이더리움 토큰의 생태적 혼란을 밝히기 위한 Rug Pull 사건에 대한 심층 조사

소개

Web3 세계에서는 새로운 토큰이 끊임없이 등장하고 있습니다. 매일 얼마나 많은 새로운 토큰이 발행되는지 궁금하신가요? 이 새로운 코인은 안전한가요?

이러한 질문은 목적이 없는 것이 아닙니다. 지난 몇 달 동안 CertiK 보안 팀은 수많은 Rug Pull 거래를 포착했습니다. 이 경우에 관련된 토큰은 모두 방금 체인에 올려진 새로운 토큰이라는 점은 주목할 가치가 있습니다.

이후 CertiK는 이러한 Rug Pull 사건에 대해 심층 조사를 실시하여 그 배후에 조직적인 범죄 조직이 있다는 사실을 확인하고 이러한 사기의 패턴 특성을 요약했습니다. CertiK는 이러한 갱단의 활동 방식에 대한 심층 분석을 통해 Rug Pull 갱단의 사기 조장 방법인 Telegram 그룹을 발견했습니다. 이들 갱단은 바나나건(Banana Gun), 유니봇(Unibot) 등의 그룹에서 '뉴 토큰 트레이서(New Token Tracer)' 기능을 이용해 사용자를 유인해 사기성 토큰을 구매하게 하고 궁극적으로는 러그 풀(Rug Pull)을 통해 수익을 낸다.

CertiK는 2023년 11월부터 2024년 8월 초까지 이들 텔레그램 그룹의 토큰 푸시 정보를 집계한 결과 총 93,930개의 새로운 토큰이 푸시된 것으로 나타났으며, 그 중 Rug Pull과 관련된 토큰이 46,526개로 49.53%를 차지했습니다. 통계에 따르면, 이러한 Rug Pull 토큰 뒤에 있는 그룹의 누적 투자 비용은 149,813.72 ETH였으며, 최대 188.7%의 수익률로 약 8억 달러에 해당하는 282,699.96 ETH의 수익을 올렸습니다.

이더리움 메인 네트워크에서 텔레그램 그룹이 푸시하는 신규 토큰의 비율을 평가하기 위해 CertiK는 같은 기간 동안 이더리움 메인 네트워크에서 발행된 신규 토큰에 대한 데이터를 수집했습니다. 데이터에 따르면 이 기간 동안 총 100,260개의 새로운 토큰이 발행되었으며, 그 중 텔레그램 그룹을 통해 푸시된 토큰이 메인 네트워크의 89.99%를 차지했습니다. 평균적으로 매일 약 370개의 새로운 토큰이 생성되며 이는 합리적인 기대치를 훨씬 초과합니다. 계속된 심층 조사 끝에 우리는 충격적인 사실을 발견했습니다. 최소 48,265개의 토큰이 Rug Pull 사기에 연루되어 무려 48.14%를 차지했습니다. 즉, 이더리움 메인넷의 신규 토큰 2개 중 거의 1개가 사기에 연루된 셈입니다.

또한 CertiK는 다른 블록체인 네트워크에서 더 많은 Rug Pull 사례를 발견했습니다. 이는 이더리움 메인넷뿐만 아니라 새로 발행된 Web3 토큰 생태계 전체의 보안 상황이 예상보다 훨씬 심각하다는 것을 의미합니다. 따라서 CertiK는 모든 Web3 회원이 예방 의식을 높이고, 끝없는 사기에 대비하고, 자산 보안을 보호하기 위해 적시에 필요한 예방 조치를 취하는 데 도움이 되기를 바라며 이 연구 보고서를 작성했습니다.

ERC-20 토큰

이 보고서를 공식적으로 시작하기 전에 먼저 몇 가지 기본 개념을 이해해 보겠습니다.

ERC-20 토큰은 현재 블록체인에서 가장 일반적인 토큰 표준 중 하나입니다. 이는 토큰이 다양한 스마트 계약과 분산형 애플리케이션(dApp) 간에 상호 운용될 수 있도록 하는 사양 집합을 정의합니다. ERC-20 표준은 자금 이체, 잔액 확인, 제3자에게 토큰 관리 권한 부여 등과 같은 토큰의 기본 기능을 규정합니다. 이 표준화된 프로토콜 덕분에 개발자는 토큰을 보다 쉽게 ​​발행하고 관리할 수 있어 토큰 생성 및 사용이 단순화됩니다. 실제로 모든 개인이나 조직은 ERC-20 표준을 기반으로 자체 토큰을 발행하고 토큰 사전 판매를 통해 다양한 금융 프로젝트를 위한 창업 자금을 조달할 수 있습니다. ERC-20 토큰의 광범위한 적용으로 인해 많은 ICO 및 분산 금융 프로젝트의 기반이 되었습니다.

친숙한 USDT, PEPE, DOGE는 모두 ERC-20 토큰이며 사용자는 분산형 거래소를 통해 이러한 토큰을 구매할 수 있습니다. 그러나 일부 사기 그룹은 코드 백도어가 포함된 악성 ERC-20 토큰을 자체 발행하여 탈중앙화 거래소에 상장한 후 사용자가 구매하도록 유도할 수도 있습니다.

Rug Pull 토큰의 일반적인 사기 사례

여기서는 Rug Pull 토큰 사기 사례를 사용하여 악의적인 토큰 사기의 운영 모델에 대한 심층적인 이해를 얻습니다. 먼저 러그풀(Rug Pull)이란 탈중앙화 금융 프로젝트에서 프로젝트 당사자가 갑자기 자금을 인출하거나 프로젝트를 포기해 투자자들이 막대한 손실을 입는 사기 행위를 말한다는 점을 설명할 필요가 있다. Rug Pull 토큰은 이러한 사기 행위를 수행하기 위해 특별히 발행된 토큰입니다.

이 글에서 언급된 Rug Pull 토큰은 "Honey Pot 토큰" 또는 "Exit Scam 토큰"이라고도 불리지만, 다음에서는 Rug Pull 토큰으로 지칭하겠습니다.

· 사례

공격자(Rug Pull Gang)는 Deployer 주소(0x4bAF)로 TOMMI 토큰을 배포한 후 1.5 ETH와 100,000,000 TOMMI로 유동성 풀을 생성하고 다른 주소를 통해 TOMMI 토큰을 적극적으로 구매하여 유동성 풀 거래량을 위조하여 사용자와 신규 사용자를 유치했습니다. 체인의 로봇은 TOMMI 토큰을 구매합니다. 일정 수의 새로운 로봇이 속였을 때, 공격자는 Rug Puller 주소(0x43a9)를 사용하여 Rug Pull을 실행했습니다. Rug Puller는 38,739,354 TOMMI 토큰을 사용하여 유동성 풀에 붓고 약 3.95 ETH를 상환했습니다. Rug Puller의 토큰은 TOMMI 토큰 계약의 악의적인 승인 승인에서 비롯됩니다. TOMMI 토큰 계약이 배포되면 Rug Puller에게 유동성 풀의 승인 권한이 부여되어 Rug Puller가 유동성 풀에서 TOMMI 토큰을 직접 전송할 수 있습니다. 그런 다음 러그 풀(Rug Pull)을 수행합니다.

·관련 주소

• 배포자: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI 토큰: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• 러그 풀러: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• 러그 풀러로 변장한 사용자(그 중 한 명): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• 러그풀 자금 이체 주소: 0x1d3970677aa2324E4822b293e500220958d493d0
• Rug Pull 기금 보유 주소: 0x28367D2656434b928a6799E0B091045e2ee84722

·관련거래

• 배포자는 중앙 집중식 교환에서 시작 자금을 얻습니다: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• TOMMI 토큰 배포: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• 유동성 풀 생성: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• 자금 이체 주소는 위장된 사용자(그 중 한 명)에게 자금을 보냅니다: 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• 사용자가 토큰을 구매하는 척(그 중 하나): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• 러그 풀: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull은 획득한 자금을 이체 주소: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523로 보냅니다.
• 이체 주소는 자금 보유 주소 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7로 자금을 보냅니다.

