背后价值1500万美元损失的Rugpull骗局：别再上当了！

进阶

12/11/2024, 8:15:20 AM

本文深入分析了Rugpull事件的特征，并提供了全面的预防措施。总结了近期Rugpull事件的特点，包括冒充知名加密货币、针对新代币上市机器人的陷阱、源代码中的隐性风险以及代币持有者分布的异常。此外，文章还讨论了如何通过检查代币地址、合约代码、持有者分布和资金来源来避免骗局。

TenArmor和GoPlus拥有强大的Rugpull检测系统。最近，两家公司携手开展了深入的风险分析和案例研究，针对Rugpull事件的日益严重，提出了应对方案。他们的研究揭示了Rugpull攻击的最新手段和趋势，并为用户提供了有效的安全建议。

Rugpull事件统计

TenArmor的检测系统每天识别出大量Rugpull事件。回顾过去一个月的数据，Rugpull事件呈上升趋势，尤其是在11月14日，单日事件数量达到了惊人的31起。我们认为有必要引起社区对这一现象的关注。

这些Rugpull事件中的大部分损失都在$0到$100K之间，总损失已达到1500万美元。

在Web3领域，最典型的Rugpull类型是“蜜罐代币”（在中文中被称为“貔貅盘”）。GoPlus的代币安全检测工具能够识别是否属于这一类别。在过去的一个月里，GoPlus检测到了5,688个此类代币。欲了解更多安全相关数据，请访问GoPlus在Dune上的公开数据仪表盘。

TL;DR

根据近期Rugpull事件的特点，我们总结了以下预防措施：

不要盲目跟风：购买热门代币时，验证代币地址是否合法，以避免购买假代币和陷入骗局。
新代币发行时进行尽职调查：检查初始流量是否来自与合约部署者相关的地址。如果是，这可能表明潜在骗局，最好避免该项目。
审查合约源代码：特别关注transfer/transferFrom功能的实现，确保买卖能够正常进行。如果代码混淆，避免参与该项目。
分析持有者分布：如果代币持有者的资金集中度明显过高，最好远离该项目。
追踪合约部署者的资金来源：尽量追溯最多10个跳数，检查合约部署者的资金是否来自任何可疑交易所。
关注TenArmor的警报更新：及时反应以减少损失。TenArmor具备提前检测骗局代币的能力，因此关注TenArmor的X（前Twitter）账号可以获得及时的警报。
使用TenTrace系统：TenTrace积累了多个平台上与骗局/钓鱼/漏洞相关的地址数据，可以有效识别黑名单地址的资金流动。TenArmor致力于提升社区的安全性，欢迎需要协助的伙伴联系我们进行合作。

最近Rugpull事件的特点

通过分析大量的Rugpull事件，我们发现了以下几个最近Rugpull事件的特点。

模仿热门代币

自11月1日起，TenArmor的检测系统已识别出五起涉及假冒PNUT代币的Rugpull事件。据此推特信息，PNUT自11月1日开始运营，并在仅七天内实现了161倍的暴涨，成功吸引了投资者的关注。PNUT的启动和暴涨时间与骗子开始冒充PNUT的时间几乎完全重合。骗子通过冒充PNUT，意图诱骗毫不知情的投资者。

来自假PNUT代币Rugpull事件的总欺诈金额达到了103.1万美元。TenArmor提醒用户不要盲目跟风；购买热门代币时，请务必验证代币地址是否合法。

以抢先交易机器人为目标

新代币或新项目的发行通常会引发市场的巨大关注。在初始发布阶段，代币价格波动剧烈，甚至几秒钟内价格变化巨大。此时，速度对最大化利润至关重要，使得交易机器人成为抢先交易新代币的流行工具。

然而，骗子也迅速注意到抢先交易机器人泛滥的现象，并针对性地设置了陷阱。例如，地址0xC757349c0787F087b4a2565Cd49318af2DE0d0d7自2024年10月以来已执行超过200起欺诈事件。每一起骗局都在几小时内完成，从部署陷阱合约到执行Rugpull。

以该地址最近发起的骗局为例，骗子首先使用0xCd93创建了FLIGHT代币，并随后建立了FLIGHT/ETH交易对。

交易对建立后，许多香蕉枪（Banana Gun）抢先交易机器人开始进行小额代币交换。经过分析，我们发现这些机器人实际上是由骗子控制，用以制造虚假的交易量。

约50笔小额交易被执行，以制造流量假象，进而吸引了真正的投资者——其中许多投资者实际上使用了香蕉枪抢先交易机器人进行交易。

经过一段时间的交易活动，骗子部署了一个合约来执行Rugpull。该合约的资金来源于0xC757地址。仅在部署合约后1小时42分钟，骗子便一次性抽走了流动性池中的资金，赚取了27个ETH。

通过分析骗子的手法可以看出，他们首先通过小额交易伪造流量，吸引抢先交易机器人，然后部署Rug合约，一旦赚到期望的利润就终止项目。

TenArmor认为，尽管抢先交易机器人使得购买新代币变得便利和快速，但也需要警惕骗子。务必进行彻底的尽职调查，如果初始交易量似乎来自与合约部署者相关的地址，最好避免参与该项目。

