イーサリアムのトークンエコシステムの深い調査:ラグプル詐欺の暴露、騒乱を明らかにする
CertiKチームは、Web3スペースで新しく発行されたEthereumトークンのほぼ半数がRug Pull詐欺に関連していることを発見しました。これらの詐欺は、資金洗浄やリスク管理のために流動性保有アドレスを使用する組織化されたグループによって実行されます。関与する資金の大部分は中央集権取引所から来ています。記事は、ユーザーに警戒し、詐欺に遭わないように注意するよう警告して結んでいます。イントロダクション
Web3の世界では、毎日新しいトークンが発売されています。毎日どれだけの新しいトークンが作成されているのか、あなたは考えたことがありますか?そしてもっと重要なことは、これらのトークンは安全なのでしょうか?
これらの質問には理由があります。過去数ヶ月間、CertiKのセキュリティチームは、大量のラグプル詐欺を特定しています。特筆すべきは、これらのケースに関与しているすべてのトークンが、ブロックチェーンに追加されたばかりの新たに作成されたトークンであることです。
その後、CertiKはこれらのラグプル事件について徹底的な調査を開始し、それらが組織化されたグループによって仕組まれていることが明らかになりました。これらのグループは特定の詐欺パターンに従って行動します。CertiKは彼らの手法を詳しく調査した結果、ラグプルギャングが詐欺トークンを買わせるためにTelegramグループを利用する可能性があることを発見しました。Banana GunやUnibotのようなグループは「New Token Tracer」という機能を使ってユーザーを誘い、最終的にラグプルから利益を得るのです。
CertiKは2023年11月から2024年8月初旬まで、これらのTelegramグループでのトラッキングされたトークンプロモーションメッセージを追跡し、これらのチャンネルを通じて93,930の新しいトークンが押し出されたことが判明しました。このうち46,526トークンがラグプル詐欺に関連しており、驚くべき49.53%を占めています。これらのトークンの背後にいる詐欺師によって投資された総額は149,813.72 ETHであり、これにより282,699.96 ETHの利益が生じ、リターンは188.7%となり、おおよそ8億ドルに相当します。
Telegramグループのプロモーションがイーサリアムのメインネットに与える影響をよりよく理解するために、CertiKはこれらの数字を、同じ期間にイーサリアムで発行された新しいトークンの総数と比較しました。その結果、発行された100,260の新しいトークンのうち、89.99%がTelegramグループのプロモーションによるものであることが示されました。つまり、毎日平均370個の新しいトークンが発行され、予想をはるかに上回ったことになります。調査を続けた結果、CertiKは、これらのトークンのうち少なくとも48,265個がRug Pull詐欺に関与しており、その48.14%を占めているという憂慮すべき真実を発見しました。言い換えれば、イーサリアム上の新しいトークンのほぼ2分の1は詐欺です。
さらに、CertiKは他のブロックチェーンネットワーク全体で追加のラグプルケースを発見しました。これは、新しく発行されたトークンのセキュリティ状況が予想以上に悪いことを示しています。その結果、CertiKはこの調査レポートを作成し、Web3コミュニティ内で意識を高め、ユーザーに成長する詐欺の数に対して警戒し、適切な予防措置を取るよう奨励しています。
ERC-20トークン
メインのレポートを始める前に、まず基本的な概念を復習しましょう。
ERC-20トークンは現在、ブロックチェーン上で最も一般的なトークン規格の1つです。これにより、異なるスマートコントラクトや分散型アプリケーション(dApps)間でトークンが相互運用できるようにするプロトコルを定義しています。ERC-20標準は、トークンの基本機能(送金、残高の照会、第三者へのトークンの管理権限付与など)を指定しています。この標準化されたプロトコルのため、開発者はトークンの発行や管理をより簡単に行うことができ、トークンの作成と利用が簡素化されます。実際、個人であろうと組織であろうと、ERC-20標準に基づいて独自のトークンを発行し、トークンのプリセールを通じて様々な金融プロジェクトの初期資金を調達することができます。ERC-20トークンの広範な利用により、これらは多くのICOや分散型ファイナンス(DeFi)プロジェクトの基盤となっています。
USDT、PEPE、およびDOGEなどの人気トークンはすべてERC-20トークンであり、ユーザーはこれらのトークンを分散型取引所を通じて購入することができます。しかし、一部の詐欺グループは悪意のあるERC-20トークンをバックドアコードとともに発行し、分散型取引所にリストアップして、ユーザーを購入させるように誘導することがあります。
典型的なラグプルトークン詐欺事件
ここでは、これらの悪質なトークン詐欺がどのように運営されているかをより良く理解するために、典型的なラグプルトークン詐欺を分析します。ラグプルとは、プロジェクトチームが突然資金を引き出したり、プロジェクトを放棄したりして、分散型金融(DeFi)イニシアチブで投資家に大きな損失をもたらす詐欺行為を指します。ラグプルトークンは、そのような詐欺を実行するために特別に作成されたトークンです。
この記事で言及されているトークンは、時々「ハニーポットトークン」や「出口詐欺トークン」と呼ばれることもありますが、一貫性を保つために、私たちはこの記事では一貫して「ラグプルトークン」と呼ぶことにします。
· ケース
このケースでは、攻撃者(Rug Pullギャング)がDeployerアドレス(0x4bAF)を使用してTOMMIトークンをデプロイしました。彼らは1.5ETHと100,000,000 TOMMIトークンで流動性プールを作成し、異なるアドレスからTOMMIトークンを購入することで取引量を人為的に膨らませました。これにより、ユーザーやボットがTOMMIトークンを購入するようになりました。十分な数のボットが騙されると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行しました。Rug Pullerは、38,739,354個のTOMMIトークンを流動性プールに投げ込み、約3.95ETHと交換しました。Rug Pullerが使用したトークンは、TOMMIトークンコントラクトによって付与された悪意のある承認によるもので、Rug Pullerは流動性プールから直接トークンを引き出し、詐欺を実行することができました。
·関連アドレス
- Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
- TOMMIトークン:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
- ラグプル:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
- Rug Pullerがユーザー(そのうちの1人)をなりすました:0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
- ラグプルファンドの転送アドレス:0x1d3970677aa2324E4822b293e500220958d493d0
- ラグプルファンドリテンションアドレス:0x28367D2656434b928a6799E0B091045e2ee84722
·関連取引
- デプロイヤーは、セントラル集権取引所からのスタートアップ資金を入手します:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
- TOMMIトークンをデプロイ:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
- 流動性プールの作成:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
- Funds Transfer Addressは、偽のユーザー(そのうちの1人)に資金を送金します:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
- なりすましユーザーがトークンを購入します(その1つ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
- ラグプル:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
- ラグプル送金者は、収益を転送アドレス:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523に送信します。
- 転送アドレスは資金を保持アドレスに送金します:
- 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
・ラグプルプロセス
- 攻撃資金を準備する
攻撃者は、中央集権取引所からラグプルの資金としてToken Deployer(0x4bAF)に2.47309009 ETHを再充電しました。
図1:デプロイヤーはスタートアップ資金のトランザクション情報を取得します
- バックドアラグプルトークンの展開
DeployerはTOMMIトークンを作成し、100,000,000トークンをプリマインし、それらを自分自身に割り当てます。
図2:デプロイヤーがTOMMIトークンのトランザクション情報を作成します
- 初期流動性プールの作成
Deployerは1.5 ETHと事前にマイニングされたトークンを使用して、流動性プールを作成し、おおよそ0.387 LPトークンを受け取ります。
図3:デプロイヤーが流動性プールトランザクションと資金フローを作成します
- プリマイニングされたトークン供給をすべて破壊する
トークンデプロイヤーは、すべてのLPトークンを破壊のために0アドレスに送信します。 TOMMI契約にはミント機能がないため、トークンデプロイヤーは理論的にラグプルを実行する能力を失います。(これは新しいトークンボットを欺くための必要条件の1つです。一部のボットは、新しいトークンをプールに入れる際にラグプルのリスクを評価し、デプロイヤーはまた、契約の所有者を0アドレスに設定して、ボットが使用する詐欺防止プログラムを欺く)。
図4:デプロイヤーはLPトークンの取引情報を破棄します
- 取引高を偽造する
攻撃者は、流動性プールからTOMMIトークンを積極的に購入するために複数のアドレスを使用し、取引量を人工的に膨らませ、より多くの新しいトークンボットを引き付けます(これらのアドレスが攻撃者によって偽装されていると特定される理由は、これらのアドレスの資金がRug Pullグループによって使用された歴史的な資金移転アドレスから来ているためです)。
図5:攻撃者の他のアドレスがTOMMIトークンの取引情報と資金流入を購入します
- ラグプルを実行する
攻撃者はRug Pullerアドレス(0x43A9)を使用してRug Pullを開始し、流動性プールから38,739,354 TOMMIトークンを直接引き出し、約3.95 ETHを抽出してダンプしました。
図6:ラグプルトランザクション情報と資金フロー
- 受取金の移転
攻撃者はラグプルから資金を転送アドレス0xD921に送信します。
図7:Rug Pullerがトランジットアドレスのトランザクション情報に攻撃の収益を送信
- リテンションアドレスへの資金移動