· 러그 풀 공정

1. 공격 자금을 준비합니다.

공격자는 Rug Pull의 시작 자본으로 중앙화된 거래소를 통해 2.47309009 ETH를 Token Deployer(0x4bAF)에 재충전했습니다.

 그림 1 Deployer는 거래소로부터 스타트업 자본 거래 정보를 얻습니다.

2. 백도어가 포함된 Rug Pull 토큰을 배포합니다.

배포자는 TOMMI 토큰을 생성하고 100,000,000개의 토큰을 사전 채굴하여 자신에게 할당합니다.

 그림 2 Deployer는 TOMMI 토큰 거래 정보를 생성합니다.

3. 초기 유동성 풀을 생성합니다.

배포자는 1.5 ETH와 모든 사전 채굴 토큰을 사용하여 유동성 풀을 생성하고 약 0.387 LP 토큰을 얻었습니다.

 그림 3 배포자는 유동성 풀을 생성하고 자금 흐름을 거래합니다.

4. 사전 채굴된 토큰 공급량을 모두 폐기합니다.

Token Deployer는 폐기를 위해 모든 LP 토큰을 0 주소로 보냅니다. TOMMI 계약에는 Mint 기능이 없으므로 Token Deployer는 이론적으로 현재 Rug Pull 기능을 상실했습니다. (이것은 또한 새로운 로봇을 시장에 진입시키기 위해 필요한 조건 중 하나입니다. 일부 새로운 로봇은 풀에 새로 추가된 토큰이 러그 풀 위험에 있는지 여부를 평가합니다. 배포자는 또한 계약 소유자를 0 주소로 설정합니다. , 새로운 로봇 사기 방지 프로그램을 속이기 위한 모든 것입니다.

 그림 4 Deployer는 LP 토큰 거래 정보를 파기합니다.

5. 거래량을 조작하는 행위.

공격자는 여러 주소를 사용하여 유동성 풀에서 TOMMI 토큰을 적극적으로 구매함으로써 풀의 거래량을 늘리고, 시장에 진입할 새로운 로봇을 더욱 유인합니다(이 주소가 공격자의 변장이라고 판단하는 근거: 관련 자금 주소는 Rug Pull 갱) 과거 자금 이체 주소에서 나옵니다).

 그림 5 다른 주소에서 TOMMI 토큰을 구매한 공격자의 거래 정보 및 자금 흐름

6. 공격자는 Rug Puller 주소(0x43A9)를 통해 Rug Pull을 시작하고 토큰의 백도어를 통해 유동성 풀에서 직접 38,739,354개의 토큰을 전송한 다음 이 토큰을 사용하여 풀을 싱크하여 약 3.95 ETH를 추출했습니다.

 그림 6 Rug Pull 거래정보 및 자본흐름

7. 공격자는 Rug Pull을 통해 얻은 자금을 전송 주소 0xD921로 보냅니다.

 그림 7 Rug Puller는 공격 수익금을 전송 주소 거래 정보로 보냅니다.

8. 이체 주소 0xD921은 자금 보유 주소 0x2836으로 자금을 보냅니다. 여기에서 Rug Puller가 완료되면 Rug Puller가 자금을 특정 자금 보유 주소로 보내는 것을 볼 수 있습니다. 자금 보유 주소는 우리가 모니터링하는 다수의 러그 풀 사례에 대한 자금이 모이는 곳입니다. 자금 보유 주소는 받은 자금의 대부분을 새로운 러그 풀 라운드를 시작하기 위해 분할하고 나머지 소량의 자금은 중앙 집중식 거래를 진행합니다. 우리는 여러 자금 보유 주소를 찾았으며 0x2836이 그 중 하나입니다.

 그림 8 이체 주소 자금 이체 정보

· 러그 풀 코드 백도어

공격자는 LP 토큰을 파괴하여 Rug Pull을 수행할 수 없음을 외부에 증명하려고 시도했지만 실제로 공격자는 TOMMI 토큰 계약의 openTrading 기능에 악의적인 승인 백도어를 남겼습니다. 유동성 풀을 사용하는 경우, 유동성 풀은 Rug Puller 주소로의 토큰 전송 권한을 승인하므로 Rug Puller 주소가 유동성 풀에서 토큰을 직접 전송할 수 있습니다.

 그림 9 TOMMI 토큰 계약의 openTrading 기능 

 그림 10 TOMMI 토큰 컨트랙트의 onInit 함수

openTrading 기능의 구현은 그림 9에 나와 있습니다. 주요 기능은 새로운 유동성 풀을 생성하는 것이지만 공격자는 이 기능 내에서 onInit 기능을 호출하여(그림 10 참조) uniswapV2Pair가 _chefAddress 주소 수를 승인할 수 있도록 했습니다. . 유형(uint256)의 토큰 전송 권한입니다. 그 중 uniswapV2Pair는 유동성 풀 주소이고, _chefAddress는 Rug Puller 주소이며, _chefAddress는 계약 배포 시 지정됩니다(그림 11 참조).

 그림 11 TOMMI 토큰 계약의 생성자

·범죄 모델링

TOMMI 사례를 분석하면 다음과 같은 네 가지 특징을 요약할 수 있습니다.

1. 배포자는 중앙화 거래소를 통해 자금을 획득합니다. 공격자는 먼저 중앙화 거래소를 통해 배포자 주소(Deployer)에 대한 자금 출처를 제공합니다.

2. 배포자는 유동성 풀을 생성하고 LP 토큰을 폐기합니다. 배포자는 Rug Pull 토큰을 생성한 후 즉시 유동성 풀을 생성하고 LP 토큰을 폐기하여 프로젝트의 신뢰성을 높이고 더 많은 투자자를 유치합니다.

3. Rug Puller는 유동성 풀에서 ETH로 교환하기 위해 대량의 토큰을 사용합니다. Rug Puller 주소(Rug Puller)는 유동성 풀에서 ETH로 교환하기 위해 대량의 토큰(보통 전체 토큰 공급량을 훨씬 초과)을 사용합니다. 수영장. 다른 경우에는 Rug Puller가 풀에서 ETH를 얻기 위해 유동성을 제거하기도 했습니다.

4. Rug Puller는 Rug Pull에서 얻은 ETH를 기금 보유 주소로 이체합니다. Rug Puller는 얻은 ETH를 기금 보유 주소로 이체하며 때로는 중간 주소를 통해 이체합니다.

위의 특징은 우리가 포착한 사례에서 흔히 발견되며, 이는 러그 당기기 동작이 분명한 패턴 특성을 가지고 있음을 보여줍니다. 또한 Rug Pull이 완료된 후 자금은 일반적으로 자금 보유 주소로 유입됩니다. 이는 겉보기에 독립적인 Rug Pull 사건 뒤에 동일한 그룹 또는 심지어 동일한 사기 조직이 연루될 수 있음을 의미합니다.

이러한 특성을 바탕으로 우리는 러그 풀(Rug Pull) 행동 패턴을 추출하고 이 패턴을 사용하여 모니터링되는 사례를 스캔 및 탐지하여 가능한 사기 조직의 모습을 구축했습니다.

러그 풀 갱

· 자금 보관 주소 채굴

앞서 언급했듯이 러그 풀(Rug Pull) 사건은 일반적으로 자금이 마지막에 자금 보유 주소로 유입됩니다. 이 모델을 기반으로 우리는 심층 분석을 위해 관련 사례의 명백한 운영 방식을 갖춘 매우 활동적인 펀드 보유 주소를 여러 개 선택했습니다.

