користувачам, щоб вони не сліпо слідували за трендами, при купівлі популярних монет слід перевіряти, чи є адреса монети справжньою.
Щодо роботів для нових угод
Випуск нових монет або нових проектів зазвичай викликає величезну увагу на ринку. Під час первинного випуску нової монети ціна коливається значно, навіть ціна в одну секунду може відрізнятися від ціни в наступну секунду, тому прагнення до швидкості угод стає ключовою метою для отримання прибутку. Роботи для нових угод перевершують людей за швидкістю та реакцією, тому вони наразі дуже популярні.
Однак шахраї також чутливо помітили велику кількість роботів для нових угод, тому вони встановили пастку, чекаючи, поки роботи для нових угод зацікавляться. Наприклад, адреса 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 з 2024 року 10 місяця ініціювала понад 200 випадків шахрайства, кожен з яких від розгортання пастки до Rugpull закінчувався протягом кількох годин.
В якості прикладу нещодавнього шахрайства, 0xCd93 спочатку створив токен FLIGHT, а потім створив торгову пару FLIGHT/ETH.
Після створення торгової пари, відразу ж з'явилася велика кількість роботів для нових угод Banana Gun, які почали обмінювати токени. Аналіз показує, що ці роботи контролюються шахраями, мета яких - створити трафік.
Приблизно 50 невеликих угод, після створення трафіку, привабили справжніх інвесторів. Більшість цих інвесторів також використовували роботи для нових угод Banana Gun.
Після деякого часу торгівлі шахрай розгортає контракт для Rugpull, можна побачити, що кошти цього контракту походять з адреси 0xC757. Після розгортання контракту, через 1 годину 42 хвилини відбулося Rugpull, що призвело до виведення ліквідності з пулу, з прибутком у 27 ETH.
Аналізуючи методи цього шахрая, можна помітити, що шахрай спочатку привертає трафік через невеликі обміни, залучаючи роботи для нових угод, а потім розгортає контракт Rug, після досягнення очікуваного прибутку - Rug. TenArmor вважає, що хоча роботи для нових угод можуть зручно та швидко купувати нові монети, захоплюючи перевагу, також потрібно враховувати наявність шахраїв. Під час нових угод необхідно провести належну перевірку, щоб з'ясувати, чи походить попередній трафік з пов'язаних адрес розробника контракту, якщо так, то обійти його.
Код містить загадки
Податок на транзакції
На малюнку нижче представлений код реалізації функції переказу FLIGHT. Ясно видно, що ця реалізація переказу має величезні відмінності від стандартної. Кожен переказ залежить від поточних умов, щоб вирішити, чи потрібно стягувати податок. Цей торговий податок обмежує як купівлю, так і продаж, що, швидше за все, є ознакою шахрайської монети.
У таких ситуаціях користувачам потрібно лише перевірити вихідний код токена, щоб виявити ознаки шахрайства і уникнути пастки.
Обфускація коду
У нещодавньому огляді значних випадків Rug Pull TenArmor: як інвесторам і користувачам слід реагувати, зазначено, що деякі шахраї навмисно ускладнюють читання коду, щоб користувачі не могли зрозуміти їхні наміри. У таких випадках негайно уникайте.
Відверте rugApproved
У численних випадках Rugpull, виявлених TenArmor, не бракує відвертих шахраїв. Наприклад, ця угода прямо вказує на наміри.
Від моменту розгортання контракту для Rugpull до самого Rugpull зазвичай існує часовий проміжок. Наприклад, у цьому випадку часовий проміжок становить близько 3 годин. Для запобігання такого типу шахрайства можна стежити за акаунтом TenArmor в X, ми будемо вчасно надсилати повідомлення про розгортання таких ризикових контрактів, щоб попереджати користувачів про необхідність своєчасного виведення коштів.
Крім того, rescueEth/recoverStuckETH також є звичайними інтерфейсами Rugpull. Звичайно, наявність цього інтерфейсу не означає, що це дійсно Rugpull, також потрібно враховувати інші характеристики для ідентифікації.
Концентрація холдерів
У нещодавно виявлених випадках Rugpull, розподіл холдерів також має свої особливості. Ми випадковим чином вибрали 3 токена, пов'язані з випадками Rugpull, та їх розподіл холдерів виглядає наступним чином.
0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a
0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115
0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
У цих 3 випадках легко помітити, що пара Uniswap V2 є найбільшим холдером, займаючи абсолютну перевагу в кількості монет. TenArmor нагадує користувачам, якщо вони помітили, що холдери монети зосереджені на якійсь одній адресі, наприклад, у парі Uniswap V2, то з цією монетою слід бути обережними при торгівлі.
Джерело фінансування
Ми випадковим чином вибрали 3 випадки з Rugpull, виявлені TenArmor, щоб проаналізувати джерела фінансування.
Випадок 1
tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
Відстеження вперед 6 кроків виявляє надходження коштів до FixedFloat.
FixedFloat - це автоматизована криптовалютна біржа, яка не вимагає реєстрації користувачів або верифікації KYC. Шахраї вибирають введення коштів з FixedFloat, щоб приховати свою особистість.
Випадок 2
tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
Відстеження вперед 5 кроків виявляє надходження коштів до MEXC 1.
15 березня 2024 року Комісія з цінних паперів Гонконгу опублікувала застереження про платформу MEXC. У статті зазначено, що MEXC активно пропонує свої послуги інвесторам Гонконгу, але не отримав ліцензію від Комісії з цінних паперів або не подав заяву на отримання ліцензії. Комісія вже 15 березня 2024 року внесла MEXC та його вебсайт до списку підозрілих платформ для віртуальних активів.
Випадок 3
tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Відстеження вперед 5 кроків виявляє надходження коштів до Disperse.app.