転送アドレス0xD921は資金を保留アドレス0x2836に送信します。これから、ラグプルが完了した後、ラグプラーは資金を保留アドレスに送信します。このアドレスは、多くのラグプルケースからの資金の集積地として機能します。保留アドレスは、新しいラグプルを開始するためのほとんどの資金を分割し、残りの資金は中央集権取引所を通じて引き出されます。私たちはいくつかの保留アドレスを追跡しており、0x2836はそのうちの1つです。
図8: 転送アドレスの資金移動情報
・Rug Pullコードバックドア
攻撃者は、LPトークンを破壊することでラグプルを実行できないことを外部に証明しようとしましたが、実際には、TOMMIトークンコントラクトのopenTrading機能に悪意のある承認バックドアを残しました。このバックドアにより、流動性プールは、流動性プールの作成時にRug Pullerアドレスへのトークン転送を承認し、Rug Pullerアドレスが流動性プールからトークンを直接引き出すことを可能にします。
TOMMIトークン契約内のopenTrading関数の図9
TOMMIトークン契約のonInit関数の図10
openTrading機能の実装は図9に示されており、その主な目的は新しい流動性プールを作成することです。ただし、攻撃者はバックドア機能であるonInitを呼び出します(図10に示されています)、これによりuniswapV2Pairが(type(uint256)の)トークン供給全体へ_chefAddressに対するトークンの転送を承認します。ここで、uniswapV2Pairは流動性プールのアドレスを指し、_chefAddressは契約の展開中に設定されるRug Pullerアドレスです(図11に示されています)。
TOMMIトークン契約のコンストラクター図11
·パターン化された詐欺手法
TOMMIのケースを分析することで、以下の4つの主要な特徴をまとめることができます:
- デプロイヤーは、中央集権取引所から資金を入手します:攻撃者は最初に中央集権取引所を通じてデプロイヤーアドレスに資金を提供します。
- Deployerは流動性プールを作成し、LPトークンを破棄します:Rug Pullトークンを作成した後、Deployerはすぐに流動性プールを確立し、LPトークンを破棄します。これにより、プロジェクトの信頼性が向上し、より多くの投資家を引き付けることができます。
- ラグプルは、流動性プールでETHと交換するために大量のトークンを使用します: ラグプルは、しばしば総トークン供給をはるかに超える大量のトークンを使用して流動性プールでETHと交換します。場合によっては、ラグプルは流動性を削除してプールからETHを引き出すこともあります。
4. ラグプルユーザーは詐欺から得たETHを保持アドレスに移します:ラグプルユーザーはラグプルから得たETHを保持アドレスに移動させ、時には中間アドレスを経由して移動させます。
これらの機能は、私たちが特定したケースでよく見られるものであり、ラグプル活動には明確なパターンがあることを強調しています。さらに、ラグプルが完了すると、盗まれた資金は通常、保持アドレスに統合されます。これは、これらの見かけ上孤立したラグプルのケースが、おそらく同じグループや単一の詐欺ネットワークに関連している可能性があることを示唆しています。
これらのパターンに基づいて、私たちはラグプルの行動プロファイルを開発し、関連する他のケースをスキャンして検出するようにしています。詐欺グループのプロファイリングを目指しています。
ラグプル詐欺グループ
· 資金の保管アドレスの調査
以前にも述べたように、ラグプルのケースでは通常、資金が資金保持アドレスに統合されます。このパターンに基づいて、詐欺の手法を明確に示すいくつかの非常に活発な資金保持アドレスを選択して、詳細な分析を行いました。
私たちは、1,124件のラグプルケースに関連付けられた7つの資金保持アドレスを特定しました。これらのケースは、当社のオンチェーン攻撃監視システム(CertiK Alert)によって正常に検出されました。詐欺を実行した後、ラグプルギャングはこれらの資金保持アドレスに不正利益を集めます。そして、これらのアドレスは資金を分割し、将来のラグプル詐欺用の新しいトークンを作成したり、流動性プールを操作したり、その他の詐欺行為を行ったりします。さらに、保持された資金の一部は中央集権取引所や即時交換プラットフォームを通じて現金化されます。
ファンド保有アドレスのデータは、表1に表示されています::
これらの資金保持アドレスに関連する各ラグプル詐欺のコストと収益を分析することで、表1に示されているデータを取得しました。
通常のRug Pull詐欺では、Rug Pullギャングは通常、Rug Pullトークンのデプロイヤーとして1つのアドレスを使用し、Rug Pullトークンとそれに対応する流動性プールを作成するために、中央集権取引所を介してスタートアップ資金を獲得します。十分なユーザーや新しいトークンボットがETHを使用してRug Pullトークンを購入するために引き寄せられると、Rug Pullギャングは別のアドレスをRug Pullerとして使用して詐欺を実行し、資金を資金保持アドレスに移動します。
このプロセスでは、Deployerが交換引き出しによって入手したETHや流動性プールの作成時に投資したETHは、Rug Pullのコストと見なされます(具体的な計算はDeployerの行動によって異なります)。Rug Pullerが詐欺を完了した後の基金保持アドレス(または中間アドレス)に転送されるETHは、Rug Pullの収入と見なされます。表1に示される収入と支出のデータは、ETH/USD価格(2024年8月31日現在、1 ETH = 2,513.56 USD)に基づいて計算され、データ統合時にリアルタイムの価格が使用されました。
詐欺中には、Rug PullギャングがETHを使用して独自に作成したRug Pullトークンを購入することもあり、通常の流動性プール活動をシミュレートして新しいトークンボットをさらに引き付けることがあります。ただし、この費用は計算に含まれていないため、表1のデータはRug Pullギャングの実際の利益をわずかに過大評価しています。実際の利益は多少低くなるでしょう。
図12:ファンド保持アドレスの利益分配の円グラフ
表1の利益データを各アドレスごとに使用して、図12に示す利益分配の円グラフを生成しました。利益分配の上位3つのアドレスは0x1607、0xDF1a、および0x2836です。アドレス0x1607は最も多くの利益、約2,668.17ETHを獲得し、すべてのアドレスを通じた総利益の27.7%を占めています。
実際、資金は最終的に異なる資金保持アドレスに統合されているにもかかわらず、関連するケース全体で共有される特徴(バックドアの実装やキャッシュアウト方法など)から、これらの資金保持アドレスは同じ詐欺グループによって制御されている可能性が非常に高いと疑っています。
これらの資金保有アドレスの間には接続がありますか?
· ファンド保有アドレス間の関連性の調査
図13: 資金保持アドレスの資金流れ図
ファンド保有アドレス間に関係があるかどうかを判断するための重要な指標は、これらのアドレス間で直接の送金があるかどうかを調査することです。ファンド保有アドレス間の接続を検証するために、我々は彼らの履歴取引をクロールして分析しました。
私たちが分析したほとんどのラグプルのケースでは、詐欺からの収益は通常、1つの資金保持アドレスに流れ込んでいます。そのため、異なる資金保持アドレスを直接リンクするためには、資金の追跡は不可能です。これを解決するために、私たちはこれらのアドレス間での資金の移動を監視し、直接の関係を特定しました。分析結果は図13に示されています。
図13の0x1d39と0x6348は共有のラグプルインフラストラクチャ契約アドレスであることに注意することが重要です。これらの資金保持アドレスは、これらの2つの契約を使用して資金を分割し、それらを他のアドレスに送信し、これらの資金をラグプルトークンの取引量を偽装するために使用します。
図13に示す直接のETH転送関係から、これらの資金保持アドレスを3つのグループに分けました。
- 0xDF1a および 0xDEd0;
- 0x1607と0x4856;
- 0x2836、0x0573、0xF653、および0x7dd9。
各グループ内では直接の転送が行われますが、グループ間では転送は行われません。これは、これらの7つの資金保持アドレスは3つの別々のグループに属していると見なすことができることを示唆しています。ただし、すべての3つのグループは、ラグプルのためにETHを分割するために同じインフラ契約を使用しており、それらを1つの組織化されたグループに結びつけています。これは、これらの資金保持アドレスが実際には単一の詐欺ネットワークによって制御されていることを示唆していますか?
この質問は検討の余地がある。
· 共有インフラの調査
前述の通り、共有インフラストラクチャのアドレスは次のとおりです:
0x1d3970677aa2324E4822b293e500220958d493d0と0x634847D6b650B9f442b3B582971f859E6e65eB53。
0x1d39アドレスには主に「multiSendETH」と「0x7a860e7e」という2つの機能があります。「multiSendETH」の主な機能は、転送を分割することです。資金保有アドレスは、ラグプルトークンの取引量を偽装するために、multiSendETHを使用して資金の一部を複数のアドレスに分配します。この取引の詳細については、図14に示します。
この分割操作により、攻撃者はトークンの活動をシミュレートし、トークンをより魅力的に見せ、より多くのユーザーや新しいトークンボットを誘致します。この方法により、Rug Pullグループは詐欺の欺瞞性と複雑さをさらに高めています。
図14:0x1d39による資金分割の取引情報
関数0x7a860e7eはラグプルトークンを購入するために使用されます。分割された資金を受け取った後、通常のユーザーに偽装されたアドレスは、Uniswapのルーターと直接やり取りしてラグプルトークンを購入するか、これらの購入を行うために0x7a860e7e関数を使用して取引活動を偽装します。
0x6348の主な機能は0x1d39と同様ですが、唯一の違いは、Rug Pullトークンを購入するための関数が0x3f8a436cと呼ばれている点です。
より良く理解するために、ラグプルギャングこれらのインフラストラクチャを利用して、私たちは両方の取引履歴をクロールして分析しました。0x1d39と0x6348外部アドレスがこれらの機能をどのくらい頻繁に使用しているかを追跡しました。結果は次のとおりです。テーブル2および3.
表2と表3から、Rug Pullギャングがこれらのインフラアドレスを使用する際に明確な戦略を持っていることがわかります。彼らはわずかな資金保持アドレスや中間アドレスのみを使用して資金を分割しますが、Rug Pullトークンの取引量を偽造するために多数の他のアドレスを使用します。例えば、0x6348を介して取引量を偽造するために6,224のアドレスが関与しており、攻撃者と被害者のアドレスを区別する作業を著しく複雑にしています。
それは注目に値することですラグプル ギャングインフラストラクチャーアドレスだけで取引量を偽装するだけでなく、一部のアドレスは取引所でトークンを直接スワップして取引量を偽装しています。
さらに、これら 2 つのインフラストラクチャ アドレスの使用状況を 7資金保持アドレス、各関数で関与するETHの合計を計算しました。結果は以下の通りです。表4および表5.