총 7개의 자금 보유 주소가 우리의 시야에 들어왔습니다. 이 주소와 관련된 총 1,124개의 Rug Pull 사례가 있었으며 이는 온체인 공격 모니터링 시스템(CertiK Alert)에 의해 성공적으로 포착되었습니다. 러그 풀(Rug Pull) 갱단이 사기를 성공적으로 실행한 후에는 불법 이익을 이러한 자금 보유 주소로 유입할 것입니다. 이러한 자금 보유 주소는 침전된 자금을 분할하여 향후 새로운 Rug Pull 사기에서 새로운 토큰 생성 및 유동성 풀 조작과 같은 활동에 사용합니다. 또한 축적된 자금의 일부는 중앙화된 거래소나 플래시 거래소 플랫폼을 통해 현금화됩니다.

자금 보유 주소에 대한 자금 데이터 통계는 표 1에 나와 있습니다.

각 자금 보유 주소에서 모든 Rug Pull 사기의 비용과 수익을 계산하여 표 1의 데이터를 얻었습니다.

완전한 Rug Pull 사기에서 Rug Pull 갱은 일반적으로 Rug Pull 토큰 배포자로 주소를 사용하고 중앙 거래소에서 인출하여 Rug Pull 토큰과 해당 유동성 풀을 생성함으로써 시작 자금을 얻습니다. 충분한 수의 사용자 또는 새로운 로봇이 ETH를 사용하여 Rug Pull 토큰을 구매하도록 유치되면 Rug Pull 갱은 다른 주소를 Rug Pull 실행자(Rug Puller)로 사용하여 얻은 자금을 자금 보유 주소로 이체하고 운영합니다.

위 과정에서 Deployer가 거래소를 통해 얻은 ETH나 유동성 풀 생성 시 Deployer가 투자한 ETH를 Rug Pull의 비용으로 간주한다(계산 방법은 Deployer의 행동에 따라 다름). Rug Puller가 Rug Pull 완료 후 자금 보유 주소(또는 기타 이체 주소)로 이체하는 ETH를 Rug Pull의 수입으로 간주하여 최종적으로 표 1의 수입 및 지출에 대한 데이터를 얻습니다. USD 수익환산센터 사용된 ETH/USD 가격(1 ETH = 2,513.56 USD, 가격 획득 시점은 2024년 8월 31일)은 데이터 통합 ​​시점의 실시간 가격을 기준으로 계산됩니다.

사기를 실행할 때 Rug Pull 갱단은 ETH를 적극적으로 사용하여 정상적인 유동성 풀 활동을 시뮬레이션하기 위해 생성한 Rug Pull 토큰을 구매함으로써 새로운 로봇의 구매를 유도한다는 점에 유의해야 합니다. 하지만 이 부분의 비용은 계산에 포함되지 않기 때문에 표 1의 데이터는 러그풀 갱단의 실제 이익을 과대평가하여 실제 이익은 상대적으로 낮을 것이다.

 그림 12 펀드 보유 주소 수익율 파이 차트

표 1의 각 주소의 Rug Pull 이익 데이터를 사용하여 그림 12와 같이 이익 비율 원형 차트를 생성합니다. 이익 점유율이 가장 높은 상위 3개 주소는 0x1607, 0xDF1a 및 0x2836입니다. 주소 0x1607은 약 2,668.17 ETH로 가장 높은 수익을 얻었으며 전체 주소 수익의 27.7%를 차지했습니다.

실제로 자금이 궁극적으로 다른 자금 유지 주소로 유입되더라도 이러한 주소와 관련된 사례 간의 많은 공통점(예: Rug Pull의 백도어 구현, 현금 인출 경로 등) 그 뒤에 같은 갱단이 있을 수 있습니다.

그렇다면 이러한 자금 보유 주소 사이에 어떤 연관성이 있을까요?

· 자금 보유 주소 간 상관관계 마이닝

 그림 13 자금 보유 주소의 자금 흐름도

자금 보유 주소 간에 상관관계가 있는지 확인하는 중요한 지표는 해당 주소 간에 직접적인 이체 관계가 있는지 확인하는 것입니다. 자금 보유 주소 간의 상관관계를 확인하기 위해 해당 주소의 과거 거래 기록을 크롤링하고 분석했습니다.

과거에 분석한 대부분의 사례에서 각 Rug Pull 사기의 수익금은 특정 자금 보유 주소로만 흘러갑니다. 수익금의 방향을 추적하고 다른 자금 보유 주소를 연결하는 것은 불가능합니다. 자금 보유 주소 간의 직접적인 상관 관계를 얻기 위해 이러한 자금 보유 주소 간의 자금 흐름을 탐지합니다. 탐지 결과는 그림 13에 나와 있습니다.

그림 13의 주소 0x1d39 및 0x6348은 각 자금 보유 주소가 공유하는 Rug Pull 인프라 계약 주소라는 점에 유의해야 합니다. 자금 보유 주소는 이 두 계약을 통해 자금을 분할하여 다른 주소로 전송하며, 분할 자금을 받은 이러한 주소는 이 자금을 사용하여 Rug Pull 토큰의 거래량을 위조합니다.

그림 13의 ETH 직접 전송 관계에 따르면 이러한 자금 보유 주소를 세 가지 주소 세트로 나눌 수 있습니다.

1. 0xDF1a 및 0xDEd0;

2. 0x1607 및 0x4856;

3. 0x2836, 0x0573, 0xF653 및 0x7dd9.

주소 컬렉션 내에는 직접적인 전송 관계가 있지만 컬렉션 간의 직접적인 전송 동작은 없습니다. 따라서 이 7개의 자금 보유 주소는 3개의 다른 그룹으로 나눌 수 있는 것으로 보입니다. 그러나 이 세 가지 주소 세트는 모두 후속 Rug Pull 작업을 위한 동일한 인프라 계약을 통해 ETH를 분할하여 원래 느슨해 보이던 세 개의 주소 세트가 함께 연결되어 전체를 형성하게 되었습니다. 그렇다면 이는 동일한 그룹이 이 주소 뒤에 있다는 것을 의미합니까?

이 문제는 여기에서 깊이 논의되지 않으며 모든 사람이 스스로 가능성에 대해 생각할 수 있습니다.

· 공유 인프라 발굴

앞서 언급한 자금 보유 주소가 공유하는 두 가지 주요 인프라 주소가 있습니다.

0x1d3970677aa2324E4822b293e500220958d493d0 및 0x634847D6b650B9f442b3B582971f859E6e65eB53.

그중 인프라 주소 0x1d39에는 주로 "multiSendETH"와 "0x7a860e7e"라는 두 가지 기능이 포함되어 있습니다. "multiSendETH"의 주요 기능은 분할 전송을 수행하는 것입니다. 자금 보유 주소는 Rug Pull 토큰의 거래량을 위조하는 데 사용되는 0x1d39의 "Multi Send ETH" 기능을 통해 자금의 일부를 여러 주소로 분할합니다. 거래 정보는 그림 14에 나와 있습니다.

이러한 분할 작업은 공격자가 토큰 활동을 위조하여 토큰을 더욱 매력적으로 보이게 만들어 더 많은 사용자나 새로운 봇의 구매를 유도하는 데 도움이 됩니다. 이 방법을 통해 Rug Pull 갱단은 사기의 속임수와 복잡성을 더욱 증가시킬 수 있습니다.

 그림 14 0x1d39를 통한 자금 보유 주소 분할 자금 거래 정보

"0x7a860e7e" 기능은 Rug Pull 토큰을 구매하는 데 사용됩니다. 일반 사용자로 위장한 다른 주소는 Uniswap의 Router와 직접 상호 작용하여 펀드 보유 주소에서 분할 자금을 받은 후 Rug Pull 토큰을 구매하거나 0x1d39의 "0x7a860e7e" 기능을 통해 사용됩니다. 활성 거래량을 위조하기 위해 Rug Pull 토큰을 구매합니다.

