Gần đây, nhóm chuyên gia bảo mật CertiK thường xuyên phát hiện nhiều vụ exit lừa đảo với cùng một chiến thuật mà thường được gọi là Rug Pull.
Sau khi tìm hiểu sâu hơn, chúng tôi phát hiện ra rằng nhiều vụ việc với cùng một chiến thuật đều hướng đến cùng một băng nhóm và cuối cùng có liên quan đến hơn 200 vụ lừa đảo thoát Token. Điều này cho thấy rằng chúng tôi có thể đã phát hiện ra một nhóm hack tự động quy mô lớn chuyên thu thập tài sản thông qua lừa đảo thoát.
Trong các trò lừa đảo thoát này, kẻ tấn công sẽ tạo mã thông báo ERC 20 mới và tạo nhóm thanh khoản Uniswap V2 với mã thông báo được khai thác trước tại thời điểm tạo cộng với một lượng WETH nhất định.
Khi robot mới trên chuỗi hoặc người dùng mua mã thông báo mới trong nhóm thanh khoản trong một số lần nhất định, kẻ tấn công sẽ sử dụng mã thông báo được tạo ra từ không khí để làm cạn kiệt tất cả WETH trong nhóm thanh khoản.
Vì các mã thông báo mà kẻ tấn công có được từ không khí mỏng không được phản ánh trong tổng nguồn cung (totalSupply) và không kích hoạt sự kiện Chuyển giao, nên chúng không hiển thị trên etherscan, do đó thế giới bên ngoài khó nhận ra chúng.
Những kẻ tấn công không chỉ coi việc lén lút mà còn thiết kế một trò chơi trong trò chơi để làm tê liệt người dùng bằng các kỹ năng kỹ thuật cơ bản và khả năng đọc etherscan, sử dụng một vấn đề nhỏ để che đậy mục đích thực sự của họ...
Đi sâu vào lừa đảo
Hãy lấy một trong các trường hợp làm ví dụ để giải thích chi tiết về trò lừa đảo thoát này.
Những gì chúng tôi phát hiện thực ra là một giao dịch trong đó kẻ tấn công đã sử dụng một lượng lớn token (đúc bí mật) để tiêu hao nhóm thanh khoản và kiếm lợi nhuận. Trong giao dịch này, bên dự án đã sử dụng tổng cộng 416, 483, 104, 164, 831 (Xấp xỉ 416 nghìn tỷ) MUMI đã được đổi lấy khoảng 9,736 WETH, làm cạn kiệt tính thanh khoản của nhóm.
Tuy nhiên, giao dịch này chỉ là mắt xích cuối cùng của toàn bộ vụ lừa đảo, để hiểu rõ toàn bộ vụ lừa đảo, chúng ta cần tiếp tục truy tìm về phía trước.
Triển khai mã thông báo
Vào lúc 7:52 sáng ngày 6 tháng 3 (giờ UTC, giống như bên dưới), địa chỉ của kẻ tấn công (0x 8 AF 8) Rug Pull đã triển khai mã thông báo ERC 20 có tên MUMI (tên đầy đủ MultiMixer AI) (địa chỉ là 0x 4894 ) và 420, 690, 000 (khoảng 420 triệu) mã thông báo đã được khai thác trước và tất cả được phân phối cho những người triển khai hợp đồng.
Số lượng mã thông báo được khai thác trước tương ứng với mã nguồn hợp đồng.
Thêm thanh khoản
Đúng 08:00 (8 phút sau khi mã thông báo được tạo), địa chỉ kẻ tấn công (0x 8 AF 8) bắt đầu thêm thanh khoản.
Địa chỉ của kẻ tấn công (0x 8 AF 8) gọi hàm openTrading trong hợp đồng mã thông báo, tạo nhóm thanh khoản MUMI-WETH thông qua nhà máy uniswap v2, thêm tất cả các mã thông báo được khai thác trước và 3 ETH vào nhóm thanh khoản và cuối cùng nhận được Khoảng 1,036 LP mã thông báo.