テーブル4と5から、ファンド保有アドレスがインフラを使用して3,616回に資金を分割し、合計9,369.98 ETHを分割したことがわかります。0xDF1aを除いて、すべてのファンド保有アドレスは資金分割のためにのみインフラを使用しましたが、ラグプルトークンの購入は受信アドレスによって完了しました。これは、ラグプルギャングが詐欺に対する明確で組織化されたアプローチを示しています。
0x0573は資金分割のためのインフラストラクチャを使用しておらず、代わりに、取引量を偽装するために使用される資金は他のアドレスから来ているため、異なる資金保持アドレスの動作にはある程度の変動性があることを示しています。
これらの資金保有アドレスとインフラの使用とのリンクを分析することで、これらのアドレスがどのようにつながっているかについて、より完全なイメージを持つことができるようになりました。 ラグプルギャングの活動は、最初に想像していたよりもはるかにプロフェッショナルで組織的です。さらに、これらの詐欺の背後には、よりよく調整された犯罪集団がいることを示唆しており、それらを体系的に実行しています。
· 詐欺資金の出所の調査
Rug Pullを実行する際、Rug Pullギャングは通常、新しい外部所有アカウント(EOA)をDeployerとして使用してRug Pullトークンを起動し、これらのDeployerアドレスは通常、中央集権型取引所(CEX)またはインスタント取引所プラットフォームを介して初期資金を取得します。資金源をより深く理解するために、前述した資金保持アドレスに関連するラグプルの事例を分析し、詐欺資金の出所についてより詳細な情報を得ることを目指しました。
表6には、ラグプルケースに接続された各ファンド保持アドレスのデプスの資金源ラベルの分布が示されています。
表6のデータを見ると、これらのRug PullケースにおけるRug Pullトークンデプロイヤーの資金の大部分は、中央集権型取引所(CEX)から来ていることがわかります。私たちが分析した1,124件のラグプル事件のうち、1,069件(95.11%)は中央集権的な取引所のホットウォレットから資金が供給されていました。つまり、これらのラグプルのケースのほとんどについて、KYC情報と中央集権的な取引所からの引き出し履歴を調べることで、特定のアカウント所有者を追跡でき、ケースを解決するための重要な手がかりを提供することができます。さらに調査を進めると、これらのラグプルギャングは複数の取引所のホットウォレットから資金を得ることが多く、これらのウォレット間での使用頻度と分布はほぼ同じであることが明らかになりました。これは、Rug Pullギャングが各Rug Pull事件の資金フローの独立性を意図的に高め、追跡を困難にし、捜査活動を複雑にしていることを示唆しています。
ファンドリテンションアドレスとラグプルのケースの詳細な分析を通じて、これらのラグプルギャングのプロファイルを開発しました:彼らは高度な訓練を受け、明確な役割と責任を持ち、よく計画され、高度に組織化されています。これらの特徴は、高いレベルのプロフェッショナリズムと不正操作の体系的な性質を浮き彫りにしています。
これらのギャングの組織レベルを考慮すると、私たちは疑問を持ち始めました:これらのラグプルギャングは、どのようにしてユーザーに彼らのラグプルトークンを見つけて購入させるのでしょうか? これに答えるために、私たちはこれらのラグプル事件の被害者アドレスに焦点を当て、これらのギャングがユーザーを彼らの詐欺に参加させる方法を調査し始めました。
· 被害者のアドレスを調査する
ファンド関連の分析により、ラグプルギャングアドレスのリストを作成し、ブラックリストとして維持しています。そして、トランザクションから被害者アドレスを抽出しました。
これらの被害者アドレスを分析した後、資金保有アドレス(表7)およびそれらの契約インタラクションデータ(表8)に関連する被害者アドレス情報を取得しました。
Table 7のデータから、私たちのオンチェーンモニタリングシステム(CertiK Alert)が捕捉したRug Pullケースごとに、平均して26.82の被害者アドレスがあることがわかります。この数は最初に予想していたよりも高く、これらのRug Pullケースの影響は当初考えていたよりも大きいことを示しています。
テーブル8では、被害者アドレスがラグプルトークンを購入する契約の相互作用の中で、UniswapやMetaMask Swapなどのより伝統的な購入方法に加えて、MaestroやBanana Gunなどのよく知られたオンチェーンのスナイパーボットプラットフォームを介して、ラグプルトークンの30.40%が購入されたことがわかります。
この調査結果は、オンチェーンのスナイパーボットがラグプルギャングにとって重要なプロモーションチャネルであることを強調しています。これらのスナイパーボットにより、ラグプルギャングは新しいトークン投資に焦点を当てた参加者を迅速に引きつけることができます。その結果、私たちはこれらのオンチェーンのスナイパーボットに注目し、ラグプル詐欺における役割やこれらの詐欺的な手口の宣伝にどのように貢献しているかをよりよく理解することにしました。
ラグプルトークンプロモーションチャンネル
現在のWeb3新しいトークンエコシステムに関する調査を行い、オンチェーンスナイパーボットの運営モデルを検証し、いくつかの社会工学の手法を組み合わせて、TwitterとTelegramグループの2つの潜在的なラグプルギャング広告チャンネルを特定しました。
これらのTwitterアカウントやTelegramグループは、Rug Pullギャングによって特に作成されたものではなく、新しいトークンエコシステムの基本的な要素です。これらは、オンチェーンスナイパーボットチームやプロの新しいトークン投資グループなどのサードパーティエンティティによって運営および維持されており、新しく立ち上げられたトークンを投資家にプロモーションすることを目的としています。これらのグループは、悪意のあるトークンを購入するようユーザーを引き寄せ、その詐欺を実行するために使用されるRug Pullギャングの自然な広告手段となっています。
· Twitter広告
図15 TOMMIトークンのTwitter広告
図15はTOMMIトークンのTwitter広告を示しています。見ての通り、Rug PullギャングはDexed.comの新しいトークンプロモーションサービスを利用して、Rug Pullトークンを宣伝し、より広範な潜在的被害者の観衆を引きつけました。調査中、多くのRug PullトークンがTwitter上に広告が表示されていることがわかりました。これらの広告は通常、異なる第三者組織が運営するTwitterアカウントから行われています。
・Telegramグループ広告
図16:バナナガン新トークンプロモーショングループ
図16は、新たに立ち上げられたトークンのプロモーションを専門とするBanana Gunというオンチェーンスナイパーボットチームによって運営されるTelegramグループを示しています。このグループでは、新しいトークンに関する基本情報を共有するだけでなく、ユーザーがそれらを購入するための簡単なアクセスを提供しています。Banana Gunスナイパーボットを設定した後、ユーザーはグループ内のトークンプロモーションの横にある「Snipe」ボタン(図16の赤でハイライト表示されています)をクリックすることで、素早くトークンを購入することができます。
このグループで促進されているトークンを手動でサンプリングしましたが、その大部分が実際にはラグプルトークンであることがわかりました。この調査結果は、Telegramグループがラグプルギャングの主要な広告チャネルである可能性が高いことを強化しています。
次の質問は:サードパーティの組織が宣伝する新しいトークンの何パーセントがラグプルトークンであるか、そしてこれらのラグプル集団の規模はどれくらい大きいのか、です。これらの質問に答えるために、Telegramグループで宣伝されている新しいトークンデータをシステマティックにスキャンして分析することにしました。これにより、関連するリスクの規模と詐欺行為の範囲を明らかにします。
イーサリアムトークンエコシステム分析
・Telegramグループでプロモートされているトークンの分析
Telegramグループで新しくプロモーションされたトークンの中で、Rug Pullトークンの割合を評価するために、私たちはTelegramのAPIを使用して、2023年10月から2024年8月までの間にBanana Gun、Unibot、およびその他の第三者のトークンメッセージグループによって押し出された新しく立ち上げられたEthereumトークンのデータをクローリングしました。この期間中、これらのグループは合計93,930トークンを押し出しました。
ラグプルケースの分析に基づくと、ラグプルギャングは通常、Uniswap V2でラグプルトークンのための流動性プールを作成し、ETHを注入します。ユーザーや新しいトークンボットがラグプルトークンを購入すると、攻撃者はダンプや流動性の除去によって利益を得ます。このプロセスは通常、24時間以内に完了します。
したがって、Telegramグループでプロモーションされた新しいトークンの中で、ラグプルトークンの割合を確定するために、私たちは93,930のトークンをスキャンするために、以下のラグプルトークンの検出ルールを作成し適用しました。
- 過去24時間におけるターゲットトークンの送金はありません:ラグプルトークンは通常、ダンプ後に活動を停止します;
- Uniswap V2では、ターゲットトークンとETHの間に流動性プールが存在します:Rug Pullギャングは、Uniswap V2でトークンとETHの間に流動性プールを作成します;
- トークン作成以来の総転送イベントが1,000を超えない:ラグプルトークンは通常、取引が少ないため、転送回数が比較的少ないです;
- 過去5件の取引には大量の流動性引き出しがあるか、ダンプが存在します:ラグプルトークンは通常、大量の流動性引き出しやダンプで終わります。
Telegramグループでプロモーションされたトークンにこれらのルールを適用し、結果を表10に示しました。
表9に示すように、Telegramグループで宣伝された93,930のトークンのうち、46,526がラグプルトークンとして特定され、合計の49.53%を占めています。つまり、Telegramグループで宣伝されたトークンのほぼ半分はラグプルトークンです。
プロジェクトが失敗した後、一部のプロジェクトチームが流動性を引き出す場合もあるため、この行動は自動的にラグプル詐欺と分類されるべきではありません。したがって、偽陽性の分析への潜在的な影響を考慮しました。ルール3はほとんどの類似したケースをフィルタリングするのに役立ちますが、一部の誤判断がまだ発生する可能性があります。
false positivesの影響をよりよく理解するために、46,526のRug Pullトークンのアクティブな時間を分析し、その結果を表10に示しました。アクティブな時間を分析することで、本物のRug Pullの行動とプロジェクトの失敗による流動性の引き出しとをより正確に区別し、真のRug Pull活動の実際の規模をより正確に評価することができます。
アクティブ時間を分析することで、41,801のラグプルトークンが72時間未満のアクティブ時間(トークン作成から最終的なラグプルまで)を持っていることがわかりました。これは89.84%を占めています。通常の場合、72時間ではプロジェクトが失敗したかどうかを判断するのに十分ではありませんので、72時間未満のアクティブ時間のラグプル行為は正常な引き出し行為ではなく、正当なプロジェクトチームの典型的な行為とは言えません。
したがって、最悪の場合でも、72時間以上のアクティブ時間を持つ残りの4,725のRug Pullトークンは、この論文ではRug Pull詐欺の定義には当てはまりません。ただし、我々の分析は依然として重要な価値があります。なぜなら、89.84%のケースが期待に合致しているからです。さらに、72時間の閾値は比較的保守的であり、実際のサンプリングでは、72時間以上のアクティブ時間を持つ多くのトークンがRug Pull詐欺のカテゴリに該当することがあります。
興味深いことに、25,622トークンが3時間未満のアクティブ時間を持っており、全体の55.07%を占めています。これは、ラグプルギャングが非常に高い効率で運営されており、「短期かつ迅速な」手法と非常に高い資本回転率を持っていることを示しています。
また、46,526のラグプルトークンのキャッシュアウト方法と契約コールのパターンも評価し、ラグプルギャングの傾向を確認しました。
キャッシュアウト方法の評価は、主にラグプルギャングが流動性プールからETHを抽出する方法に焦点を当てて行われました。主な方法は次のとおりです:
- トークンのダンピング:ラグプルギャングは、事前割り当てやバックドアコードを通じて入手したトークンを使用して、流動性プール内のすべてのETHを償還します。
- 流動性を削除する:ラグプルギャングは、流動性プールに追加されたすべての資金を削除します。
契約呼び出しパターンの評価では、Rug PullギャングがRug Pullプロセス中にどのターゲット契約オブジェクトと対話したかを調査しました。主なオブジェクトは次のとおりです:
- 分散型取引所ルーターコントラクト:流動性を直接操作するために使用されます。
- カスタム攻撃契約:複雑な詐欺操作を実行するために使用される独自の契約。
キャッシュアウト方法と契約呼び出しパターンを評価することで、私たちはさらにラグプルギャングの作業方法と特徴を理解し、同様の詐欺をよりよく防止および特定することができます。
キャッシュアウト方法の関連評価データは、表11に表示されています。
評価データから、Rug Pullギャングが流動性の除去をキャッシュアウトに使用したケースは32,131件で、69.06%を占めていることがわかります。これは、これらのラグプルギャングがキャッシュアウトのために流動性の除去を好むことを示していますが、これはおそらく、複雑な契約の作成や追加のステップを必要とせず、よりシンプルで直接的であるためです。対照的に、トークンを投げ捨てて現金化するには、Rug Pullギャングがトークンのコントラクトコードにバックドアを設定し、ダンプに必要なトークンをゼロコストで取得できるようにする必要があります。このプロセスはより複雑でリスクが高いため、それに関連するケースは少なくなります。
契約呼び出しパターンの関連評価データは、表12に示されています。
表12から明らかなように、ラグプルギャングは、ラグプル操作を実行するためにユニスワップルーターコントラクトを利用することを好む傾向があります。これは、合計の操作数の76.35%にあたる40,887回の実行が行われています。ラグプルの実行回数は53,552回であり、これはラグプルトークンの数(46,526)よりも多いです。これは、ラグプルギャングがいくつかの場合において複数のラグプル操作を実行し、利益を最大化するか、異なる被害者を狙って一括でキャッシュアウトする可能性があることを示唆しています。
次に、46,526のラグプルトークンのコストと収益データに対して統計分析を行いました。なお、統計目的のために、トークンを展開する前にラグプルギャングが中央集権取引所や即時交換サービスから得たETHをコストとし、最終的なラグプルで回収されたETHを収益として考慮しています。実際のコストデータは、ラグプルギャングが偽の流動性プール取引に投資したETHを考慮していないため、より高い可能性があります。
表13には費用と収益のデータが表示されています。
46,526件のラグプルトークンの統計分析では、総最終利益は282,699.96 ETHで、利益率は188.70%で、約8億ドルに相当します。実際の利益は上記の数字よりわずかに低い可能性がありますが、資金の総体の規模は非常に印象的であり、これらのラグプル集団が詐欺を通じて相当な利益を上げていることを示しています。
Telegramグループのトークンデータの分析に基づいて、Ethereumエコシステムはすでに多くのラグプルトークンであふれています。しかし、重要な問題を確認する必要があります:Telegramグループで推進されているこれらのトークンは、Ethereumメインネットワークでローンチされたすべてのトークンを表していますか?もしそうでない場合、Ethereumメインネットワークでローンチされたトークンの中で、どの割合を占めていますか?