인프라 주소 0x6348의 주요 기능 기능은 Rug Pull 토큰 구매를 위한 기능 이름이 "0x3f8a436c"로 변경된다는 점을 제외하면 0x1d39와 유사하므로 여기서는 자세히 설명하지 않습니다.

Rug Pull 갱단의 이러한 인프라 사용을 더 자세히 이해하기 위해 0x1d39 및 0x6348의 트랜잭션 내역을 크롤링 및 분석하고 외부 주소별로 0x1d39 및 0x6348의 두 기능 기능의 사용 빈도를 계산한 결과는 다음과 같습니다. 표 2 및 표 2에 3에 도시된 바와 같다.

표 2와 3의 데이터에서 볼 수 있듯이 Rug Pull 갱단의 인프라 주소 사용에는 분명한 특징이 있습니다. 즉, 자금을 분할하기 위해 소량의 자금 보유 주소 또는 이체 주소만 사용하지만 다른 많은 주소를 사용합니다. Rug Pull 토큰 거래량을 형성하기 위한 주소입니다. 예를 들어 0x6348 주소를 통해 거래량을 위조하는 주소는 무려 6,224개나 된다. 이렇게 주소 수가 많으면 공격자 주소와 피해자 주소를 구별하기가 훨씬 어려워집니다.

Rug Pull 갱단의 거래량 위조 방법은 이러한 인프라 주소를 사용하는 데 국한되지 않습니다. 일부 주소는 거래량을 위조하기 위해 거래소를 통해 직접 토큰을 교환하기도 합니다.

또한 위에서 언급한 7개의 펀드 보유 주소로 0x1d39와 0x6348 두 주소의 각 기능 함수의 사용량과 각 기능에 관련된 ETH의 양도 계산했습니다. 최종 데이터는 표 4와 같습니다. 표 5가 표시됩니다.

표 4와 5의 데이터에서 볼 수 있듯이, 자금 보유 주소는 인프라를 통해 총 3,616회 자금을 분할했으며, 총 금액은 9,369.98 ETH에 달합니다. 또한 주소 0xDF1a를 제외한 모든 자금 보유 주소는 인프라를 통해 분할 전송만 수행하는 반면, Rug Pull 토큰 구매는 이러한 분할 자금을 받은 주소에서 완료됩니다. 이는 이들 러그 풀 갱단이 범죄 과정에서 명확한 사상과 명확한 업무 분업을 갖고 있음을 보여줍니다.

주소 0x0573은 인프라를 통해 자금을 분할하지 않았으며 관련 Rug Pull 사건에서 거래량을 위조하는 데 사용된 자금은 다른 주소에서 나왔습니다. 이는 자금 보유 주소마다 범죄 스타일에 일정한 차이가 있음을 보여줍니다.

다양한 자금 유지 주소와 인프라 사용 간의 재정적 연결을 분석함으로써 우리는 이러한 자금 유지 주소 간의 연결을 보다 포괄적으로 이해하게 됩니다. 이들 러그풀 일당들이 범죄를 저지르는 방식은 우리가 상상했던 것보다 더 전문적이고 획일적이며, 이는 이 모든 것을 치밀하게 계획하고 운영하여 체계적인 사기 행위를 펼치는 범죄 집단이 배후에 있다는 사실을 더욱 입증한다.

· 범죄 자금 출처 파헤치기

Rug Pull 갱단이 Rug Pull을 수행할 때 일반적으로 새로운 외부 계정 주소(EOA)를 배포자로 사용하여 Rug Pull 토큰을 배포하며, 이러한 배포자 주소는 일반적으로 중앙 집중식 교환 또는 플래시 스왑 플랫폼을 통해 시작 자금을 얻습니다. 이를 위해, 범죄 자금의 출처에 대한 보다 자세한 정보를 얻기 위해 위에서 언급한 자금 보유 주소와 관련된 Rug Pull 사건에 대한 자금 출처 분석을 수행했습니다.

표 6은 각 자금 보유 주소에서 Rug Pull 케이스와 관련된 배포자 자금 출처 태그 수의 분포를 보여줍니다.

표 6의 데이터에서 볼 수 있듯이 각 자금 보유 주소와 관련된 Rug Pull 사례에서 Rug Pull 토큰에 대한 대부분의 Deployer 자금은 중앙 거래소(CEX)에서 나옵니다. 우리가 분석한 전체 1,124건의 Rug Pull 사례 중 중앙화된 거래소 핫월렛에서 자금이 들어오는 경우는 1,069건으로 95.11%를 차지했습니다. 이는 대부분의 Rug Pull 사건에 대해 특정 계정 보유자에 대한 중앙 집중식 거래소의 계정 KYC 정보 및 출금 내역을 추적하여 사건 해결을 위한 핵심 단서를 얻을 수 있음을 의미합니다.

심층적인 조사 결과, 이러한 러그풀 갱단은 동시에 여러 거래소 핫월렛에서 범죄 자금을 획득하는 경우가 많으며, 각 지갑의 사용 수준(사용 횟수, 비율)은 거의 동일한 것으로 나타났습니다. 이는 러그 풀 갱단이 자본 흐름 측면에서 각 러그 풀 사건의 독립성을 높여 외부인이 출처를 추적하는 것을 더 어렵게 만들고 추적의 복잡성을 높이려는 의도를 보여줍니다.

이러한 자금 보유 주소와 Rug Pull 사례에 대한 자세한 분석을 통해 우리는 이러한 Rug Pull 갱단의 초상화를 그릴 수 있습니다. 그들은 잘 훈련되어 있고, 명확한 업무 분담을 갖고 있으며, 계획적이고 잘 조직되어 있습니다. 이러한 특징은 갱단의 높은 수준의 전문성과 사기 행위의 체계적 성격을 보여줍니다.

이렇게 잘 조직된 범죄자들을 마주하면 우리는 그들의 홍보 방법에 대해 질문과 호기심을 가지지 않을 수 없습니다. 이러한 Rug Pull 갱단은 어떻게 사용자가 이러한 Rug Pull 토큰을 발견하고 구매할 수 있도록 허용합니까? 이 질문에 답하기 위해 우리는 이러한 Rug Pull 사건의 피해자 주소에 초점을 맞추기 시작했으며 이러한 갱단이 어떻게 사용자를 사기에 가담하도록 유인했는지 밝히려고 노력했습니다.

· 채굴 피해자 주소

자금 상관관계 분석을 통해 Rug Pull 갱단의 주소 목록을 유지하고 이를 블랙리스트로 사용하여 Rug Pull 토큰에 해당하는 유동성 풀의 거래 기록에서 피해자 주소 집합을 선별했습니다.

이러한 피해자 주소를 분석한 결과, 자금 보유 주소와 관련된 피해자 주소 정보(표 7)와 피해자 주소의 계약 콜 정보(표 8)를 획득하였다.

표 7의 데이터에서 볼 수 있듯이, 우리가 분석한 온체인 모니터링 시스템(CertiK Alert)에서 포착한 Rug Pull 사례 중 사례당 평균 피해자 주소 수는 26.82개였습니다. 이 숫자는 실제로 우리가 원래 예상했던 것보다 더 높습니다. 이는 또한 이러한 러그 당김 사례가 이전에 생각했던 것보다 더 많은 피해를 입힌다는 것을 의미합니다.

표 8의 데이터를 보면 Rug Pull 토큰을 구매하기 위한 피해자 주소의 컨트랙트 호출에서 Uniswap, MetaMask Swap과 같은 보다 전통적인 구매 방법 외에 Maestro를 통해 Rug Pull 토큰의 30.40%를 구매한 것을 알 수 있습니다. Banana Gun과 같은 잘 알려진 온체인 저격 로봇 플랫폼에서.