Có thể thấy từ chi tiết giao dịch rằng trong số 420.690.000 (khoảng 420 triệu) mã thông báo ban đầu được sử dụng để thêm thanh khoản, khoảng 63.103.500 (khoảng 63 triệu) mã thông báo đã được gửi trở lại Hợp đồng mã thông báo (địa chỉ 0x 4894), bằng cách xem xét hợp đồng mã nguồn, chúng tôi nhận thấy rằng hợp đồng mã thông báo sẽ tính một khoản phí xử lý nhất định cho mỗi lần chuyển và địa chỉ tính phí xử lý chính là hợp đồng mã thông báo (được triển khai cụ thể trong chức năng _transfer).
Điều kỳ lạ là địa chỉ thuế 0x 7 ffb (địa chỉ thu phí chuyển khoản) đã được đặt trong hợp đồng, nhưng khoản phí cuối cùng lại được gửi đến chính hợp đồng token.
Do đó, số lượng token MUMI cuối cùng được thêm vào nhóm thanh khoản là 357.586.500 (khoảng 350 triệu), miễn thuế, thay vì 420.690.000 (khoảng 430 triệu).
Khóa thanh khoản
Vào lúc 8:01 (1 phút sau khi nhóm thanh khoản được tạo), địa chỉ kẻ tấn công (0x 8 AF 8) đã khóa tất cả 1.036 mã thông báo LP có được bằng cách thêm thanh khoản.
Sau khi LP bị khóa, về mặt lý thuyết, tất cả mã thông báo MUMI thuộc sở hữu của địa chỉ kẻ tấn công (0x 8 AF 8) đều bị khóa trong nhóm thanh khoản (ngoại trừ phần được sử dụng làm phí xử lý), do đó địa chỉ của kẻ tấn công (0x 8 AF 8) cũng có không có khả năng thực hiện Rug Pull bằng cách loại bỏ tính thanh khoản. Để cho phép người dùng tự tin mua các token mới ra mắt, nhiều bên dự án khóa LP, điều đó có nghĩa là các bên dự án đang nói: Tôi sẽ không bỏ chạy, mọi người đều có thể yên tâm mua! Tuy nhiên, thực tế có phải như vậy không? ? Rõ ràng là không, đúng như vậy, chúng ta hãy tiếp tục phân tích.
Rug Pull
Lúc 8:10, địa chỉ kẻ tấn công mới ② (0x 9 DF 4) xuất hiện và Ta đã triển khai địa chỉ thuế 0x 7 ffb được khai báo trong hợp đồng token.
Có ba điểm đáng nói ở đây:
1. Địa chỉ triển khai địa chỉ thuế không giống với địa chỉ triển khai mã thông báo. Điều này có thể cho thấy bên dự án đang cố tình giảm mối tương quan giữa từng hoạt động và địa chỉ, khiến việc theo dõi hành vi trở nên khó khăn hơn.
2. Hợp đồng về địa chỉ thuế không phải là mã nguồn mở, nghĩa là có thể có những hoạt động ẩn trong địa chỉ thuế mà bạn không muốn bị lộ.
3. Hợp đồng thuế được triển khai muộn hơn hợp đồng mã thông báo và địa chỉ thuế trong hợp đồng mã thông báo đã được mã hóa cứng, điều đó có nghĩa là bên dự án có thể dự đoán địa chỉ của hợp đồng thuế. Vì lệnh CREATE xác định địa chỉ của người tạo và nonce, việc triển khai Địa chỉ hợp đồng được xác định nên nhóm dự án đã mô phỏng trước địa chỉ hợp đồng bằng địa chỉ của người tạo.
Trên thực tế, nhiều vụ lừa đảo xuất cảnh được thực hiện thông qua địa chỉ thuế và đặc điểm phương thức triển khai của địa chỉ thuế tuân thủ điểm 1 và 2 ở trên.