この質問に答えることで、現在のイーサリアムトークンエコシステムについて包括的な理解が得られます。そのため、Telegramグループでプッシュされたトークンのカバレッジを評価するため、イーサリアムメインネットトークンの徹底した分析を開始しました。この分析により、より広範なイーサリアムエコシステム内でのラグプルの深刻さと、Telegramグループのトークンプロモーションへの影響をさらに明確にすることができます。
・イーサリアムメインネットトークンの分析
Telegramグループトークンの分析と同じ期間(2023年10月から2024年8月)のRPCノードからブロックデータをクロールしました。これらのブロックから、新たに展開されたトークン(プロキシ展開トークンを除く、ラグプルケースは非常に少ないため)を取得しました。合計154,500のトークンをキャプチャし、そのうち54,240はUniswap V2流動性プール(LP)トークンであり、本論文の対象外です。
LPトークンをフィルタリングした後、100,260トークンが残りました。関連情報は表14に表示されています。
これらの100,260トークンにラグプル検出ルールを適用し、結果は表15に示されています。
100,260トークン中、48,265ラグプルトークンが検出され、その割合は48.14%です。これはTelegramグループでプッシュされたトークンの中のラグプルトークンの割合とほぼ同じです。
TelegramグループでプッシュされたトークンとEthereumメインネット上で展開されたトークンのオーバーラップをさらに分析するために、両方のトークンのデータを比較しました。結果は表16に示されています。
表16から、TelegramグループでプッシュされたトークンとEthereumメインネットトークンの重複は90,228トークンで、メインネットトークンの89.99%を占めています。メインネット上で見つからなかったプロキシデプロイされたトークンが3,703あります。これらのトークンはメインネットトークンキャプチャに含まれていませんでした。
Telegramグループに送信されなかったメインネット上の10,032のトークンがあります。これは、十分な魅力がないか、特定の基準を満たしていないため、プロモーションのルールによってフィルタリングされた可能性があります。
その後、3,703のプロキシデプロイトークンでラグプル検出を行い、ラグプルトークンはわずか10個しか見つかりませんでした。これは、プロキシデプロイトークンがTelegramグループにおけるラグプル検出結果にほとんど影響を与えず、検出結果がメインネットトークンと非常に一致していることを示しています。
テーブル17には、10のプロキシ展開されたラグプルトークンアドレスがリストされています。興味があれば、これらのアドレスを詳細に調査することができます。ここではこれ以上深入りしません。
この分析は、Telegramグループでプッシュされたトークンにおけるラグプルトークンの割合が、イーサリアムメインネット上と非常に近いことを確認しており、現在のラグプルエコシステムにおけるこれらのプロモーションチャネルの重要性と影響力をさらに強調しています。
今、私たちは質問に答えることができます。つまり、Telegramグループでプッシュされたトークンは、Ethereumメインネット上で起動したすべてのトークンをカバーしており、そうでない場合、それらはどの割合を占めていますか?
回答は、Telegramグループによって押し出されるトークンがメインネットワークの約90%を占めており、そのラグプルテストの結果はメインネットワークトークンのラグプルテスト結果と非常に一致しています。したがって、Telegramグループによって押し出されるトークンの以前のラグプル検出とデータ分析は、基本的にEthereumメインネットワークのトークン生態の現状を反映しています。
先述のように、Ethereumメインネット上のRug Pullトークンは約48.14%を占めていますが、残りの51.86%のRug Pullトークンにも興味があります。Rug Pullトークンを除いても、未知の状態にあるトークンが51,995個あり、これは合理的な数のトークンとは考えられないほど多くなっています。したがって、メインネット上のすべてのトークンの作成から最終活動停止までの時間について統計を取り、その結果を表18に示しました。
テーブル18のデータによると、Ethereumメインネット全体を調査すると、72時間未満で存在するトークンが78,018個あり、全体の77.82%を占めています。この数字は、特定されたラグプルトークンの数を大幅に上回っており、当社の検出ルールがすべてのラグプルを網羅していない可能性を示唆しています。実際、当社の無作為抽出テストでは、最初に検出されなかったラグプルトークンもいくつか見つかっています。さらに、これはフィッシング攻撃やポンジスキームなどの他の詐欺の存在を示しており、さらなる調査が必要です。
さらに、72時間を超えるライフサイクルを持つ22,242のトークンがあります。 ただし、これらのトークンは研究の主眼ではありません。これは、追加の詳細が明らかにされるべきであることを意味します。 これらの中には、失敗したプロジェクトに属するか、ユーザーベースはあるが持続的な開発支援が不足しているトークンもあります。 これらのトークンの背後にある物語や理由は、複雑な市場動向を明らかにするかもしれません。
Ethereumメインネット上のトークンエコシステムは、予想以上に複雑で、一時的なものと持続的なプロジェクトの両方が存在し、常に詐欺活動のリスクが存在しています。この論文の主な目的は、これらの問題に注意を喚起し、犯罪者の秘密の活動に対する人々の認識を高めることです。この分析を共有することで、さらなる関心や研究を喚起し、結果としてブロックチェーンエコシステム全体のセキュリティを向上させることを目指しています。
リフレクションズ
イーサリアムメインネット上で新たに発行されたトークンのうち、ラグプルトークンが全体の48.14%を占めているという事実は、非常に重要な警告です。この比率から推測されるのは、イーサリアム上で2つのトークンが発行されるごとに、1つは詐欺である可能性が高く、イーサリアム生態系がある程度混沌としており、無秩序な状態にあることを示しています。ただし、本当の懸念点はイーサリアムのトークン生態系にとどまりません。他のブロックチェーンネットワークにおけるラグプルの件数がイーサリアムを上回っていることから、これらのネットワーク上のトークン生態系も徹底的な調査を必要としていることを示しています。
ラグプルトークンの割合が高いにもかかわらず、イーサリアムでは毎日約140の新しいトークンが打ち上げられており、通常の範囲と見なされる範囲をはるかに超えています。これらの他の非不正トークンには、どのような未公開の秘密が隠されているのでしょうか?これらは、深い熟考とさらなる研究に値する重要な質問です。
さらに、この論文は、さらなる探求を必要とするいくつかの重要な問題を強調しています。
- ラグプルギャングの特定: 見つかったラグプルケースの大量の中で、これらのケースの背後にある異なるラグプルギャングの数を効果的に特定し、それらの間につながりがあるかどうかを判断する方法はありますか? 財務フローと共有アドレスの分析が重要である可能性があります。
- 被害者と攻撃者を区別する:被害者と攻撃者を区別することは、詐欺を特定するために不可欠です。しかし、被害者と攻撃者の間の境界線はしばしば曖昧になりがちであり、より正確な方法が必要とされています。
- ラグプル検出の進化:現在のラグプル検出は、主に事後分析に依存しています。アクティブトークンの潜在的なラグプルリスクをより早く特定するために、リアルタイムまたは先制的に検出する方法を開発できないでしょうか?この機能は、損失を軽減し、タイムリーな介入を促進するのに役立ちます。
- ラグプルギャングの利益戦略:ラグプルギャングがキャッシュアウトする条件は何ですか?彼らの利益戦略を理解することで、ラグプルの発生を予測し、防止するのに役立ちます。
- 他のプロモーションチャネルの探索: TwitterやTelegramは詐欺トークンの宣伝に使用されることが知られていますが、他のプラットフォームも悪用されている可能性はありますか?フォーラム、他のソーシャルメディア、広告プラットフォームと関連した潜在的なリスクも注意が必要です。
これらはさらなる議論や研究が必要な複雑な問題であり、それらは進行中の研究や議論に任せる。Web3エコシステムの急速な発展は、技術革新だけでなく、進化するリスクや課題に対処するためにより広範なモニタリングや深い研究も求められている。
提案
トークン発売エコシステムでの詐欺の蔓延を考慮すると、Web3投資家は非常に注意が必要です。ラグプルギャングや反詐欺チームが戦術を向上させるにつれて、詐欺的なトークンやプロジェクトを識別することはますます困難になっています。
新しいトークン市場に興味を持つ投資家の方々へ、当社のセキュリティ専門家は以下を提案しています:
- 信頼できる中央集権型取引所を使用してください:通常、より厳格なプロジェクト審査を実施し、より高いセキュリティを提供する、よく知られた中央集権型取引所を介して新しいトークンを購入することをお勧めします。
- 分散型取引所の公式ソースを確認してください:公式の契約アドレスからトークンを購入し、非公式または不審なチャネルを通じてプロモートされたトークンを避けてください。
- プロジェクトのウェブサイトやコミュニティを調査してください:公式ウェブサイトやアクティブなコミュニティがないことは、リスクが高いことを示唆しています。セキュリティ検証を受けていない可能性がある、サードパーティのTwitterやTelegramグループを通じて宣伝されたトークンには特に注意してください。
- トークンの作成時間をチェックしてください:ラグプルトークンは活動期間が非常に短いため、3日未満で作成されたトークンは避けてください。
- サードパーティのセキュリティサービスを利用する:可能であれば、サードパーティのセキュリティ組織が提供するトークンスキャンサービスを使用して、ターゲットトークンの安全性を評価します。
Call to Action
本稿で取り上げるRug Pull詐欺集団以外にも、Web3業界内のさまざまなセクターやプラットフォームのインフラや仕組みを悪用して違法な利益を得る同様の犯罪者が増えており、現在のWeb3エコシステムのセキュリティ状況を大幅に悪化させています。犯罪者が機会を見つけるのを防ぐために、見落とされがちな問題に注意を払い始める必要があります。
前述のように、ラグプルスキームからの資金の流れは最終的に主要な取引所を通過しますが、私たちはラグプル詐欺に関連する資金の流れは氷山の一角に過ぎないと考えています。取引所を通じて流れる悪意のある資金の規模は、私たちの想像をはるかに超えるかもしれません。そのため、私たちは主要な取引所に対して、これらの悪意のある流れに対するより厳格な規制措置の実施、違法および詐欺行為への積極的な対処、およびユーザーの資金の安全性の確保を強く求めます。
プロジェクトのプロモーションやオンチェーンスナイパーボットなどのサービスを提供する企業は、そのインフラが詐欺団に利益をもたらすツールとなっていることが心配です。そのため、すべての第三者サービスプロバイダーに対して、製品やコンテンツのセキュリティレビューを強化し、犯罪者による悪用を防止するよう呼びかけます。
さらに、MEVアービトラージャーや一般ユーザーを含むすべての被害者に対し、投資する前に未知のプロジェクトを評価するためにセキュリティスキャンツールを積極的に利用し、権威あるセキュリティ組織のプロジェクト評価を参照し、犯罪者の悪質な行為を積極的に公表して業界の違法な現象を暴露するよう求めます。
プロのセキュリティチームとして、私たちはすべてのセキュリティ担当者に積極的に違法活動を発見し、特定し、対処し、その取り組みに声を上げ、ユーザーの金融の安全を守るよう促しています。
Web3の領域では、ユーザー、プロジェクト開発者、取引所、MEVアービトラージャー、その他のサードパーティサービスプロバイダーが重要な役割を果たします。すべての参加者がWeb3エコシステムの持続可能な発展に貢献し、より安全で透明性の高いブロックチェーン環境を構築するために協力できることを願っています。
免責事項:
関連記事
ファンダメンタル分析とは何ですか?
アルトコインとは?