이 발견은 온체인 저격 로봇이 Rug Pull 갱단의 중요한 홍보 채널 중 하나일 수 있음을 상기시켜 줍니다. 이러한 저격 로봇을 통해 Rug Pull 갱단은 참가자, 특히 토큰 사냥에 중점을 두는 사람들을 빠르게 끌어들일 수 있습니다. 따라서 우리는 Rug Pull 사기에서의 역할과 판촉 메커니즘을 더 잘 이해하기 위해 이러한 온체인 저격 봇에 관심을 집중합니다.

러그 풀 토큰 프로모션 채널

우리는 현재 Web3의 새로운 생태계를 조사하고, 온체인 저격 로봇의 작동 모드를 연구하고, 특정 사회 공학 방법과 결합하여 마침내 두 개의 가능한 Rug Pull 갱 광고 채널인 Twitter와 Telegram 그룹을 고정했습니다.

이러한 트위터와 텔레그램 그룹은 Rug Pull 그룹이 특별히 만든 것이 아니라 새로운 생태계의 기본 구성 요소로 존재했다는 점을 강조해야 합니다. 이는 온체인 저격 로봇 운영 팀이나 전문 혁신가 팀과 같은 제3자 조직에 의해 유지 관리되며 새로 출시된 토큰을 혁신가에게 푸시하는 데 전념합니다. 이러한 그룹은 Rug Pull 갱단의 자연스러운 광고 채널이 되어 사용자가 새로운 토큰을 푸시하여 악성 토큰을 구매하도록 유도하여 사기를 저지릅니다.

· 트위터 광고

 그림 15 TOMMI 토큰의 트위터 광고

그림 15는 위에서 언급한 TOMMI 토큰의 트위터 광고를 보여줍니다. Rug Pull 갱단은 더 많은 피해자를 유인하기 위해 Dexed.com의 새로운 통화 푸시 서비스를 사용하여 Rug Pull 토큰을 외부 세계에 노출한 것을 볼 수 있습니다. 실제 연구에서 우리는 상당한 수의 Rug Pull 토큰이 트위터에서 해당 광고를 찾을 수 있으며 이러한 광고는 종종 다른 제3자 조직의 트위터 계정에서 나오는 것을 발견했습니다.

· 텔레그램 그룹 광고

 그림 16 바나나건 신규 화폐 푸시 그룹

그림 16은 새로 출시된 토큰을 푸시하기 위해 특별히 온체인 저격 로봇 바나나 건 팀이 유지 관리하는 텔레그램 그룹을 보여줍니다. 이 그룹은 새로운 토큰에 대한 기본 정보를 푸시할 뿐만 아니라 사용자에게 편리한 구매 입구를 제공합니다. 사용자가 Banana Gun Sniper Bot의 기본 설정을 구성한 후 그룹 내 토큰 푸시 정보에 해당하는 "Snipe" 버튼(그림 16의 빨간색 상자)을 클릭하면 토큰을 빠르게 구매할 수 있습니다.

우리는 이 그룹에 푸시된 토큰을 수동으로 검사한 결과, 토큰의 상당 부분이 Rug Pull 토큰인 것을 발견했습니다. 이 발견은 Telegram 그룹이 Rug Pull 갱단의 중요한 광고 채널이 될 것이라는 우리의 추측을 더욱 심화시킵니다.

이제 문제는 제3자 기관이 추진하는 새로운 토큰 중 Rug Pull 토큰이 차지하는 비율이 얼마나 되는지입니다. 러그 풀(Rug Pull) 갱단의 범죄 규모는 얼마나 됩니까? 이러한 문제를 명확히 하기 위해 우리는 텔레그램 그룹에 푸시된 새로운 토큰 데이터에 대한 체계적인 스캔 및 분석을 수행하여 그 뒤에 숨은 위험의 규모와 사기의 영향을 밝히기로 결정했습니다.

이더리움 토큰 생태학적 분석

· 텔레그램 그룹에 푸시된 토큰을 분석합니다.

이러한 텔레그램 그룹에 푸시된 새 토큰의 Rug Pull 비율을 연구하기 위해 우리는 2023년 10월부터 2024년 8월 사이에 텔레그램 API를 통해 Banana Gun, Unibot 및 기타 제3자 토큰 메시지 그룹을 크롤링했습니다. 푸시된 이더리움 새 토큰 정보를 발견했습니다. 이들 그룹은 이 기간 동안 총 93,930개의 토큰을 푸시했습니다.

Rug Pull 사건에 대한 분석에 따르면 Rug Pull 갱단은 일반적으로 Rug Pull 토큰을 사용하여 Uniswap V2에 유동성 풀을 만들고 범죄를 저지를 때 일정량의 ETH를 투자합니다. 사용자 또는 새로운 로봇이 풀에서 Rug Pull 토큰을 구매한 후 공격자는 시장을 파괴하거나 유동성을 제거하여 이익을 얻습니다. 전체 프로세스는 일반적으로 24시간 이내에 종료됩니다.

따라서 우리는 Rug Pull 토큰에 대한 다음 탐지 규칙을 요약하고 이러한 규칙을 사용하여 이러한 Telegram 그룹에 푸시된 새 토큰 중 Rug Pull 토큰의 비율을 결정하기 위한 목적으로 93,930개 토큰을 스캔했습니다.

1. 지난 24시간 동안 대상 토큰의 전송이 없었습니다. Rug Pull 토큰은 일반적으로 매각이 완료된 후 더 이상 활동이 없습니다.

2. Uniswap V2에는 대상 토큰과 ETH에 대한 유동성 풀이 있습니다. Rug Pull 그룹은 Uniswap V2에 토큰과 ETH에 대한 유동성 풀을 생성합니다.

3. 토큰 생성 이후 탐지 시점까지의 총 전송 이벤트 수는 1,000을 초과하지 않습니다. Rug Pull 토큰은 일반적으로 트랜잭션 수가 적기 때문에 전송 횟수가 상대적으로 적습니다.

4. 토큰과 관련된 지난 5번의 거래에서 대량의 유동성 풀 인출 또는 판매 행위가 있었습니다. Rug Pull 토큰은 사기가 끝나면 대량의 유동성 인출 또는 판매 행위를 겪게 됩니다.

이러한 규칙은 텔레그램 그룹이 푸시한 토큰을 탐지하는 데 사용되었으며 결과는 표 10에 나와 있습니다.

표 9에서 볼 수 있듯이 텔레그램 그룹이 푸시한 93,930개의 토큰 중 총 46,526개의 Rug Pull 토큰이 감지되어 49.53%를 차지했습니다. 이는 텔레그램 그룹에 푸시된 토큰의 거의 절반이 Rug Pull 토큰이라는 것을 의미합니다.

일부 프로젝트 당사자도 프로젝트 실패 후 유동성을 회수할 것이라는 점을 고려하면 이러한 행위를 단순히 본 기사에서 언급한 러그풀 사기로 분류해서는 안 됩니다. 따라서 이러한 상황이 이 기사의 분석 결과에 미칠 수 있는 오탐지(false positive)의 영향을 고려해야 합니다. 탐지 규칙 3조를 통해 대부분의 유사한 상황을 필터링할 수 있었지만 여전히 잘못된 판단이 발생할 수 있습니다.

이러한 잠재적 오탐의 영향을 더 잘 이해하기 위해 우리는 Rug Pulls로 감지된 46,526개 토큰의 활성 시간에 대한 통계를 수행했습니다. 결과는 표 10에 나와 있습니다. 이러한 토큰의 활성 시간을 분석함으로써 실제 Rug Pull 동작과 프로젝트 실패로 인한 유동성 인출 동작을 더욱 구분할 수 있으므로 Rug Pull의 실제 규모를 보다 정확하게 평가할 수 있습니다.