Vào lúc 11 giờ sáng (3 giờ sau khi mã thông báo được tạo), địa chỉ kẻ tấn công ② (0x 9 DF 4) đã thực hiện Rug Pull. Bằng cách gọi phương thức swapExactETHForTokens của hợp đồng thuế (0x 77 fb), anh ta đã trao đổi 416, 483, 104, 164, 831 (khoảng 416 nghìn tỷ) mã thông báo MUMI trong địa chỉ thuế với giá khoảng 9,736 ETH và tiêu thụ hết thanh khoản trong Hồ bơi.
Vì hợp đồng thuế (0x 77 fb) không phải là nguồn mở nên chúng tôi đã dịch ngược mã byte của nó và kết quả dịch ngược như sau: https://app.dedaub.com/decompile?md5=01e2888c7691219bb7ea8c6b6befe11c Sau khi xem hợp đồng thuế (0x 77 fb ) Sau khi dịch ngược mã của phương thức swapExactETHForTokens, chúng tôi thấy rằng chức năng chính của chức năng này là trao đổi mã thông báo MUMI thuộc sở hữu của hợp đồng thuế (0x 77 fb) với số tiền xt (do người gọi chỉ định) thông qua bộ định tuyến uniswap V2 vào ETH và gửi đến địa chỉ _manualSwap được khai báo tại địa chỉ thuế.
Địa chỉ lưu trữ chứa địa chỉ _manualSwap là 0x 0. Sau khi truy vấn bằng lệnh getStorageAt của json-rpc, chúng tôi thấy rằng địa chỉ tương ứng với _manualSwap chính xác là người triển khai hợp đồng thuế (0x 77 fb): kẻ tấn công ② (0x 9 DF 4).
Tham số đầu vào xt của giao dịch RugPull này là 420, 690, 000, 000, 000, 000, 000, 000, tương ứng với 420, 690, 000, 000, 000 (khoảng 420 nghìn tỷ) MUMI token (số thập phân MUMI token là 9) .
Nói cách khác, cuối cùng, dự án đã sử dụng 420, 690, 000, 000, 000 (khoảng 420 nghìn tỷ đồng) MUMI để rút WETH trong nhóm thanh khoản và hoàn thành toàn bộ vụ lừa đảo rút lui.
Tuy nhiên, có một câu hỏi quan trọng ở đây, đó là hợp đồng thuế (0x 77 fb) lấy từ đâu mà có nhiều token MUMI đến vậy?
Từ nội dung trước, chúng tôi biết rằng tổng nguồn cung cấp mã thông báo MUMI tại thời điểm triển khai hợp đồng mã thông báo là 420.690.000 (khoảng 420 triệu) và sau khi vụ lừa đảo thoát kết thúc, chúng tôi truy vấn hợp đồng mã thông báo MUMI Tổng cung vẫn là 420,690,000 (thể hiện là 420,690,000,000,000,000 ở hình bên dưới, bạn cần trừ đi số 0 tương ứng với số thập phân, số thập phân là 9), hợp đồng thuế ( 0x 77 fb) vượt xa tổng nguồn cung cấp mã thông báo (420, 690, 000, 000, 000, khoảng 420 nghìn tỷ) như thể chúng xuất hiện từ không khí. Bạn phải biết rằng, như đã đề cập ở trên, 0x 77 fb là một loại thuế địa chỉ thậm chí Các khoản phí được tạo trong quá trình chuyển mã thông báo MUMI không được sử dụng để nhận thuế và thuế sẽ được nhận bởi hợp đồng mã thông báo.
Kỹ thuật được tiết lộ
Hợp đồng thuế có từ đâu?
Để khám phá nguồn gốc mã thông báo của hợp đồng thuế (0x 7 ffb), chúng tôi đã xem xét lịch sử sự kiện chuyển nhượng ERC 20 của nó.
Người ta thấy rằng trong số tất cả 6 sự kiện chuyển nhượng liên quan đến 0x 77 fb, chỉ có sự kiện chuyển nhượng từ hợp đồng thuế (0x 7 ffb) và không có sự kiện chuyển nhượng nào của bất kỳ mã thông báo MUMI nào. 7 ffb) ) mã thông báo thực sự xuất hiện đột ngột.