初心者向け取引ガイド
定量的戦略取引について知っておくべきことすべて
自分に合ったデリバティブの選び方
イーサリアムのトークンエコシステムの深い調査:ラグプル詐欺の暴露、騒乱を明らかにする
はじめに
ERC-20 トークン
典型的なラグプルトークン詐欺事件
ラグプル詐欺グループ
ラグプルトークンプロモーションチャンネル
イーサリアム トークン エコシステム 分析
リフレクション
提案
コール トゥ アクション
イントロダクション
Web3の世界では、毎日新しいトークンが発売されています。毎日どれだけの新しいトークンが作成されているのか、あなたは考えたことがありますか?そしてもっと重要なことは、これらのトークンは安全なのでしょうか?
これらの質問には理由があります。過去数ヶ月間、CertiKのセキュリティチームは、大量のラグプル詐欺を特定しています。特筆すべきは、これらのケースに関与しているすべてのトークンが、ブロックチェーンに追加されたばかりの新たに作成されたトークンであることです。
その後、CertiKはこれらのラグプル事件について徹底的な調査を開始し、それらが組織化されたグループによって仕組まれていることが明らかになりました。これらのグループは特定の詐欺パターンに従って行動します。CertiKは彼らの手法を詳しく調査した結果、ラグプルギャングが詐欺トークンを買わせるためにTelegramグループを利用する可能性があることを発見しました。Banana GunやUnibotのようなグループは「New Token Tracer」という機能を使ってユーザーを誘い、最終的にラグプルから利益を得るのです。
CertiKは2023年11月から2024年8月初旬まで、これらのTelegramグループでのトラッキングされたトークンプロモーションメッセージを追跡し、これらのチャンネルを通じて93,930の新しいトークンが押し出されたことが判明しました。このうち46,526トークンがラグプル詐欺に関連しており、驚くべき49.53%を占めています。これらのトークンの背後にいる詐欺師によって投資された総額は149,813.72 ETHであり、これにより282,699.96 ETHの利益が生じ、リターンは188.7%となり、おおよそ8億ドルに相当します。
Telegramグループのプロモーションがイーサリアムのメインネットに与える影響をよりよく理解するために、CertiKはこれらの数字を、同じ期間にイーサリアムで発行された新しいトークンの総数と比較しました。その結果、発行された100,260の新しいトークンのうち、89.99%がTelegramグループのプロモーションによるものであることが示されました。つまり、毎日平均370個の新しいトークンが発行され、予想をはるかに上回ったことになります。調査を続けた結果、CertiKは、これらのトークンのうち少なくとも48,265個がRug Pull詐欺に関与しており、その48.14%を占めているという憂慮すべき真実を発見しました。言い換えれば、イーサリアム上の新しいトークンのほぼ2分の1は詐欺です。
さらに、CertiKは他のブロックチェーンネットワーク全体で追加のラグプルケースを発見しました。これは、新しく発行されたトークンのセキュリティ状況が予想以上に悪いことを示しています。その結果、CertiKはこの調査レポートを作成し、Web3コミュニティ内で意識を高め、ユーザーに成長する詐欺の数に対して警戒し、適切な予防措置を取るよう奨励しています。
ERC-20トークン
メインのレポートを始める前に、まず基本的な概念を復習しましょう。
ERC-20トークンは現在、ブロックチェーン上で最も一般的なトークン規格の1つです。これにより、異なるスマートコントラクトや分散型アプリケーション(dApps)間でトークンが相互運用できるようにするプロトコルを定義しています。ERC-20標準は、トークンの基本機能(送金、残高の照会、第三者へのトークンの管理権限付与など)を指定しています。この標準化されたプロトコルのため、開発者はトークンの発行や管理をより簡単に行うことができ、トークンの作成と利用が簡素化されます。実際、個人であろうと組織であろうと、ERC-20標準に基づいて独自のトークンを発行し、トークンのプリセールを通じて様々な金融プロジェクトの初期資金を調達することができます。ERC-20トークンの広範な利用により、これらは多くのICOや分散型ファイナンス(DeFi)プロジェクトの基盤となっています。
USDT、PEPE、およびDOGEなどの人気トークンはすべてERC-20トークンであり、ユーザーはこれらのトークンを分散型取引所を通じて購入することができます。しかし、一部の詐欺グループは悪意のあるERC-20トークンをバックドアコードとともに発行し、分散型取引所にリストアップして、ユーザーを購入させるように誘導することがあります。
典型的なラグプルトークン詐欺事件
ここでは、これらの悪質なトークン詐欺がどのように運営されているかをより良く理解するために、典型的なラグプルトークン詐欺を分析します。ラグプルとは、プロジェクトチームが突然資金を引き出したり、プロジェクトを放棄したりして、分散型金融(DeFi)イニシアチブで投資家に大きな損失をもたらす詐欺行為を指します。ラグプルトークンは、そのような詐欺を実行するために特別に作成されたトークンです。
この記事で言及されているトークンは、時々「ハニーポットトークン」や「出口詐欺トークン」と呼ばれることもありますが、一貫性を保つために、私たちはこの記事では一貫して「ラグプルトークン」と呼ぶことにします。
· ケース
このケースでは、攻撃者(Rug Pullギャング)がDeployerアドレス(0x4bAF)を使用してTOMMIトークンをデプロイしました。彼らは1.5ETHと100,000,000 TOMMIトークンで流動性プールを作成し、異なるアドレスからTOMMIトークンを購入することで取引量を人為的に膨らませました。これにより、ユーザーやボットがTOMMIトークンを購入するようになりました。十分な数のボットが騙されると、攻撃者はRug Pullerアドレス(0x43a9)を使用してRug Pullを実行しました。Rug Pullerは、38,739,354個のTOMMIトークンを流動性プールに投げ込み、約3.95ETHと交換しました。Rug Pullerが使用したトークンは、TOMMIトークンコントラクトによって付与された悪意のある承認によるもので、Rug Pullerは流動性プールから直接トークンを引き出し、詐欺を実行することができました。
·関連アドレス
- Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
- TOMMIトークン:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
- ラグプル:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
- Rug Pullerがユーザー(そのうちの1人)をなりすました:0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
- ラグプルファンドの転送アドレス:0x1d3970677aa2324E4822b293e500220958d493d0
- ラグプルファンドリテンションアドレス:0x28367D2656434b928a6799E0B091045e2ee84722
·関連取引
- デプロイヤーは、セントラル集権取引所からのスタートアップ資金を入手します:0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
- TOMMIトークンをデプロイ:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
- 流動性プールの作成:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
- Funds Transfer Addressは、偽のユーザー(そのうちの1人)に資金を送金します:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
- なりすましユーザーがトークンを購入します(その1つ):0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
- ラグプル:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
- ラグプル送金者は、収益を転送アドレス:0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523に送信します。
- 転送アドレスは資金を保持アドレスに送金します:
- 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
・ラグプルプロセス
- 攻撃資金を準備する
攻撃者は、中央集権取引所からラグプルの資金としてToken Deployer(0x4bAF)に2.47309009 ETHを再充電しました。
図1:デプロイヤーはスタートアップ資金のトランザクション情報を取得します
- バックドアラグプルトークンの展開
DeployerはTOMMIトークンを作成し、100,000,000トークンをプリマインし、それらを自分自身に割り当てます。
図2:デプロイヤーがTOMMIトークンのトランザクション情報を作成します
- 初期流動性プールの作成
Deployerは1.5 ETHと事前にマイニングされたトークンを使用して、流動性プールを作成し、おおよそ0.387 LPトークンを受け取ります。
図3:デプロイヤーが流動性プールトランザクションと資金フローを作成します
- プリマイニングされたトークン供給をすべて破壊する
トークンデプロイヤーは、すべてのLPトークンを破壊のために0アドレスに送信します。 TOMMI契約にはミント機能がないため、トークンデプロイヤーは理論的にラグプルを実行する能力を失います。(これは新しいトークンボットを欺くための必要条件の1つです。一部のボットは、新しいトークンをプールに入れる際にラグプルのリスクを評価し、デプロイヤーはまた、契約の所有者を0アドレスに設定して、ボットが使用する詐欺防止プログラムを欺く)。
図4:デプロイヤーはLPトークンの取引情報を破棄します
- 取引高を偽造する
攻撃者は、流動性プールからTOMMIトークンを積極的に購入するために複数のアドレスを使用し、取引量を人工的に膨らませ、より多くの新しいトークンボットを引き付けます(これらのアドレスが攻撃者によって偽装されていると特定される理由は、これらのアドレスの資金がRug Pullグループによって使用された歴史的な資金移転アドレスから来ているためです)。
図5:攻撃者の他のアドレスがTOMMIトークンの取引情報と資金流入を購入します
- ラグプルを実行する
攻撃者はRug Pullerアドレス(0x43A9)を使用してRug Pullを開始し、流動性プールから38,739,354 TOMMIトークンを直接引き出し、約3.95 ETHを抽出してダンプしました。
図6:ラグプルトランザクション情報と資金フロー
- 受取金の移転
攻撃者はラグプルから資金を転送アドレス0xD921に送信します。
図7:Rug Pullerがトランジットアドレスのトランザクション情報に攻撃の収益を送信
- リテンションアドレスへの資金移動