활성 시간 통계를 통해 41,801개의 Rug Pull 토큰의 활성 시간(토큰 생성부터 Rug Pull의 최종 실행까지의 시간)이 72시간 미만으로 89.84%를 ​​차지하는 것으로 나타났습니다. 일반적인 상황에서 72시간은 프로젝트 실패 여부를 판단하기에 충분한 시간이 아닙니다. 따라서 이 글에서는 72시간 미만 동안 활성화되는 러그 풀(Rug Pull) 행위는 프로젝트 당사자가 자금을 회수하는 정상적인 행위가 아니라고 판단합니다.

따라서 가장 이상적인 상황에서도 활성 시간이 72시간을 초과하는 나머지 4,725개의 Rug Pull 토큰은 이 기사에서 정의된 Rug Pull 사기 사례에 속하지 않으며 여전히 89.84가 있기 때문에 우리의 분석은 여전히 ​​높은 참조 값을 갖습니다. %의 사례가 기대에 부합했습니다. 실제로 72시간이라는 시간 설정은 여전히 ​​상대적으로 보수적입니다. 실제 샘플링 테스트에서 72시간 이상 활성화된 토큰의 상당 부분이 여전히 본 기사에서 언급한 Rug Pull 사기 범주에 속하기 때문입니다.

3시간 미만 동안 활성화된 토큰의 수는 25,622개로 55.07%를 차지한다는 점을 언급할 가치가 있습니다. 이는 러그 풀 갱단이 매우 높은 효율의 사이클로 범죄를 저지르고 있음을 보여줍니다. 범죄 스타일은 "짧고, 평평하며 빠르다"는 경향이 있으며 자본 회전율은 매우 높습니다.

또한 이러한 러그풀 집단의 범행 여부를 확인하기 위해 러그풀 토큰 46,526건의 현금인출 방식과 계약소집 방식을 평가했다.

캐시아웃 방법에 대한 평가는 주로 Rug Pull 그룹이 유동성 풀에서 ETH를 얻기 위해 사용하는 다양한 방법에 해당하는 사례 수를 계산합니다. 주요 방법은 다음과 같습니다.

1. 스매싱: Rug Pull 갱단은 사전 할당 또는 코드 백도어를 통해 얻은 토큰을 사용하여 유동성 풀의 모든 ETH를 상환합니다.

2. 유동성 제거: Rug Pull 그룹은 원래 유동성 풀에 추가했던 모든 자금을 인출합니다.

컨트랙트 호출 방법에 대한 평가는 Rug Pull 실행 시 Rug Pull 팀이 호출한 대상 컨트랙트 객체를 확인하는 것입니다. 주요 개체는 다음과 같습니다.

1. 탈중앙화 거래소 라우터 계약: 유동성을 직접 운영하기 위해 사용됩니다.

2. Rug Pull 갱단이 구축한 공격 계약: 복잡한 사기 행위를 수행하는 데 사용되는 맞춤형 계약입니다.

캐시아웃 방법과 계약 호출 방법을 평가함으로써 우리는 Rug Pull 갱단의 운영 모드와 특성을 더 잘 이해할 수 있으며 유사한 사기 행위를 더 잘 예방하고 식별할 수 있습니다.

캐시아웃 방식의 관련 평가 데이터는 Table 11과 같다.

평가자료를 보면 러그풀그룹이 유동성을 제거해 현금화한 사례가 32,131건으로 69.06%를 차지함을 알 수 있다. 이는 이러한 Rug Pull 그룹이 유동성을 제거하여 현금화하려는 경향이 더 높다는 것을 보여줍니다. 가능한 이유는 이 방법이 더 간단하고 직접적이며 복잡한 계약서 작성이나 추가 작업이 필요하지 않기 때문입니다. 반면, 판매를 통해 현금화하는 방법은 Rug Pull 갱단이 토큰의 계약 코드에 백도어를 미리 설정해야 하므로 판매에 필요한 토큰을 무료로 얻을 수 있습니다. 이 작업 과정은 번거롭고 증가할 수 있습니다. 위험하므로 이 방법을 선택하는 경우는 상대적으로 적습니다.

계약 호출 방법에 대한 관련 평가 데이터는 Table 12와 같다.

표 12의 데이터를 보면 Rug Pull 그룹이 Uniswap의 Router 계약을 통해 Rug Pull 작업을 수행하는 것을 선호하며 총 40,887회를 수행하여 전체 실행 횟수의 76.35%를 차지하는 것을 명확히 알 수 있습니다. Rug Pull 실행의 총 횟수는 53,552이며, 이는 Rug Pull 토큰 수인 46,526보다 높습니다. 이는 경우에 따라 Rug Pull 갱이 이익을 극대화하거나 다른 피해자를 목표로 여러 Rug Pull 작업을 수행한다는 것을 보여줍니다. 일괄적으로 현금화하세요.

다음으로, 러그 풀 사례 46,526건의 비용 및 이익 데이터에 대한 통계 분석을 수행했습니다. 우리는 Rug Pull 그룹이 토큰을 배포하기 전에 중앙형 거래소 또는 플래시 거래소 서비스에서 얻은 ETH를 비용으로 간주하고 최종 Rug Pull 동안 회수된 ETH를 관련 통계에 대한 수입으로 간주한다는 점에 유의해야 합니다. 유동성 풀 거래량을 위조할 때 일부 Rug Pull 갱단이 직접 투자한 ETH는 고려되지 않기 때문에 실제 비용 데이터는 더 높을 수 있습니다.

비용 및 이점 데이터는 표 13에 나와 있습니다.

이 46,526개의 Rug Pull 토큰 통계에서 최종 총 이익은 282,699.96 ETH였으며, 이익 마진은 약 8억 달러에 해당하는 188.70%에 달했습니다. 실제 수익은 위의 데이터에 비해 다소 낮을 수 있지만 전체적인 자금 규모는 여전히 매우 놀랍습니다. 이는 이러한 Rug Pull 갱단이 사기를 통해 막대한 수익을 얻었음을 보여줍니다.

텔레그램 그룹 전체의 토큰 데이터 분석에 따르면, 현재 이더리움 생태계는 이미 수많은 Rug Pull 토큰으로 가득 차 있습니다. 그러나 우리는 여전히 중요한 질문을 확인해야 합니다. 이러한 텔레그램 그룹에 푸시된 토큰이 이더리움 메인넷에서 출시된 모든 토큰을 포괄합니까? 그렇지 않다면 이더리움 메인넷에서 출시된 토큰 중 몇 퍼센트를 차지합니까?

이 질문에 답하면 현재 이더리움 토큰 생태계에 대한 포괄적인 이해를 얻을 수 있습니다. 따라서 우리는 전체 메인넷 토큰 중 텔레그램 그룹이 푸시한 토큰의 적용 범위를 확인하기 위해 이더리움 메인넷의 토큰에 대한 심층 분석을 수행하기 시작했습니다. 이 분석을 통해 우리는 전체 Ethereum 생태계에서 Rug Pull 문제의 심각성과 토큰 푸시 및 프로모션에 대한 Telegram 그룹의 영향을 더욱 명확히 할 수 있습니다.

· 이더리움 메인넷에서 발행된 토큰 분석

위의 텔레그램 그룹 토큰 정보 분석과 동일한 기간(2023년 10월 ~ 2024년 8월)에 RPC 노드를 통해 블록 데이터를 크롤링했으며, 이러한 블록에서 새로 배포된 토큰(포함되지 않음)을 얻었습니다. 프록시를 통해 비즈니스 로직을 구현하는 토큰이기 때문입니다. 프록시를 통해 배포된 토큰에는 Rug Pull 사례가 거의 없습니다. 최종 캡처된 토큰 수는 154,500개였으며, 이 중 Uniswap V2의 유동성 풀(LP) 토큰 수는 54,240개였으며, LP 토큰은 이 기사의 관찰 범위에 포함되지 않습니다.

따라서 LP 토큰을 필터링한 결과 최종 토큰 수는 100,260개였습니다. 관련 정보는 표 14에 나와 있습니다.