Vì vậy, các mã thông báo MUMI khổng lồ xuất hiện bất ngờ trong địa chỉ hợp đồng thuế (0x 7 ffb) có hai đặc điểm:
1. Không ảnh hưởng đến tổng nguồn cung của hợp đồng MUMI
2. Việc tăng token không kích hoạt sự kiện Chuyển khoản
Vậy thì ý tưởng rất rõ ràng, đó là phải có một cửa hậu trong hợp đồng mã thông báo MUMI, cửa hậu này trực tiếp sửa đổi biến số dư và khi sửa đổi balabce, nó không sửa đổi tổng nguồn cung, cũng không kích hoạt sự kiện Chuyển tiền.
Nói cách khác, đây là cách triển khai mã thông báo ERC 20 không chuẩn hoặc độc hại và người dùng không thể phát hiện ra rằng phía dự án đang bí mật đúc mã thông báo từ những thay đổi trong tổng nguồn cung và sự kiện.
Bước tiếp theo là xác minh ý tưởng trên, chúng tôi trực tiếp tìm kiếm từ khóa cân bằng trong mã nguồn hợp đồng mã thông báo MUMI.
Kết quả là, chúng tôi thấy rằng có một hàm swapTokensForEth loại riêng tư trong hợp đồng và tham số đầu vào là tokenAmount thuộc loại uint 256. Trong dòng thứ 5 của hàm, bên dự án trực tiếp thay đổi _taxWallet, đây là thuế hợp đồng (0x 7 ffb) Số dư MUMI được sửa đổi thành tokenAmount * 10**_decimals, tức là 1.000.000.000 (khoảng 1 tỷ) lần tokenAmount, sau đó số lượng tokenAmount của MUMI được chuyển đổi thành ETH từ nhóm thanh khoản và được lưu trữ trong hợp đồng mã thông báo (0x 4894).
Sau đó tìm kiếm từ khóa swapTokenForEth.
Hàm swapTokenForEth được gọi trong hàm _transfer. Nếu xem xét kỹ các điều kiện gọi, bạn sẽ thấy:
1. Khi địa chỉ nhận chuyển khoản là nhóm thanh khoản MUMI-WETH.
2. Khi các địa chỉ khác mua mã thông báo MUMI trong nhóm thanh khoản nhiều hơn _preventSwapBefore (5 lần), chức năng swapTokenForEth sẽ được gọi
3. TokenAmount đến là giá trị nhỏ hơn giữa số dư mã thông báo MUMI thuộc sở hữu của địa chỉ mã thông báo và _maxTaxSwap
Điều đó có nghĩa là, khi hợp đồng phát hiện ra rằng người dùng đã trao đổi WETH lấy mã thông báo MUMI trong nhóm hơn 5 lần, nó sẽ bí mật đúc một lượng lớn mã thông báo cho địa chỉ thuế và chuyển đổi một phần mã thông báo thành ETH và lưu trữ chúng trong hợp đồng mã thông báo.
Một mặt, bên dự án có vẻ thu thuế và tự động đổi lấy một lượng nhỏ ETH thường xuyên rồi đưa vào hợp đồng token, điều này được hiển thị cho người dùng và khiến mọi người nghĩ rằng đây là nguồn lợi nhuận của bên dự án.
Mặt khác, điều mà nhóm dự án thực sự đang làm là trực tiếp sửa đổi số dư tài khoản và tiêu hao toàn bộ nhóm thanh khoản sau khi số lượng giao dịch của người dùng đạt tới 5 lần.
Làm thế nào để kiếm lợi nhuận
Sau khi thực hiện chức năng swapTokenForEth, chức năng _transfer cũng sẽ thực thi sendETTHoFee để gửi ETH thu được từ việc thu thuế trong địa chỉ mã thông báo đến hợp đồng thuế (0x 77 fb).