転送アドレス0xD921は資金を保留アドレス0x2836に送信します。これから、ラグプルが完了した後、ラグプラーは資金を保留アドレスに送信します。このアドレスは、多くのラグプルケースからの資金の集積地として機能します。保留アドレスは、新しいラグプルを開始するためのほとんどの資金を分割し、残りの資金は中央集権取引所を通じて引き出されます。私たちはいくつかの保留アドレスを追跡しており、0x2836はそのうちの1つです。
図8: 転送アドレスの資金移動情報
・Rug Pullコードバックドア
攻撃者は、LPトークンを破壊することでラグプルを実行できないことを外部に証明しようとしましたが、実際には、TOMMIトークンコントラクトのopenTrading機能に悪意のある承認バックドアを残しました。このバックドアにより、流動性プールは、流動性プールの作成時にRug Pullerアドレスへのトークン転送を承認し、Rug Pullerアドレスが流動性プールからトークンを直接引き出すことを可能にします。
TOMMIトークン契約内のopenTrading関数の図9
TOMMIトークン契約のonInit関数の図10
openTrading機能の実装は図9に示されており、その主な目的は新しい流動性プールを作成することです。ただし、攻撃者はバックドア機能であるonInitを呼び出します(図10に示されています)、これによりuniswapV2Pairが(type(uint256)の)トークン供給全体へ_chefAddressに対するトークンの転送を承認します。ここで、uniswapV2Pairは流動性プールのアドレスを指し、_chefAddressは契約の展開中に設定されるRug Pullerアドレスです(図11に示されています)。
TOMMIトークン契約のコンストラクター図11
·パターン化された詐欺手法
TOMMIのケースを分析することで、以下の4つの主要な特徴をまとめることができます:
- デプロイヤーは、中央集権取引所から資金を入手します:攻撃者は最初に中央集権取引所を通じてデプロイヤーアドレスに資金を提供します。
- Deployerは流動性プールを作成し、LPトークンを破棄します:Rug Pullトークンを作成した後、Deployerはすぐに流動性プールを確立し、LPトークンを破棄します。これにより、プロジェクトの信頼性が向上し、より多くの投資家を引き付けることができます。
- ラグプルは、流動性プールでETHと交換するために大量のトークンを使用します: ラグプルは、しばしば総トークン供給をはるかに超える大量のトークンを使用して流動性プールでETHと交換します。場合によっては、ラグプルは流動性を削除してプールからETHを引き出すこともあります。
4. ラグプルユーザーは詐欺から得たETHを保持アドレスに移します:ラグプルユーザーはラグプルから得たETHを保持アドレスに移動させ、時には中間アドレスを経由して移動させます。
これらの機能は、私たちが特定したケースでよく見られるものであり、ラグプル活動には明確なパターンがあることを強調しています。さらに、ラグプルが完了すると、盗まれた資金は通常、保持アドレスに統合されます。これは、これらの見かけ上孤立したラグプルのケースが、おそらく同じグループや単一の詐欺ネットワークに関連している可能性があることを示唆しています。
これらのパターンに基づいて、私たちはラグプルの行動プロファイルを開発し、関連する他のケースをスキャンして検出するようにしています。詐欺グループのプロファイリングを目指しています。
ラグプル詐欺グループ
· 資金の保管アドレスの調査
以前にも述べたように、ラグプルのケースでは通常、資金が資金保持アドレスに統合されます。このパターンに基づいて、詐欺の手法を明確に示すいくつかの非常に活発な資金保持アドレスを選択して、詳細な分析を行いました。
私たちは、1,124件のラグプルケースに関連付けられた7つの資金保持アドレスを特定しました。これらのケースは、当社のオンチェーン攻撃監視システム(CertiK Alert)によって正常に検出されました。詐欺を実行した後、ラグプルギャングはこれらの資金保持アドレスに不正利益を集めます。そして、これらのアドレスは資金を分割し、将来のラグプル詐欺用の新しいトークンを作成したり、流動性プールを操作したり、その他の詐欺行為を行ったりします。さらに、保持された資金の一部は中央集権取引所や即時交換プラットフォームを通じて現金化されます。
ファンド保有アドレスのデータは、表1に表示されています::
これらの資金保持アドレスに関連する各ラグプル詐欺のコストと収益を分析することで、表1に示されているデータを取得しました。
通常のRug Pull詐欺では、Rug Pullギャングは通常、Rug Pullトークンのデプロイヤーとして1つのアドレスを使用し、Rug Pullトークンとそれに対応する流動性プールを作成するために、中央集権取引所を介してスタートアップ資金を獲得します。十分なユーザーや新しいトークンボットがETHを使用してRug Pullトークンを購入するために引き寄せられると、Rug Pullギャングは別のアドレスをRug Pullerとして使用して詐欺を実行し、資金を資金保持アドレスに移動します。
このプロセスでは、Deployerが交換引き出しによって入手したETHや流動性プールの作成時に投資したETHは、Rug Pullのコストと見なされます(具体的な計算はDeployerの行動によって異なります)。Rug Pullerが詐欺を完了した後の基金保持アドレス(または中間アドレス)に転送されるETHは、Rug Pullの収入と見なされます。表1に示される収入と支出のデータは、ETH/USD価格(2024年8月31日現在、1 ETH = 2,513.56 USD)に基づいて計算され、データ統合時にリアルタイムの価格が使用されました。
詐欺中には、Rug PullギャングがETHを使用して独自に作成したRug Pullトークンを購入することもあり、通常の流動性プール活動をシミュレートして新しいトークンボットをさらに引き付けることがあります。ただし、この費用は計算に含まれていないため、表1のデータはRug Pullギャングの実際の利益をわずかに過大評価しています。実際の利益は多少低くなるでしょう。
図12:ファンド保持アドレスの利益分配の円グラフ
表1の利益データを各アドレスごとに使用して、図12に示す利益分配の円グラフを生成しました。利益分配の上位3つのアドレスは0x1607、0xDF1a、および0x2836です。アドレス0x1607は最も多くの利益、約2,668.17ETHを獲得し、すべてのアドレスを通じた総利益の27.7%を占めています。
実際、資金は最終的に異なる資金保持アドレスに統合されているにもかかわらず、関連するケース全体で共有される特徴(バックドアの実装やキャッシュアウト方法など)から、これらの資金保持アドレスは同じ詐欺グループによって制御されている可能性が非常に高いと疑っています。
これらの資金保有アドレスの間には接続がありますか?
· ファンド保有アドレス間の関連性の調査
図13: 資金保持アドレスの資金流れ図
ファンド保有アドレス間に関係があるかどうかを判断するための重要な指標は、これらのアドレス間で直接の送金があるかどうかを調査することです。ファンド保有アドレス間の接続を検証するために、我々は彼らの履歴取引をクロールして分析しました。
私たちが分析したほとんどのラグプルのケースでは、詐欺からの収益は通常、1つの資金保持アドレスに流れ込んでいます。そのため、異なる資金保持アドレスを直接リンクするためには、資金の追跡は不可能です。これを解決するために、私たちはこれらのアドレス間での資金の移動を監視し、直接の関係を特定しました。分析結果は図13に示されています。
図13の0x1d39と0x6348は共有のラグプルインフラストラクチャ契約アドレスであることに注意することが重要です。これらの資金保持アドレスは、これらの2つの契約を使用して資金を分割し、それらを他のアドレスに送信し、これらの資金をラグプルトークンの取引量を偽装するために使用します。
図13に示す直接のETH転送関係から、これらの資金保持アドレスを3つのグループに分けました。
- 0xDF1a および 0xDEd0;
- 0x1607と0x4856;
- 0x2836、0x0573、0xF653、および0x7dd9。
各グループ内では直接の転送が行われますが、グループ間では転送は行われません。これは、これらの7つの資金保持アドレスは3つの別々のグループに属していると見なすことができることを示唆しています。ただし、すべての3つのグループは、ラグプルのためにETHを分割するために同じインフラ契約を使用しており、それらを1つの組織化されたグループに結びつけています。これは、これらの資金保持アドレスが実際には単一の詐欺ネットワークによって制御されていることを示唆していますか?
この質問は検討の余地がある。
· 共有インフラの調査
前述の通り、共有インフラストラクチャのアドレスは次のとおりです:
0x1d3970677aa2324E4822b293e500220958d493d0と0x634847D6b650B9f442b3B582971f859E6e65eB53。
0x1d39アドレスには主に「multiSendETH」と「0x7a860e7e」という2つの機能があります。「multiSendETH」の主な機能は、転送を分割することです。資金保有アドレスは、ラグプルトークンの取引量を偽装するために、multiSendETHを使用して資金の一部を複数のアドレスに分配します。この取引の詳細については、図14に示します。
この分割操作により、攻撃者はトークンの活動をシミュレートし、トークンをより魅力的に見せ、より多くのユーザーや新しいトークンボットを誘致します。この方法により、Rug Pullグループは詐欺の欺瞞性と複雑さをさらに高めています。
図14:0x1d39による資金分割の取引情報
関数0x7a860e7eはラグプルトークンを購入するために使用されます。分割された資金を受け取った後、通常のユーザーに偽装されたアドレスは、Uniswapのルーターと直接やり取りしてラグプルトークンを購入するか、これらの購入を行うために0x7a860e7e関数を使用して取引活動を偽装します。
0x6348の主な機能は0x1d39と同様ですが、唯一の違いは、Rug Pullトークンを購入するための関数が0x3f8a436cと呼ばれている点です。
より良く理解するために、ラグプルギャングこれらのインフラストラクチャを利用して、私たちは両方の取引履歴をクロールして分析しました。0x1d39と0x6348外部アドレスがこれらの機能をどのくらい頻繁に使用しているかを追跡しました。結果は次のとおりです。テーブル2および3.
表2と表3から、Rug Pullギャングがこれらのインフラアドレスを使用する際に明確な戦略を持っていることがわかります。彼らはわずかな資金保持アドレスや中間アドレスのみを使用して資金を分割しますが、Rug Pullトークンの取引量を偽造するために多数の他のアドレスを使用します。例えば、0x6348を介して取引量を偽造するために6,224のアドレスが関与しており、攻撃者と被害者のアドレスを区別する作業を著しく複雑にしています。
それは注目に値することですラグプル ギャングインフラストラクチャーアドレスだけで取引量を偽装するだけでなく、一部のアドレスは取引所でトークンを直接スワップして取引量を偽装しています。
さらに、これら 2 つのインフラストラクチャ アドレスの使用状況を 7資金保持アドレス、各関数で関与するETHの合計を計算しました。結果は以下の通りです。表4および表5.