우리는 이 100,260개의 토큰에 대해 Rug Pull 규칙 테스트를 수행했으며 그 결과는 표 15에 나와 있습니다.

Rug Pull에 대해 테스트된 100,260개의 토큰 중 48,265개의 토큰이 Rug Pull 토큰인 것으로 확인되었으며, 이는 전체의 48.14%를 차지합니다. 이 비율은 Telegram 그룹에서 푸시된 토큰 중 Rug Pull 토큰의 비율과 일치합니다. 같은.

텔레그램 그룹이 푸시한 토큰과 이더리움 메인넷에서 출시된 모든 토큰 간의 포함 관계를 추가로 분석하기 위해 이 두 그룹의 토큰 정보를 자세히 비교했으며 그 결과는 표 16에 나와 있습니다.

표 16의 데이터에서 볼 수 있듯이 텔레그램 그룹이 푸시한 토큰과 메인넷에서 캡처한 토큰 사이에는 90,228개의 교차점이 있으며, 이는 메인넷 토큰의 89.99%를 차지합니다. 텔레그램 그룹에는 메인넷에서 캡처한 토큰에 포함되지 않은 3,703개의 토큰이 있습니다. 샘플링 검사 결과 이러한 토큰은 모두 계약 에이전트를 구현하는 토큰이며, 메인넷 토큰을 캡처할 때 포함되지 않은 토큰입니다. 대행사를 시행합니다.

텔레그램 그룹에서 푸시되지 않은 10,032개의 메인넷 토큰에 대해서는 이러한 토큰이 텔레그램 그룹의 푸시 규칙에 의해 필터링되기 때문일 수 있습니다. 필터링되는 이유는 매력이 부족하거나 확실하기 때문일 수 있습니다. 푸시 기준이 충족되지 않았습니다.

추가 분석을 위해 계약 에이전트를 구현한 3,703개의 토큰에 대해 Rug Pull 감지를 별도로 수행한 결과 최종적으로 Rug Pull 토큰은 10개만 발견되었습니다. 따라서 이러한 계약 프록시 토큰은 Telegram 그룹에 있는 토큰의 Rug Pull 감지 결과에 큰 간섭을 일으키지 않습니다. 이는 Telegram 그룹이 푸시한 토큰의 Rug Pull 감지 결과가 Rug Pull 감지 결과와 매우 일치함을 보여줍니다. 메인넷 토큰 중.

프록시를 구현하는 10개의 Rug Pull 토큰 주소는 표 17에 나열되어 있습니다. 관심이 있는 경우 이 주소의 관련 세부 정보를 직접 확인할 수 있습니다.

이 분석을 통해 우리는 Telegram 그룹이 푸시하는 토큰이 Rug Pull 토큰 비율에서 메인넷 토큰과 높은 수준의 중첩을 가지고 있음을 확인했으며, 현재 Rug Pull 생태계에서 이러한 푸시 채널의 중요성과 영향력을 더욱 검증했습니다.

이제 우리는 텔레그램 그룹에 푸시된 토큰이 이더리움 메인넷에서 출시된 모든 토큰을 포괄하는지, 그렇지 않은 경우 어떤 비율을 차지하는지 질문에 답할 수 있습니다.

그 대답은 텔레그램 그룹이 푸시한 토큰이 메인 네트워크의 약 90%를 차지하고 있으며, Rug Pull 테스트 결과가 메인 네트워크 토큰의 Rug Pull 테스트 결과와 매우 일치한다는 것입니다. 따라서 이전의 텔레그램 그룹이 푸시한 토큰에 대한 Rug Pull 감지 및 데이터 분석은 기본적으로 이더리움 메인 네트워크의 토큰 생태계의 현재 상태를 반영할 수 있습니다.

앞서 언급한 바와 같이 이더리움 메인넷의 Rug Pull 토큰은 약 48.14%를 차지하지만, 나머지 51.86%의 Rug Pull 토큰이 아닌 토큰에도 관심이 있습니다. Rug Pull 토큰을 제외하더라도 알 수 없는 상태의 토큰은 여전히 ​​51,995개이며, 이는 합리적인 토큰 수에 대해 예상하는 것보다 훨씬 많습니다. 따라서 메인 네트워크의 모든 토큰에 대해 생성부터 최종 활동 종료까지의 시간에 대한 통계를 작성하였으며 그 결과는 표 18과 같습니다.

표 18의 데이터에서 볼 수 있듯이, 전체 이더리움 메인 네트워크로 범위를 확장하면 토큰 수명 주기가 72시간 미만인 토큰의 수가 78,018개가 되어 전체의 77.82%를 차지하게 됩니다. 이 숫자는 우리가 감지한 러그 풀(Rug Pull) 토큰 수보다 상당히 높습니다. 이는 이 문서에 언급된 러그 풀(Rug Pull) 감지 규칙이 모든 러그 풀(Rug Pull) 사례를 완전히 다룰 수 없음을 보여줍니다. 실제로 샘플링 테스트를 통해 감지되지 않은 Rug Pull 토큰이 있음을 발견했습니다. 동시에 이는 피싱 공격, Pixiu 디스크 등과 같이 다루지 않는 다른 형태의 사기가 있음을 의미할 수도 있으며 여전히 추가 조사와 조사가 필요합니다.

또한, 수명주기가 72시간 이상인 토큰의 수도 22,242개에 달합니다. 그러나 토큰의 이 부분은 이 기사의 초점이 아니므로 아직 발견되지 않은 다른 세부 정보가 있을 수 있습니다. 아마도 이러한 토큰 중 일부는 실패한 프로젝트 또는 특정 사용자 기반을 가지고 있지만 장기적인 개발 지원을 얻지 못한 프로젝트를 나타낼 수 있습니다. 이러한 토큰 뒤에 숨겨진 이야기와 이유는 더 복잡한 시장 역학을 숨길 수 있습니다.

이더리움 메인넷의 토큰 생태계는 다양한 단기 및 장기 프로젝트가 얽혀 있고 잠재적인 사기 행위가 끝없이 출현하는 등 우리가 예상했던 것보다 훨씬 더 복잡합니다. 이 글은 주로 모든 사람의 관심을 불러일으키기 위해 작성되었습니다. 우리의 알려지지 않은 구석에서 범죄자들이 조용히 행동해 왔다는 것을 모두가 깨달았으면 좋겠습니다. 이러한 분석을 통해 더 많은 사람들이 전체 블록체인 생태계의 보안을 향상시키기 위한 관심과 연구를 하도록 유도할 수 있기를 바랍니다.

생각하다

이더리움 메인넷에서 새로 발행된 토큰 중 Rug Pull 토큰이 48.14%에 달하는 높은 비중을 차지하고 있는데, 이는 매우 경고적인 신호입니다. 이는 평균적으로 이더리움에서 출시된 토큰 2개 중 하나가 사기에 사용된다는 의미이며, 이는 현재 이더리움 생태계의 혼란과 무질서를 어느 정도 반영합니다. 그러나 실제 우려는 이더리움 토큰 생태계의 현재 상태를 훨씬 넘어서는 것입니다. 온체인 모니터링 프로그램에서 포착한 Rug Pull 사례 중 다른 블록체인 네트워크의 사례 수가 이더리움보다 훨씬 많다는 사실을 발견했습니다. 그렇다면 다른 네트워크의 토큰 생태계는 어떤가요? 또한 더 깊이 연구할 가치가 있다.

또한, 48.14%를 차지하는 Rug Pull 토큰을 제외하더라도 이더리움은 여전히 ​​매일 약 140개의 새로운 토큰이 출시되고 있으며, 일일 발행 범위는 여전히 합리적인 범위보다 훨씬 높습니다. 토큰? 밝혀지지 않은 비밀? 이러한 문제는 우리가 깊이 생각하고 연구할 가치가 있는 문제입니다.

그동안 이 문서에는 추가 조사가 필요한 여러 핵심 사항이 있습니다.