ETH trong hợp đồng thuế (0x 77 fb) có thể được lấy ra bằng chức năng cứu hộ được triển khai trong hợp đồng của nó.
Bây giờ hãy nhìn lại hồ sơ đổi thưởng của giao dịch có lãi cuối cùng trong toàn bộ vụ lừa đảo thoát.
Tổng cộng có hai sàn giao dịch đã được thực hiện trong giao dịch có lợi nhuận. Sàn giao dịch đầu tiên là 4.164.831 (khoảng 4,16 triệu) mã thông báo MUMI với giá 0,349 ETH và sàn giao dịch thứ hai là 416, 483, 100, 000, 000 (khoảng 4,16 triệu) tỷ) MUMI mã thông báo với giá 9,368 ETH. Trao đổi thứ hai là trao đổi được bắt đầu trong chức năng swapExactETHForTokens trong hợp đồng thuế (0x 7 ffb). Con số này giống với mã thông báo 420, 690, 000, 000, 000 (khoảng 420 nghìn tỷ) được biểu thị bằng các tham số đầu vào Lý do cho sự khác biệt là do một số mã thông báo được gửi đến hợp đồng mã thông báo (0x 4894) dưới dạng thuế, như trong hình bên dưới:
Trao đổi đầu tiên tương ứng với quy trình trao đổi thứ hai. Khi mã thông báo được gửi từ hợp đồng thuế (0x 7 ffb) đến hợp đồng bộ định tuyến, điều kiện kích hoạt của chức năng cửa sau trong hợp đồng mã thông báo được đáp ứng, khiến Trao đổi do Chức năng swapTokensForEth không phải là một thao tác quan trọng.
Lưỡi hái đằng sau
Như có thể thấy ở trên, toàn bộ chu trình thoát lừa đảo từ khi triển khai, đến tạo nhóm thanh khoản, đến Rug Pull của mã thông báo MUMI chỉ mất khoảng 3 giờ, nhưng với chi phí thấp hơn khoảng 6,5 ETH (3 ETH để thêm thanh khoản, 3 ETH đã được sử dụng để trao đổi MUMI từ nhóm thanh khoản để cảm ứng và dưới 0,5 ETH được sử dụng để triển khai hợp đồng và bắt đầu giao dịch) và thu được 9,7 ETH, với lợi nhuận hơn 50%.
Có 5 giao dịch trong đó kẻ tấn công đã đổi ETH lấy MUMI, thông tin giao dịch như sau:
https://etherscan.io/tx/0x62a59ba219e9b2b6ac14a1c35cb99a5683538379235a68b3a607182d7c814817
https://etherscan.io/tx/0x0c9af78f983aba6fef85bf2ecccd6cd68a5a5d4e5ef3a4b1e94fb10898fa597e
https://etherscan.io/tx/0xc0a048e993409d0d68450db6ff3fdc1f13474314c49b734bac3f1b3e0ef39525
https://etherscan.io/tx/0x9874c19cedafec351939a570ef392140c46a7f7da89b8d125cabc14dc54e7306
https://etherscan.io/tx/0x9ee3928dc782e54eb99f907fcdddc9fe6232b969a080bc79caa53ca143736f75
Bằng cách phân tích các địa chỉ eoa hoạt động trong tính thanh khoản, chúng tôi nhận thấy rằng một phần đáng kể các địa chỉ là robot mới trên chuỗi. Kết hợp với đặc điểm của toàn bộ trò lừa đảo là ra vào nhanh chóng, chúng tôi có lý do để tin rằng mục tiêu của toàn bộ trò lừa đảo này là đúng mục tiêu. Đó là một loạt các robot mới và các tập lệnh mới đang hoạt động rất tích cực trên chuỗi.