テーブル4と5から、ファンド保有アドレスがインフラを使用して3,616回に資金を分割し、合計9,369.98 ETHを分割したことがわかります。0xDF1aを除いて、すべてのファンド保有アドレスは資金分割のためにのみインフラを使用しましたが、ラグプルトークンの購入は受信アドレスによって完了しました。これは、ラグプルギャングが詐欺に対する明確で組織化されたアプローチを示しています。
0x0573は資金分割のためのインフラストラクチャを使用しておらず、代わりに、取引量を偽装するために使用される資金は他のアドレスから来ているため、異なる資金保持アドレスの動作にはある程度の変動性があることを示しています。
これらの資金保有アドレスとインフラの使用とのリンクを分析することで、これらのアドレスがどのようにつながっているかについて、より完全なイメージを持つことができるようになりました。 ラグプルギャングの活動は、最初に想像していたよりもはるかにプロフェッショナルで組織的です。さらに、これらの詐欺の背後には、よりよく調整された犯罪集団がいることを示唆しており、それらを体系的に実行しています。
· 詐欺資金の出所の調査
Rug Pullを実行する際、Rug Pullギャングは通常、新しい外部所有アカウント(EOA)をDeployerとして使用してRug Pullトークンを起動し、これらのDeployerアドレスは通常、中央集権型取引所(CEX)またはインスタント取引所プラットフォームを介して初期資金を取得します。資金源をより深く理解するために、前述した資金保持アドレスに関連するラグプルの事例を分析し、詐欺資金の出所についてより詳細な情報を得ることを目指しました。
表6には、ラグプルケースに接続された各ファンド保持アドレスのデプスの資金源ラベルの分布が示されています。
表6のデータを見ると、これらのRug PullケースにおけるRug Pullトークンデプロイヤーの資金の大部分は、中央集権型取引所(CEX)から来ていることがわかります。私たちが分析した1,124件のラグプル事件のうち、1,069件(95.11%)は中央集権的な取引所のホットウォレットから資金が供給されていました。つまり、これらのラグプルのケースのほとんどについて、KYC情報と中央集権的な取引所からの引き出し履歴を調べることで、特定のアカウント所有者を追跡でき、ケースを解決するための重要な手がかりを提供することができます。さらに調査を進めると、これらのラグプルギャングは複数の取引所のホットウォレットから資金を得ることが多く、これらのウォレット間での使用頻度と分布はほぼ同じであることが明らかになりました。これは、Rug Pullギャングが各Rug Pull事件の資金フローの独立性を意図的に高め、追跡を困難にし、捜査活動を複雑にしていることを示唆しています。
ファンドリテンションアドレスとラグプルのケースの詳細な分析を通じて、これらのラグプルギャングのプロファイルを開発しました:彼らは高度な訓練を受け、明確な役割と責任を持ち、よく計画され、高度に組織化されています。これらの特徴は、高いレベルのプロフェッショナリズムと不正操作の体系的な性質を浮き彫りにしています。
これらのギャングの組織レベルを考慮すると、私たちは疑問を持ち始めました:これらのラグプルギャングは、どのようにしてユーザーに彼らのラグプルトークンを見つけて購入させるのでしょうか? これに答えるために、私たちはこれらのラグプル事件の被害者アドレスに焦点を当て、これらのギャングがユーザーを彼らの詐欺に参加させる方法を調査し始めました。
· 被害者のアドレスを調査する
ファンド関連の分析により、ラグプルギャングアドレスのリストを作成し、ブラックリストとして維持しています。そして、トランザクションから被害者アドレスを抽出しました。
これらの被害者アドレスを分析した後、資金保有アドレス(表7)およびそれらの契約インタラクションデータ(表8)に関連する被害者アドレス情報を取得しました。
Table 7のデータから、私たちのオンチェーンモニタリングシステム(CertiK Alert)が捕捉したRug Pullケースごとに、平均して26.82の被害者アドレスがあることがわかります。この数は最初に予想していたよりも高く、これらのRug Pullケースの影響は当初考えていたよりも大きいことを示しています。
テーブル8では、被害者アドレスがラグプルトークンを購入する契約の相互作用の中で、UniswapやMetaMask Swapなどのより伝統的な購入方法に加えて、MaestroやBanana Gunなどのよく知られたオンチェーンのスナイパーボットプラットフォームを介して、ラグプルトークンの30.40%が購入されたことがわかります。
この調査結果は、オンチェーンのスナイパーボットがラグプルギャングにとって重要なプロモーションチャネルであることを強調しています。これらのスナイパーボットにより、ラグプルギャングは新しいトークン投資に焦点を当てた参加者を迅速に引きつけることができます。その結果、私たちはこれらのオンチェーンのスナイパーボットに注目し、ラグプル詐欺における役割やこれらの詐欺的な手口の宣伝にどのように貢献しているかをよりよく理解することにしました。
ラグプルトークンプロモーションチャンネル
現在のWeb3新しいトークンエコシステムに関する調査を行い、オンチェーンスナイパーボットの運営モデルを検証し、いくつかの社会工学の手法を組み合わせて、TwitterとTelegramグループの2つの潜在的なラグプルギャング広告チャンネルを特定しました。
これらのTwitterアカウントやTelegramグループは、Rug Pullギャングによって特に作成されたものではなく、新しいトークンエコシステムの基本的な要素です。これらは、オンチェーンスナイパーボットチームやプロの新しいトークン投資グループなどのサードパーティエンティティによって運営および維持されており、新しく立ち上げられたトークンを投資家にプロモーションすることを目的としています。これらのグループは、悪意のあるトークンを購入するようユーザーを引き寄せ、その詐欺を実行するために使用されるRug Pullギャングの自然な広告手段となっています。
· Twitter広告
図15 TOMMIトークンのTwitter広告
図15はTOMMIトークンのTwitter広告を示しています。見ての通り、Rug PullギャングはDexed.comの新しいトークンプロモーションサービスを利用して、Rug Pullトークンを宣伝し、より広範な潜在的被害者の観衆を引きつけました。調査中、多くのRug PullトークンがTwitter上に広告が表示されていることがわかりました。これらの広告は通常、異なる第三者組織が運営するTwitterアカウントから行われています。
・Telegramグループ広告
図16:バナナガン新トークンプロモーショングループ
図16は、新たに立ち上げられたトークンのプロモーションを専門とするBanana Gunというオンチェーンスナイパーボットチームによって運営されるTelegramグループを示しています。このグループでは、新しいトークンに関する基本情報を共有するだけでなく、ユーザーがそれらを購入するための簡単なアクセスを提供しています。Banana Gunスナイパーボットを設定した後、ユーザーはグループ内のトークンプロモーションの横にある「Snipe」ボタン(図16の赤でハイライト表示されています)をクリックすることで、素早くトークンを購入することができます。
このグループで促進されているトークンを手動でサンプリングしましたが、その大部分が実際にはラグプルトークンであることがわかりました。この調査結果は、Telegramグループがラグプルギャングの主要な広告チャネルである可能性が高いことを強化しています。
次の質問は:サードパーティの組織が宣伝する新しいトークンの何パーセントがラグプルトークンであるか、そしてこれらのラグプル集団の規模はどれくらい大きいのか、です。これらの質問に答えるために、Telegramグループで宣伝されている新しいトークンデータをシステマティックにスキャンして分析することにしました。これにより、関連するリスクの規模と詐欺行為の範囲を明らかにします。
イーサリアムトークンエコシステム分析
・Telegramグループでプロモートされているトークンの分析
Telegramグループで新しくプロモーションされたトークンの中で、Rug Pullトークンの割合を評価するために、私たちはTelegramのAPIを使用して、2023年10月から2024年8月までの間にBanana Gun、Unibot、およびその他の第三者のトークンメッセージグループによって押し出された新しく立ち上げられたEthereumトークンのデータをクローリングしました。この期間中、これらのグループは合計93,930トークンを押し出しました。
ラグプルケースの分析に基づくと、ラグプルギャングは通常、Uniswap V2でラグプルトークンのための流動性プールを作成し、ETHを注入します。ユーザーや新しいトークンボットがラグプルトークンを購入すると、攻撃者はダンプや流動性の除去によって利益を得ます。このプロセスは通常、24時間以内に完了します。
したがって、Telegramグループでプロモーションされた新しいトークンの中で、ラグプルトークンの割合を確定するために、私たちは93,930のトークンをスキャンするために、以下のラグプルトークンの検出ルールを作成し適用しました。
- 過去24時間におけるターゲットトークンの送金はありません:ラグプルトークンは通常、ダンプ後に活動を停止します;
- Uniswap V2では、ターゲットトークンとETHの間に流動性プールが存在します:Rug Pullギャングは、Uniswap V2でトークンとETHの間に流動性プールを作成します;
- トークン作成以来の総転送イベントが1,000を超えない:ラグプルトークンは通常、取引が少ないため、転送回数が比較的少ないです;
- 過去5件の取引には大量の流動性引き出しがあるか、ダンプが存在します:ラグプルトークンは通常、大量の流動性引き出しやダンプで終わります。
Telegramグループでプロモーションされたトークンにこれらのルールを適用し、結果を表10に示しました。
表9に示すように、Telegramグループで宣伝された93,930のトークンのうち、46,526がラグプルトークンとして特定され、合計の49.53%を占めています。つまり、Telegramグループで宣伝されたトークンのほぼ半分はラグプルトークンです。
プロジェクトが失敗した後、一部のプロジェクトチームが流動性を引き出す場合もあるため、この行動は自動的にラグプル詐欺と分類されるべきではありません。したがって、偽陽性の分析への潜在的な影響を考慮しました。ルール3はほとんどの類似したケースをフィルタリングするのに役立ちますが、一部の誤判断がまだ発生する可能性があります。
false positivesの影響をよりよく理解するために、46,526のRug Pullトークンのアクティブな時間を分析し、その結果を表10に示しました。アクティブな時間を分析することで、本物のRug Pullの行動とプロジェクトの失敗による流動性の引き出しとをより正確に区別し、真のRug Pull活動の実際の規模をより正確に評価することができます。
アクティブ時間を分析することで、41,801のラグプルトークンが72時間未満のアクティブ時間(トークン作成から最終的なラグプルまで)を持っていることがわかりました。これは89.84%を占めています。通常の場合、72時間ではプロジェクトが失敗したかどうかを判断するのに十分ではありませんので、72時間未満のアクティブ時間のラグプル行為は正常な引き出し行為ではなく、正当なプロジェクトチームの典型的な行為とは言えません。
したがって、最悪の場合でも、72時間以上のアクティブ時間を持つ残りの4,725のRug Pullトークンは、この論文ではRug Pull詐欺の定義には当てはまりません。ただし、我々の分析は依然として重要な価値があります。なぜなら、89.84%のケースが期待に合致しているからです。さらに、72時間の閾値は比較的保守的であり、実際のサンプリングでは、72時間以上のアクティブ時間を持つ多くのトークンがRug Pull詐欺のカテゴリに該当することがあります。
興味深いことに、25,622トークンが3時間未満のアクティブ時間を持っており、全体の55.07%を占めています。これは、ラグプルギャングが非常に高い効率で運営されており、「短期かつ迅速な」手法と非常に高い資本回転率を持っていることを示しています。
また、46,526のラグプルトークンのキャッシュアウト方法と契約コールのパターンも評価し、ラグプルギャングの傾向を確認しました。
キャッシュアウト方法の評価は、主にラグプルギャングが流動性プールからETHを抽出する方法に焦点を当てて行われました。主な方法は次のとおりです:
- トークンのダンピング:ラグプルギャングは、事前割り当てやバックドアコードを通じて入手したトークンを使用して、流動性プール内のすべてのETHを償還します。
- 流動性を削除する:ラグプルギャングは、流動性プールに追加されたすべての資金を削除します。
契約呼び出しパターンの評価では、Rug PullギャングがRug Pullプロセス中にどのターゲット契約オブジェクトと対話したかを調査しました。主なオブジェクトは次のとおりです:
- 分散型取引所ルーターコントラクト:流動性を直接操作するために使用されます。
- カスタム攻撃契約:複雑な詐欺操作を実行するために使用される独自の契約。
キャッシュアウト方法と契約呼び出しパターンを評価することで、私たちはさらにラグプルギャングの作業方法と特徴を理解し、同様の詐欺をよりよく防止および特定することができます。
キャッシュアウト方法の関連評価データは、表11に表示されています。
評価データから、Rug Pullギャングが流動性の除去をキャッシュアウトに使用したケースは32,131件で、69.06%を占めていることがわかります。これは、これらのラグプルギャングがキャッシュアウトのために流動性の除去を好むことを示していますが、これはおそらく、複雑な契約の作成や追加のステップを必要とせず、よりシンプルで直接的であるためです。対照的に、トークンを投げ捨てて現金化するには、Rug Pullギャングがトークンのコントラクトコードにバックドアを設定し、ダンプに必要なトークンをゼロコストで取得できるようにする必要があります。このプロセスはより複雑でリスクが高いため、それに関連するケースは少なくなります。
契約呼び出しパターンの関連評価データは、表12に示されています。
表12から明らかなように、ラグプルギャングは、ラグプル操作を実行するためにユニスワップルーターコントラクトを利用することを好む傾向があります。これは、合計の操作数の76.35%にあたる40,887回の実行が行われています。ラグプルの実行回数は53,552回であり、これはラグプルトークンの数(46,526)よりも多いです。これは、ラグプルギャングがいくつかの場合において複数のラグプル操作を実行し、利益を最大化するか、異なる被害者を狙って一括でキャッシュアウトする可能性があることを示唆しています。
次に、46,526のラグプルトークンのコストと収益データに対して統計分析を行いました。なお、統計目的のために、トークンを展開する前にラグプルギャングが中央集権取引所や即時交換サービスから得たETHをコストとし、最終的なラグプルで回収されたETHを収益として考慮しています。実際のコストデータは、ラグプルギャングが偽の流動性プール取引に投資したETHを考慮していないため、より高い可能性があります。
表13には費用と収益のデータが表示されています。
46,526件のラグプルトークンの統計分析では、総最終利益は282,699.96 ETHで、利益率は188.70%で、約8億ドルに相当します。実際の利益は上記の数字よりわずかに低い可能性がありますが、資金の総体の規模は非常に印象的であり、これらのラグプル集団が詐欺を通じて相当な利益を上げていることを示しています。
Telegramグループのトークンデータの分析に基づいて、Ethereumエコシステムはすでに多くのラグプルトークンであふれています。しかし、重要な問題を確認する必要があります:Telegramグループで推進されているこれらのトークンは、Ethereumメインネットワークでローンチされたすべてのトークンを表していますか?もしそうでない場合、Ethereumメインネットワークでローンチされたトークンの中で、どの割合を占めていますか?
