深入调查Rug Pull案例，揭秘以太坊代币生态乱象

简介

在Web3世界中，新代币不断涌现。你是否想过，每天究竟有多少新代币在发行？这些新代币都安全吗？

这些疑问的产生并非无的放矢。在过去数月里，某安全团队捕捉到了大量的Rug Pull交易案例。值得注意的是，这些案例中所涉及的代币无一例外都是刚刚上链的新代币。

随后，该团队对这些Rug Pull案例进行了深入调查，发现背后存在组织化的作案团伙，并总结了这些骗局的模式化特征。通过深入分析这些团伙的作案手法，发现了Rug Pull团伙一种可能的诈骗推广途径：Telegram群组。这些团伙利用某些群组中的"New Token Tracer"功能吸引用户购买诈骗代币并最终通过Rug Pull牟利。

该团队统计了从2023年11月至2024年8月初期间这些Telegram群组的代币推送信息，发现共推送了93,930种新代币，其中涉及Rug Pull的代币共有46,526种，占比高达49.53%。据统计，这些Rug Pull代币背后团伙的累计投入成本为149,813.72 ETH，并以高达188.7%的回报率牟利282,699.96 ETH，折合约8亿美元。

为了评估Telegram群组推送的新代币在以太坊主网中的占比，该团队统计了相同时间段内以太坊主网上发行的新代币数据。数据显示，在此期间共有100,260种新代币发行，其中通过Telegram群组推送的代币占主网的89.99%。平均每天约有370种新代币诞生，远超合理预期。在经过不断深入地调查之后，发现的真相令人不安——其中至少48,265种代币涉及Rug Pull诈骗，占比高达48.14%。换句话说，以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

此外，该团队还在其他区块链网络中发现了更多的Rug Pull案例。这意味着不仅是以太坊主网，整个Web3新发代币生态的安全状况远比预期更加严峻。因此，该团队撰写了这份调研报告，希望能够帮助所有Web3成员提升防范意识，在面对层出不穷的骗局时保持警惕，并及时采取必要的预防措施，保护好自己的资产安全。

ERC-20 代币（Token）

在正式开始本报告之前，我们先来了解一些基础概念。

ERC-20代币是目前区块链上最常见的代币标准之一，它定义了一组规范，使得代币可以在不同的智能合约和去中心化应用程序（dApp）之间进行互操作。ERC-20标准规定了代币的基本功能，例如转账、查询余额、授权第三方管理代币等。由于这一标准化的协议，开发者可以更轻松地发行和管理代币，从而简化了代币的创建和使用。实际上，任何个人或组织都可以基于ERC-20标准发行自己的代币，并通过预售代币为各种金融项目筹集启动资金。正因为ERC-20代币的广泛应用，它成为了许多ICO和去中心化金融项目的基础。

我们熟悉的USDT、PEPE、DOGE都属于ERC-20代币，用户可以通过去中心化交易所购买这些代币。然而，某些诈骗团伙也可能自行发行带有代码后门的恶意ERC-20代币，将其上架到去中心化交易所，再诱导用户进行购买。

Rug Pull代币的典型诈骗案例

在这里，我们借用一个Rug Pull代币的诈骗案例，深入了解恶意代币诈骗的运营模式。首先需要说明的是，Rug Pull是指项目方在去中心化金融项目中，突然抽走资金或放弃项目，导致投资者蒙受巨大损失的欺诈行为。而Rug Pull代币则是专门为实施这种诈骗行为而发行的代币。

本文中提到的Rug Pull代币，有时也被称为"蜜罐（Honey Pot）代币"或"退出骗局（Exit Scam）代币"，但在下文中我们将统一称其为Rug Pull代币。

案例

攻击者（Rug Pull团伙）用Deployer地址（0x4bAF）部署TOMMI代币，然后用1.5个ETH和100,000,000个TOMMI创建流动性池，并通过其他地址主动购买TOMMI代币来伪造流动性池交易量以吸引用户和链上的打新机器人购买TOMMI代币。当有一定数量的打新机器人上当后，攻击者用Rug Puller地址（0x43a9）来执行Rug Pull，Rug Puller用38,739,354TOMMI代币砸流动性池，兑换出约3.95个ETH。Rug Puller的代币来源于TOMMI代币合约的恶意Approve授权，TOMMI代币合约部署时会为Rug Puller授予流动性池的approve权限，这使得Rug Puller可以直接从流动性池里转出TOMMI代币然后进行Rug Pull。

相关地址

• Deployer：0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI代币：0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller：0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller伪装的用户（其中之一）：0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Rug Pull资金中转地址：0x1d3970677aa2324E4822b293e500220958d493d0
• Rug Pull资金留存地址：0x28367D2656434b928a6799E0B091045e2ee84722

相关交易

• Deployer从中心化交易所获取启动资金：0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• 部署TOMMI代币：0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• 创建流动性池：0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• 资金中转地址发送资金给伪装用户（其中之一）：0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• 伪装用户购买代币（其中之一）：0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull：0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull将所得资金发送至中转地址：0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• 中转地址将资金发送至资金留存地址：0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

Rug Pull过程

1. 准备攻击资金。

攻击者通过中心化交易所，向Token Deployer（0x4bAF）充值2.47309009ETH作为Rug Pull的启动资金。

2. 部署带后门的Rug Pull代币。

Deployer创建TOMMI代币，预挖100,000,000个代币并分配给自身。

3. 创建初始流动性池。

Deployer用1.5个ETH和预挖的所有代币创建流动性池，获得了约0.387个LP代币。

4. 销毁所有预挖的Token供应量。

Token Deployer将所有LP代币发送至0地址销毁，由于TOMMI合约中没有Mint功能，因此此时Token Deployer理论上已经失去了Rug Pull能力。（这也是吸引打新机器人入场的必要条件之一，部分打新机器人会评估新入池的代币是否存在Rug Pull风险，Deployer还将合约的Owner设置为0地址，都是为了骗过打新机器人的反诈程序）。

5. 伪造交易量。

攻击者用多个地址主动从流动性池中购买TOMMI代币，炒高池子的交易量，进一步吸引打新机器人入场（判断这些地址是攻击者伪装的依据：相关地址的资金来自Rug Pull团伙的历史资金中转地址）。

6. 攻击者通过Rug Puller地址（0x43A9）发起Rug Pull，通过token的后门直接从流动性池中转出38,739,354个代币，然后再用这些代币砸池子，套出约3.95个ETH。

7. 攻击者将Rug Pull所得资金发送至中转地址0xD921。

8. 中转地址0xD921将资金发送至资金留存地址0x2836。从这里我们可以看出，当Rug Pull完成后，Rug Puller会将资金发送至某个资金留存地址。资金留存地址是我们监控到的大量Rug Pull案例的资金归集处，资金留存地址会将收到的大部分资金进行拆分以开始新一轮的Rug Pull，而其余少量资金会经由中心化交易所提现。我们发现了资金留存地址若干，0x2836是其中之一。

Rug Pull代码后门

攻击者虽然已经通过销毁LP代币来试图向外界证明他们没办法进行Rug Pull，但是实际上攻击者却在TOMMI代币合约的openTrading函数中留下一个恶意approve的后门，这个后门会在创建流动性池时让流动性池向Rug Puller地址approve代币的转移权限，使得Rug Puller地址可以直接从流动性池中转走代币。

openTrading函数的实现如图9所示，其主要功能是创建新的流动性池，但攻击者