Do đó, cho dù đó là thiết kế hợp đồng, triển khai hợp đồng và quy trình khóa thanh khoản của mã thông báo có vẻ không cần thiết nhưng phức tạp hay hành vi đáng ngờ của địa chỉ liên quan của kẻ tấn công đang tích cực trao đổi ETH lấy mã thông báo MUMI, có thể hiểu rằng kẻ tấn công đang cố gắng lừa dối Ngụy trang thông qua các thủ tục chống gian lận của nhiều loại robot mới trên chuỗi.
Bằng cách theo dõi dòng vốn, chúng tôi nhận thấy rằng tất cả số tiền thu được từ cuộc tấn công cuối cùng đã được gửi đến địa chỉ thanh toán quỹ địa chỉ (0x DF 1 a) theo địa chỉ tấn công ② (0x 9 dF 4).
Trên thực tế, nguồn tiền ban đầu và đích đến cuối cùng của tiền cho nhiều vụ lừa đảo rút vốn mà chúng tôi phát hiện gần đây đều trỏ đến địa chỉ này, vì vậy chúng tôi đã tiến hành phân tích và thống kê sơ bộ về các giao dịch tại địa chỉ này.
Cuối cùng, người ta phát hiện ra rằng địa chỉ này đã hoạt động khoảng 2 tháng trước, đã thực hiện hơn 7.000 giao dịch tính đến ngày hôm nay và đã tương tác với hơn 200 mã thông báo.
Chúng tôi đã phân tích khoảng 40 hồ sơ giao dịch mã thông báo và nhận thấy rằng trong nhóm thanh khoản tương ứng với hầu hết tất cả các mã thông báo mà chúng tôi đã xem xét, cuối cùng sẽ có một giao dịch trao đổi với số tiền đầu vào lớn hơn nhiều so với tổng nguồn cung cấp mã thông báo. ETH đầu vào đã cạn kiệt và toàn bộ thời gian thoát lừa đảo sẽ ngắn hơn.
Các giao dịch triển khai của một số token (Mingyan China) như sau:https://etherscan.io/tx/0x324d7c133f079a2318c892ee49a2bcf1cbe9b20a2f5a1f36948641a902a83e17
https://etherscan.io/tx/0x 0 ca 86151 3d c 68 eaef 3017 e 7118 e 7538 d 999 f 9 b 4 a 53 e 1 b 477 f 1 f 1 ce 07 d 98 2d c 3 f
Vì vậy, chúng ta có thể kết luận rằng địa chỉ này thực chất là một máy gặt “exit lừa đảo” tự động quy mô lớn và mục tiêu thu hoạch là robot mới trên dây chuyền.
Địa chỉ này vẫn còn hoạt động.
viết ở cuối
Nếu mã thông báo không sửa đổi Tổng nguồn cung khi đúc và không kích hoạt sự kiện Chuyển khoản thì chúng tôi khó phát hiện liệu phía dự án có đang bí mật đúc mã thông báo hay không. Điều này cũng sẽ làm trầm trọng thêm vấn đề rằng mã thông báo có an toàn hay không phụ thuộc hoàn toàn vào phía dự án. Có ý thức hay không “hiện trạng”.
Do đó, chúng tôi có thể cần xem xét cải thiện cơ chế mã thông báo hiện có hoặc giới thiệu giải pháp phát hiện tổng số mã thông báo hiệu quả để đảm bảo tính công khai và minh bạch của các thay đổi về số lượng mã thông báo. Hiện tại, việc nắm bắt các thay đổi trạng thái mã thông báo bằng các sự kiện là chưa đủ.
Và điều chúng ta cần cảnh giác là tuy nhận thức chống lừa đảo của mọi người ngày càng được nâng cao nhưng các phương pháp chống lừa đảo của kẻ tấn công cũng ngày càng được cải thiện. Đây là một trò chơi không bao giờ kết thúc. Chúng ta cần không ngừng học hỏi và tư duy để có thể làm được điều này . Hãy tự bảo vệ mình trong trò chơi.
Các công cụ được sử dụng trong bài viết này
Xem thông tin giao dịch cơ bản:https://etherscan.io/
Dịch ngược hợp đồng:app.dedaub.com/decompilejson-rpc:
