加密貨幣詐騙 資訊安全

資安團隊Blockfence:一詐騙者1年內創建千枚代幣,Rug Pull得手逾3千萬鎂

Crumax
分享
資安團隊Blockfence:一詐騙者1年內創建千枚代幣,Rug Pull得手逾3千萬鎂

安全機構 Blockfence 透露,他們發現了一個複雜且已重複進行多次的詐騙計劃,該詐騙者持續在多條鏈上創建超過 1,300 枚代幣,並自動地透過市場操縱及修改惡意程式碼,反覆進行 Rug Pull 並藉此獲利近 3,200 萬美元。

詐騙團隊一年大撈千萬美元

資安團隊 Blockfence 於 18 日釋出的報告指出,其員工 Pablo Sabbatella 於鏈上發現了由某詐騙者發行、並以該公司命名的「Blockfence」代幣。

經調查得知,這是涉及超過 1,300 起自 2023 年 4 月以來所發生的 Rug Pull 專案、一個龐大縝密且流程自動化的詐騙計劃,在以太坊、BSC 及 Arbitrum 網路上發生。初估受害者來到 4.2 萬名,被盜金額高達 3,200 萬美元。

廣告 - 內文未完請往下捲動

照理來說,Rug Pull 專案的代幣合約理應在一些市場上的監測警報或詐騙偵測器中,被檢查出嚴重風險;對此,詐騙者則透過以下方式,來達到規避偵測器審核的效果。

詐騙如何進行:初始設定與資金

首先, 詐騙者一開始會從一個自有錢包 (使用 3 個月後銷毀) 傳送 10 至 20 ETH 到一個「新創建而從未互動過」的錢包,接著用該資金創建一個詐騙代幣。

詐騙者創建代幣合約,部署者收到完整的供應

通常,該代幣名稱會與當前熱潮或未推出代幣的加密專案高度相關,如專案名稱 DreamFi 或迷因幣風潮 AIPEPE 等,旨在利用受害者 FOMO 而渴望早期參與的非理性心態,帶有明顯「蜜罐 (Honeypots) 詐騙」的特徵。

接著,詐騙者會放棄對合約的所有權,以誤導 RugPull 監測工具將其代幣合約標示為「安全」,讓受害者安心地踏入陷阱。

代幣合約的所有權轉移到 0x00,也稱作銷毀地址

詐騙如何進行:市場操縱與欺騙

再來,詐騙者將代幣合約部署至 UniSwap 上,並注入流動性。同時,其也透過清洗交易 (wash trading) 操縱市場,假裝擁有真實的交易活動,吸引受害者相信這是一個頗受歡迎且即將上漲的代幣。

受害者相繼在 Uniswap 流動性池中購買詐騙代幣

另外,詐騙者也使用了「lock()」函數,將 LP 代幣鎖定至 2024 年 12 月 30 日,讓監測工具及受害者相信他們的投資是安全的,詐騙者不會贖回他們的 LP 代幣並執行 Rug Pull。

然而,等到吸金量足夠後,詐騙者仍然能把市場上的流動性全部抽乾,並將代幣的價值抛售到接近 0 的地步。

詐騙者執行 Rug Pull

具體的惡意手法

即便放棄了合約所有權並鎖定了 LP 代幣,但詐騙者仍然做到了大量傾銷代幣的舉動。具體來說,其是透過以下方式進行:

  • 用戶餘額操縱:當有人買了詐騙代幣時,詐騙者將透過另一個未經授權的惡意合約,將受害者的帳戶餘額改成 1 (程式上已銷毀),使得他們無法出售代幣。據悉,該惡意合約與所有已發行並 Rug Pull 的詐騙代幣都有高度關聯。
詐騙者透過外部惡意合約,將受害者的餘額設為 1
  • 無限代幣鑄造:詐騙者同樣調用了另一個惡意合約「dissort」函數,偽造了詐騙者的代幣持有量,讓代幣擁有者能夠躲避偵測工具,成功出售大量代幣並從中獲利。
外部合約偽造詐騙者的代幣持有量
  • 隱藏惡意合約:詐騙者利用了一個特殊且已寫死在代碼中的數字以及總代幣供應量,並將這些數據動態轉換並生成該惡意合約地址,以躲避檢查。
詐騙者於代幣合約中隱藏並混淆惡意合約
  • 較低的利潤目標:值得一提的是,詐騙者為了躲避監測與引起注意,其不會一次性賺取太多的錢,而是設定了每個詐騙代幣大約 5 至 20 枚 ETH 的利潤目標。

簡單來說,儘管看似通過了各安全工具的監測,該詐騙者的每個代幣合約仍保留了惡意功能,能夠銷毀用戶代幣,甚至是偽造部署者的代幣持有量及供應量。

Blockfence:可能是一個人所為

對於上述的詐騙手法,Blockfence 出於大部分的互動與操作,都是在相差不遠的時間間距及金額上運作,因此認為該詐騙計劃可能僅是一個人透過自動化程式所為。該調查員 Sabbatella 也對此警告並提醒:

我建議不要只使用一種合約及詐騙偵測工具,而是使用多種不同的工具,並綜合評估結果。另外,我也永遠不會購買我不完全了解的資產。

RugPull 專案一有再有

Rug Pull (拉地毯騙局) 事件在幣圈可謂隨處可見,從去年 4 月的迷因幣熱潮、8 月的 Base 鏈「BALD」割韭菜事件、到與馬斯克 AI「Grok」同名的代幣炒作,體現出加密市場危機四伏的高度風險,充斥著市場操縱與各種非法行為。

此前,鏈新聞也曾報導過多起 Rug Pull 慣犯,說明同一團隊在得手後,也可能繼續創建多個 Rug Pull 專案持續拐騙。

(跑路慣犯!Base 鏈上 Magnate Finance 遭起底三度 Rug、得手 650 萬鎂)

(跑路慣犯再出馬!Lendora Protocol 背後團隊 RugPull,已得手逾千萬美元)

因此,投資者對於任何正在風潮上的熱點更要保持警戒,畢竟誇張的推銷手法與潛在的高報酬利誘,都可能矇混了大多數人的雙眼,做好理性決策與風險控管才是唯一解方。