1. Ethereum 생태계에서 Rug Pull 그룹의 수와 연결을 빠르고 효율적으로 결정하는 방법은 무엇입니까?

지금까지 적발된 다수의 러그풀 사건과 관련하여, 이들 사건 뒤에 얼마나 많은 독립적인 러그풀 갱단이 숨어 있는지, 그리고 이들 갱단 사이에 연관성이 있는지를 효과적으로 판단할 수 있는 방법은 무엇입니까? 이 분석에는 자금 흐름과 주소 공유의 조합이 필요할 수 있습니다.

2. Rug Pull 사건에서 피해자 주소와 공격자 주소를 보다 정확하게 구별하는 방법은 무엇입니까?

피해자와 공격자를 구별하는 것은 사기를 식별하는 중요한 단계이지만, 피해자 주소와 공격자 주소 사이의 경계가 모호한 경우가 많으므로 어떻게 더 정확하게 구별할 것인가는 심층적인 연구의 가치가 있는 문제입니다.

3. 러그 당김 감지를 이벤트 도중이나 이벤트 이전으로 어떻게 이동합니까?

현재의 Rug Pull 감지 방법은 주로 이벤트 후 분석을 기반으로 하며, 현재 활성화된 토큰에서 발생할 수 있는 Rug Pull 위험을 사전에 식별하기 위해 진행 중 또는 이벤트 전 감지 방법을 개발할 수 있습니까? 이 능력은 투자자 손실을 줄이고 적시에 개입하는 데 도움이 됩니다.

4. 러그풀파의 수익전략은 무엇인가?

Rug Pull 갱단이 Rug Pull을 수행하는 수익 조건(예: 평균 수익이 나면 도망을 선택합니다. 이 기사의 표 13 참조)과 특정 메커니즘이나 수단을 통해 수익을 보장하는지 여부를 조사합니다. . 이 정보는 러그 풀(Rug Pull) 행위 발생을 예측하고 예방을 강화하는 데 도움이 됩니다.

5. 트위터, 텔레그램 외에 다른 홍보채널도 있나요?

이 기사에 언급된 Rug Pull 갱단은 주로 Twitter 및 Telegram과 같은 채널을 통해 사기성 토큰을 홍보하지만, 악용될 수 있는 다른 홍보 채널이 있습니까? 예를 들어 포럼, 소셜 미디어, 광고 플랫폼 등이 있습니다. 이러한 채널에도 유사한 위험이 있습니까?

이러한 문제는 우리의 심도 있는 토론과 고민의 가치가 있으며 여기서는 논의되지 않으며 모든 사람의 연구와 토론에 남겨집니다. Web3 생태계는 빠르게 발전하고 있으며 보안을 보장하는 것은 기술적 진보에 달려 있을 뿐만 아니라 변화하는 위험과 과제를 처리하기 위해 보다 포괄적인 모니터링과 심층적인 연구가 필요합니다.

제안

위에서 언급했듯이 현재 토큰 생성 생태계는 Web3 투자자로서 주의하지 않으면 손실을 입을 수 있습니다. Rug Pull 갱단과 사기 방지 팀 간의 공격 및 방어 대결이 계속 확대됨에 따라 투자자가 사기성 토큰이나 프로젝트를 식별하는 것이 점점 더 어려워지고 있습니다.

따라서 새로운 시장에 진출하려는 투자자를 위해 당사의 보안 전문가 팀은 다음과 같은 참고 사항을 제안합니다.

1. 잘 알려진 중앙형 거래소를 통해 새 토큰을 구매해 보세요. 새 토큰을 구매할 때 잘 알려진 중앙형 거래소에 우선 순위를 두세요. 이러한 플랫폼은 프로젝트 검토가 더 엄격하고 상대적으로 더 안전합니다.

2. 탈중앙화 거래소를 통해 새 토큰을 구매할 때는 공식 웹사이트와 온체인 주소를 확인해야 합니다. 사기성 토큰을 실수로 구매하는 일이 없도록 구매한 토큰이 공식적으로 출시된 계약 주소에서 나온 것인지 확인하세요.

3. 새 토큰을 구매하기 전에 프로젝트에 공식 웹사이트와 커뮤니티가 있는지 확인하십시오. 공식 웹사이트나 활발한 커뮤니티가 없는 프로젝트는 위험이 더 높은 경향이 있습니다. 제3자 Twitter 및 Telegram 그룹이 푸시하는 새로운 토큰에 특별한 주의를 기울이십시오. 이러한 푸시의 대부분은 보안이 검증되지 않았습니다.

4. 토큰 생성 시간을 확인하고 생성된 지 3일이 지나지 않은 토큰 구매를 피하세요. 일정한 기술적 기반이 있다면 블록 브라우저를 통해 토큰 생성 시간을 확인하고 해당 토큰의 구매를 피해보세요. Rug Pull 토큰은 일반적으로 짧은 기간 동안 활성화되기 때문에 코인이 생성된 지 3일이 지나지 않았습니다.

5. 제3자 보안기관의 토큰 스캐닝 서비스 이용: 조건이 허락한다면 제3자 보안기관에서 제공하는 토큰 스캐닝 서비스를 이용하여 대상 토큰의 보안성을 탐지할 수 있습니다.

부르다

본 글에서 중점적으로 다루고 있는 Rug Pull 사기조직 외에도 Web3 업계의 다양한 분야나 플랫폼의 인프라와 메커니즘을 이용하여 불법적인 이익을 취하는 유사범죄자들이 늘어나고 있어 Web3 생태계의 현 보안상황을 만들고 있다. 점점 심해짐. 우리는 종종 간과되는 몇 가지 문제에 주의를 기울여야 하며 범죄자에게 이를 이용할 기회를 제공하지 않아야 합니다.

앞서 언급한 바와 같이 Rug Pull 갱단의 자금 유입과 유출은 결국 주요 거래소를 통해 흐르게 되지만, Rug Pull 사기의 자금 흐름은 빙산의 일각에 불과하며, 거래소를 통해 유입되는 악성 자금의 규모도 클 수 있다고 생각합니다. 우리의 상상을 훨씬 뛰어넘을 것입니다. 따라서 우리는 주요 거래소가 이러한 악의적인 자본 흐름에 대해 보다 엄격한 규제 조치를 채택하고 불법 및 사기 행위를 적극적으로 단속하여 사용자 자금의 안전을 보장할 것을 강력히 촉구합니다.

프로젝트 홍보 및 온체인 저격 봇과 같은 제3자 서비스 제공업체와 유사하게 이들의 인프라는 실제로 사기 그룹의 수익 창출 도구가 되었습니다. 따라서 우리는 모든 제3자 서비스 제공업체에 제품이나 콘텐츠의 보안 검토를 강화하여 범죄자의 악의적인 사용을 방지할 것을 요청합니다.

동시에 우리는 MEV 차익거래자 및 일반 사용자를 포함한 모든 피해자에게 보안 스캐닝 도구를 적극적으로 사용하여 알려지지 않은 프로젝트에 투자하기 전에 대상 프로젝트를 탐지하고, 권위 있는 보안 기관의 프로젝트 평가를 참조하고, 악의적인 행위를 사전에 공개할 것을 촉구합니다. 업계의 불법 관행을 폭로합니다.

전문 보안팀으로서 우리는 모든 보안 실무자에게 불법 행위를 적극적으로 발견, 차단, 퇴치하고 사용자의 재산 안전을 보호하기 위해 부지런히 목소리를 낼 것을 요청합니다.

Web3 분야에서는 사용자, 프로젝트 당사자, 거래소, MEV 차익거래자, 봇과 같은 제3자 서비스 제공업체가 모두 중요한 역할을 합니다. 모든 참가자가 Web3 생태계의 지속 가능한 발전에 기여하고 보다 안전하고 투명한 블록체인 환경을 공동으로 만들 수 있기를 바랍니다.