Disperse.app використовується для розподілу ETH на різні адреси контрактів (розподіл ефіру або токенів на кілька адрес).
Аналіз угод виявляє, що ініціатором виклику Disperse.app є 0x511E04C8f3F88541d0D7DFB662d71790A419a039, а при відстеженні назад на 2 кроки виявляється надходження коштів до Disperse.app.
Аналіз угод виявляє, що ініціатором виклику Disperse.app є 0x97e8B942e91275E0f9a841962865cE0B889F83ac, а при відстеженні назад на 2 кроки виявляється надходження коштів до MEXC 1.
Аналізуючи вищезгадані 3 випадки, шахраї обрали біржі без KYC та ліцензій для внесків. TenArmor нагадує користувачам, що при інвестуванні в нові монети слід перевірити джерело фінансування розробника контракту на предмет підозрілих бірж.
Заходи безпеки
На основі даних TenArmor та GoPlus, ця стаття надає повний огляд технічних характеристик Rugpull і демонструє репрезентативні випадки. На основі вищеописаних характеристик Rugpull, ми підсумували відповідні заходи безпеки наступним чином.
1. Не слід сліпо слідувати за трендами, при купівлі популярних монет слід перевіряти, чи є адреса монети справжньою. Запобігайте купівлі підроблених монет, потрапляючи в шахрайські пастки.
2. Під час нових угод потрібно провести належну перевірку, щоб з'ясувати, чи походить попередній трафік з пов'язаних адрес розробника контракту, якщо так, це може означати, що це може бути шахрайська пастка, намагайтеся уникати цього.
3. Перевірте вихідний код контракту, особливо звертайте увагу на реалізацію функцій transfer/transferFrom, щоб перевірити, чи можна нормально купувати та продавати. Для обфускованих вихідних кодів слід уникати.
4. Під час інвестування перегляньте розподіл холдерів, якщо є явна концентрація коштів, намагайтеся уникати вибору цієї монети.
5. Перегляньте джерело фінансування розробника контракту, намагайтеся відстежити його на 10 кроків назад, щоб перевірити, чи походить джерело фінансування з підозрілих бірж.
6. Слідкуйте за попереджувальною інформацією TenArmor, щоб своєчасно зупинити збитки. TenArmor має можливість вчасно виявляти такі Scam Token, слідкуйте за акаунтом TenArmor в X для отримання своєчасних попереджень.
Зловмисні адреси, пов'язані з цими випадками Rugpull, будуть в режимі реального часу вноситися до системи TenTrace. TenTrace - це розроблена TenArmor система протидії відмиванню коштів (AML), яка підходить для протидії відмиванню коштів, шахрайству, відстеження особистості атакуючого та іншим сценаріям. Система TenTrace наразі вже акумулює інформацію адрес шахрайства/фішингу/експлуатації з кількох платформ, що дозволяє ефективно виявляти надходження коштів з чорних адрес і точно контролювати їх витік. TenArmor прагне покращити безпекове середовище спільноти, запрошуємо партнерів до співпраці.
Про TenArmor
TenArmor є вашим першим захистом у світі Web3. Ми пропонуємо передові рішення з безпеки, зосереджені на вирішенні унікальних викликів, які виникають через технології блокчейн. Завдяки нашим інноваційним продуктам ArgusAlert та VulcanShield, ми забезпечуємо захист від потенційних загроз у реальному часі та швидку реакцію. Наша експертна команда спеціалізується на всьому, від аудиту смарт-контрактів до відстеження криптовалют, ставши вибраним партнером для будь-якої організації, яка бажає захистити свої цифрові активи в децентралізованій сфері.
Слідкуйте за нами @TenArmorAlert, щоб своєчасно отримувати наші останні попередження з безпеки Web3.
Ласкаво просимо зв'язатися з нами:
X: @TenArmor
Mail: team@tenarmor.com
Telegram: TenArmorTeam
Medium: TenArmor
Про GoPlus
GoPlus, як перша мережа безпеки в ланцюзі, має на меті надати кожному користувачеві найзручніші, всебічні гарантії безпеки в ланцюзі, щоб забезпечити безпеку кожної транзакції та активів користувачів.
Архітектура безпекових послуг головним чином поділяється на безпосередньо орієнтовані на кінцевих користувачів програми GoPlus (веб-версія та плагін для браузера) та непрямі послуги для кінцевих користувачів (через інтеграцію або підключення до B-сектора) GoPlus Intelligence, вже охоплюючи найширшу групу користувачів Web3 та різні торгові сценарії, прагнучи створити відкриту, керовану користувачами мережу безпеки в ланцюзі:
З одного боку, будь-який проект може підключити GoPlus, щоб забезпечити користувачам безпеку в ланцюзі, з іншого боку, GoPlus також дозволяє розробникам використовувати свої переваги, розгортаючи інноваційні рішення з безпеки на ринку безпеки GoPlus, користувачі можуть самостійно вибирати та налаштовувати зручні, персоналізовані послуги безпеки, щоб побудувати відкриту децентралізовану екосистему безпеки, що співпрацює між розробниками та користувачами.
На даний момент GoPlus вже став переважним партнером з безпеки для будівельників Web3, їх послуги безпеки в ланцюзі використовуються та інтегруються такими компаніями, як Trust Wallet, CoinMarketCap, OKX, Bybit, DexScreener, SushiSwap тощо, середня кількість викликів щодня перевищує 34 мільйони, загальна кількість викликів перевищує 4 мільярди, охоплюючи понад 90% користувачів, які здійснюють транзакції в ланцюзі, їх відкритий безпечний додаток також обслуговує понад 12 мільйонів користувачів ланцюга.
Наша спільнота:
X: @GoPlusSecurity
Discord: GoPlusSecurity
Medium: GoPlusSecurity