源代码中的隐藏技巧

交易税

以下代码展示了FLIGHT代币转账功能的实现，可以明显看出该实现与标准实现有显著差异。每个转账操作都需要根据当前条件决定是否应用交易税。该交易税限制了买卖操作，这使得该代币极有可能是骗局。

在这种情况下，用户可以通过检查代币的源代码来识别潜在问题，避免落入陷阱。

代码混淆

在TenArmor的文章《新兴和主要Rugpull事件回顾：投资者和用户应如何应对》中提到，一些骗子故意混淆源代码，使其难以阅读，从而隐藏其真实意图。遇到这种混淆的代码时，最好立即避免参与。

公然恶意的rugApproved

在TenArmor检测到的众多Rugpull事件中，部分案例中骗子的意图非常明显。例如，某些交易明确声明其意图。

通常，在部署用于Rugpull的合约和执行Rugpull之间有一个时间窗口。在这种特定情况下，时间窗口接近三小时。为了防止此类骗局，用户可以关注TenArmor的X账号（前Twitter）。我们会及时发送关于这类风险合约部署的警报，提醒用户及时撤回投资。

此外，像rescueEth/recoverStuckETH这样的函数在Rugpull合约中很常见。当然，存在这些函数并不一定意味着该合约就是Rugpull；仍然需要结合其他指标来确认。

持有人集中度

在最近TenArmor检测到的Rugpull事件中，代币的持有者分布呈现出明显特征。我们随机选择了三起Rugpull事件，分析了涉及代币的持有者分布情况。结果如下：

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

在这三起案例中，很容易发现Uniswap V2交易对是最大的持有者，持有了绝大多数的代币。TenArmor提醒用户，如果一个代币的持有者大部分集中在一个地址上，如Uniswap V2交易对，这极有可能是一个骗局。

资金来源分析

我们随机选择了3起由TenArmor检测到的Rugpull事件，并分析了它们的资金来源。

案例1

交易哈希：0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
经过追溯6个跳数，我们发现资金来源于FixedFloat。
FixedFloat是一家自动化加密货币交易所，用户无需注册或进行“了解您的客户”（KYC）验证。骗子选择从FixedFloat提取资金以隐藏其身份。

案例2

交易哈希：0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
经过追溯5个跳数，我们识别出资金来源于MEXC 1。
2024年3月15日，香港证券及期货事务监察委员会（SFC）发布了关于MEXC平台的警告。文章提到，MEXC一直积极向香港投资者推广其服务，但未从SFC获得许可或申请许可。2024年3月15日，SFC将MEXC及其网站列入了可疑虚拟资产交易平台名单。

案例3

交易哈希：0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
经过追溯5个跳数，我们发现资金来源于Disperse.app。
Disperse.app用于将以太坊或代币分发到多个地址。
通过分析交易，我们发现此案例中Disperse.app的调用者为0x511E04C8f3F88541d0D7DFB662d71790A419a039。追溯2个跳数后，我们也发现资金来自Disperse.app。
进一步分析表明，Disperse.app的调用者为0x97e8B942e91275E0f9a841962865cE0B889F83ac。追溯2个跳数后，我们发现资金来源于MEXC 1。

从这3个案例的分析中可以明显看出，骗子利用不需要KYC验证的交易所和未经许可的交易所为其活动提供资金。
TenArmor提醒用户，在投资新代币时，必须验证合约部署者的资金来源是否来自可疑交易所。

预防方法

基于TenArmor和GoPlus的综合数据集，本文全面概述了Rugpull的技术特征，并呈现了具有代表性的案例。针对这些Rugpull的特性，我们总结了以下预防措施：

不要盲目跟风：购买热门代币时，请验证代币地址是否合法。这有助于避免购买假代币和落入骗局陷阱。
在新代币发行时进行彻底的尽职调查：检查初始流量是否来自与合约部署者相关的地址。如果是，这可能表明存在骗局陷阱，最好避免参与。
审查合约源代码：特别注意transfer/transferFrom函数的实现，确保买卖能够正常进行。避免参与源代码混淆的项目。
在投资前分析持有者分布：如果代币持有者高度集中在某个特定地址，建议避免投资该代币。
验证合约部署者的资金来源：追溯最多10个跳数，确认合约部署者的资金是否来自可疑交易所。
关注TenArmor的警报更新以减少损失：TenArmor具备提前检测骗局代币的能力。关注TenArmor的X（前Twitter）账号以获得及时的警报。

参与这些Rugpull事件的恶意地址已实时整合到TenTrace系统中。TenTrace是由TenArmor自主开发的反洗钱（AML）系统，适用于反洗钱、防欺诈和攻击者身份追踪等多种场景。TenTrace积累了来自多个平台的与骗局/钓鱼/漏洞相关的地址数据，能够有效识别流入黑名单地址的资金，并准确监控这些地址的资金流出。

TenArmor致力于提升社区安全性，欢迎有合作意向的伙伴与我们联系。

关于TenArmor

TenArmor是您在Web3世界中的第一道防线。我们提供先进的安全解决方案，专门应对区块链技术的独特挑战。通过我们的创新产品ArgusAlert和VulcanShield，我们确保为潜在威胁提供实时保护和快速响应。我们的专家团队专注于从智能合约审计到加密货币追踪的各个方面，使TenArmor成为任何希望在去中心化空间中保护数字存在的组织的首选合作伙伴。