この質問に答えることで、現在のイーサリアムトークンエコシステムについて包括的な理解が得られます。そのため、Telegramグループでプッシュされたトークンのカバレッジを評価するため、イーサリアムメインネットトークンの徹底した分析を開始しました。この分析により、より広範なイーサリアムエコシステム内でのラグプルの深刻さと、Telegramグループのトークンプロモーションへの影響をさらに明確にすることができます。
・イーサリアムメインネットトークンの分析
Telegramグループトークンの分析と同じ期間(2023年10月から2024年8月)のRPCノードからブロックデータをクロールしました。これらのブロックから、新たに展開されたトークン(プロキシ展開トークンを除く、ラグプルケースは非常に少ないため)を取得しました。合計154,500のトークンをキャプチャし、そのうち54,240はUniswap V2流動性プール(LP)トークンであり、本論文の対象外です。
LPトークンをフィルタリングした後、100,260トークンが残りました。関連情報は表14に表示されています。
これらの100,260トークンにラグプル検出ルールを適用し、結果は表15に示されています。
100,260トークン中、48,265ラグプルトークンが検出され、その割合は48.14%です。これはTelegramグループでプッシュされたトークンの中のラグプルトークンの割合とほぼ同じです。
TelegramグループでプッシュされたトークンとEthereumメインネット上で展開されたトークンのオーバーラップをさらに分析するために、両方のトークンのデータを比較しました。結果は表16に示されています。
表16から、TelegramグループでプッシュされたトークンとEthereumメインネットトークンの重複は90,228トークンで、メインネットトークンの89.99%を占めています。メインネット上で見つからなかったプロキシデプロイされたトークンが3,703あります。これらのトークンはメインネットトークンキャプチャに含まれていませんでした。
Telegramグループに送信されなかったメインネット上の10,032のトークンがあります。これは、十分な魅力がないか、特定の基準を満たしていないため、プロモーションのルールによってフィルタリングされた可能性があります。
その後、3,703のプロキシデプロイトークンでラグプル検出を行い、ラグプルトークンはわずか10個しか見つかりませんでした。これは、プロキシデプロイトークンがTelegramグループにおけるラグプル検出結果にほとんど影響を与えず、検出結果がメインネットトークンと非常に一致していることを示しています。
テーブル17には、10のプロキシ展開されたラグプルトークンアドレスがリストされています。興味があれば、これらのアドレスを詳細に調査することができます。ここではこれ以上深入りしません。
この分析は、Telegramグループでプッシュされたトークンにおけるラグプルトークンの割合が、イーサリアムメインネット上と非常に近いことを確認しており、現在のラグプルエコシステムにおけるこれらのプロモーションチャネルの重要性と影響力をさらに強調しています。
今、私たちは質問に答えることができます。つまり、Telegramグループでプッシュされたトークンは、Ethereumメインネット上で起動したすべてのトークンをカバーしており、そうでない場合、それらはどの割合を占めていますか?
回答は、Telegramグループによって押し出されるトークンがメインネットワークの約90%を占めており、そのラグプルテストの結果はメインネットワークトークンのラグプルテスト結果と非常に一致しています。したがって、Telegramグループによって押し出されるトークンの以前のラグプル検出とデータ分析は、基本的にEthereumメインネットワークのトークン生態の現状を反映しています。
先述のように、Ethereumメインネット上のRug Pullトークンは約48.14%を占めていますが、残りの51.86%のRug Pullトークンにも興味があります。Rug Pullトークンを除いても、未知の状態にあるトークンが51,995個あり、これは合理的な数のトークンとは考えられないほど多くなっています。したがって、メインネット上のすべてのトークンの作成から最終活動停止までの時間について統計を取り、その結果を表18に示しました。
テーブル18のデータによると、Ethereumメインネット全体を調査すると、72時間未満で存在するトークンが78,018個あり、全体の77.82%を占めています。この数字は、特定されたラグプルトークンの数を大幅に上回っており、当社の検出ルールがすべてのラグプルを網羅していない可能性を示唆しています。実際、当社の無作為抽出テストでは、最初に検出されなかったラグプルトークンもいくつか見つかっています。さらに、これはフィッシング攻撃やポンジスキームなどの他の詐欺の存在を示しており、さらなる調査が必要です。
さらに、72時間を超えるライフサイクルを持つ22,242のトークンがあります。 ただし、これらのトークンは研究の主眼ではありません。これは、追加の詳細が明らかにされるべきであることを意味します。 これらの中には、失敗したプロジェクトに属するか、ユーザーベースはあるが持続的な開発支援が不足しているトークンもあります。 これらのトークンの背後にある物語や理由は、複雑な市場動向を明らかにするかもしれません。
Ethereumメインネット上のトークンエコシステムは、予想以上に複雑で、一時的なものと持続的なプロジェクトの両方が存在し、常に詐欺活動のリスクが存在しています。この論文の主な目的は、これらの問題に注意を喚起し、犯罪者の秘密の活動に対する人々の認識を高めることです。この分析を共有することで、さらなる関心や研究を喚起し、結果としてブロックチェーンエコシステム全体のセキュリティを向上させることを目指しています。
リフレクションズ
イーサリアムメインネット上で新たに発行されたトークンのうち、ラグプルトークンが全体の48.14%を占めているという事実は、非常に重要な警告です。この比率から推測されるのは、イーサリアム上で2つのトークンが発行されるごとに、1つは詐欺である可能性が高く、イーサリアム生態系がある程度混沌としており、無秩序な状態にあることを示しています。ただし、本当の懸念点はイーサリアムのトークン生態系にとどまりません。他のブロックチェーンネットワークにおけるラグプルの件数がイーサリアムを上回っていることから、これらのネットワーク上のトークン生態系も徹底的な調査を必要としていることを示しています。
ラグプルトークンの割合が高いにもかかわらず、イーサリアムでは毎日約140の新しいトークンが打ち上げられており、通常の範囲と見なされる範囲をはるかに超えています。これらの他の非不正トークンには、どのような未公開の秘密が隠されているのでしょうか?これらは、深い熟考とさらなる研究に値する重要な質問です。
さらに、この論文は、さらなる探求を必要とするいくつかの重要な問題を強調しています。
- ラグプルギャングの特定: 見つかったラグプルケースの大量の中で、これらのケースの背後にある異なるラグプルギャングの数を効果的に特定し、それらの間につながりがあるかどうかを判断する方法はありますか? 財務フローと共有アドレスの分析が重要である可能性があります。
- 被害者と攻撃者を区別する:被害者と攻撃者を区別することは、詐欺を特定するために不可欠です。しかし、被害者と攻撃者の間の境界線はしばしば曖昧になりがちであり、より正確な方法が必要とされています。
- ラグプル検出の進化:現在のラグプル検出は、主に事後分析に依存しています。アクティブトークンの潜在的なラグプルリスクをより早く特定するために、リアルタイムまたは先制的に検出する方法を開発できないでしょうか?この機能は、損失を軽減し、タイムリーな介入を促進するのに役立ちます。
- ラグプルギャングの利益戦略:ラグプルギャングがキャッシュアウトする条件は何ですか?彼らの利益戦略を理解することで、ラグプルの発生を予測し、防止するのに役立ちます。
- 他のプロモーションチャネルの探索: TwitterやTelegramは詐欺トークンの宣伝に使用されることが知られていますが、他のプラットフォームも悪用されている可能性はありますか?フォーラム、他のソーシャルメディア、広告プラットフォームと関連した潜在的なリスクも注意が必要です。
これらはさらなる議論や研究が必要な複雑な問題であり、それらは進行中の研究や議論に任せる。Web3エコシステムの急速な発展は、技術革新だけでなく、進化するリスクや課題に対処するためにより広範なモニタリングや深い研究も求められている。
提案
トークン発売エコシステムでの詐欺の蔓延を考慮すると、Web3投資家は非常に注意が必要です。ラグプルギャングや反詐欺チームが戦術を向上させるにつれて、詐欺的なトークンやプロジェクトを識別することはますます困難になっています。
新しいトークン市場に興味を持つ投資家の方々へ、当社のセキュリティ専門家は以下を提案しています:
- 信頼できる中央集権型取引所を使用してください:通常、より厳格なプロジェクト審査を実施し、より高いセキュリティを提供する、よく知られた中央集権型取引所を介して新しいトークンを購入することをお勧めします。
- 分散型取引所の公式ソースを確認してください:公式の契約アドレスからトークンを購入し、非公式または不審なチャネルを通じてプロモートされたトークンを避けてください。
- プロジェクトのウェブサイトやコミュニティを調査してください:公式ウェブサイトやアクティブなコミュニティがないことは、リスクが高いことを示唆しています。セキュリティ検証を受けていない可能性がある、サードパーティのTwitterやTelegramグループを通じて宣伝されたトークンには特に注意してください。
- トークンの作成時間をチェックしてください:ラグプルトークンは活動期間が非常に短いため、3日未満で作成されたトークンは避けてください。
- サードパーティのセキュリティサービスを利用する:可能であれば、サードパーティのセキュリティ組織が提供するトークンスキャンサービスを使用して、ターゲットトークンの安全性を評価します。
Call to Action
本稿で取り上げるRug Pull詐欺集団以外にも、Web3業界内のさまざまなセクターやプラットフォームのインフラや仕組みを悪用して違法な利益を得る同様の犯罪者が増えており、現在のWeb3エコシステムのセキュリティ状況を大幅に悪化させています。犯罪者が機会を見つけるのを防ぐために、見落とされがちな問題に注意を払い始める必要があります。
前述のように、ラグプルスキームからの資金の流れは最終的に主要な取引所を通過しますが、私たちはラグプル詐欺に関連する資金の流れは氷山の一角に過ぎないと考えています。取引所を通じて流れる悪意のある資金の規模は、私たちの想像をはるかに超えるかもしれません。そのため、私たちは主要な取引所に対して、これらの悪意のある流れに対するより厳格な規制措置の実施、違法および詐欺行為への積極的な対処、およびユーザーの資金の安全性の確保を強く求めます。
プロジェクトのプロモーションやオンチェーンスナイパーボットなどのサービスを提供する企業は、そのインフラが詐欺団に利益をもたらすツールとなっていることが心配です。そのため、すべての第三者サービスプロバイダーに対して、製品やコンテンツのセキュリティレビューを強化し、犯罪者による悪用を防止するよう呼びかけます。
さらに、MEVアービトラージャーや一般ユーザーを含むすべての被害者に対し、投資する前に未知のプロジェクトを評価するためにセキュリティスキャンツールを積極的に利用し、権威あるセキュリティ組織のプロジェクト評価を参照し、犯罪者の悪質な行為を積極的に公表して業界の違法な現象を暴露するよう求めます。
プロのセキュリティチームとして、私たちはすべてのセキュリティ担当者に積極的に違法活動を発見し、特定し、対処し、その取り組みに声を上げ、ユーザーの金融の安全を守るよう促しています。
Web3の領域では、ユーザー、プロジェクト開発者、取引所、MEVアービトラージャー、その他のサードパーティサービスプロバイダーが重要な役割を果たします。すべての参加者がWeb3エコシステムの持続可能な発展に貢献し、より安全で透明性の高いブロックチェーン環境を構築するために協力できることを願っています。
免責事項:
関連記事
ファンダメンタル分析とは何ですか?
アルトコインとは?
初心者向け取引ガイド
定量的戦略取引について知っておくべきことすべて