كشف فوضى نظام إيثرينوم لعملات: تحقيق عميق في حالات Rug Pull
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي يتم إصدارها كل يوم؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس بلا سبب. في الأشهر القليلة الماضية، تمكن فريق أمني من رصد عدد كبير من حالات عمليات السحب غير الشرعية. ومن الجدير بالذكر أن جميع العملات المعنية في هذه الحالات هي عملات جديدة تم إدخالها حديثاً إلى شبكة البلوكتشين.
بعد ذلك، قامت الفريق بإجراء تحقيقات متعمقة حول هذه الحالات من سحب البساط، واكتشفوا وجود عصابات منظمة وراءها، وملخصوا الخصائص النموذجية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات، اكتشفوا طريقة محتملة للترويج للاحتيال من قبل عصابات سحب البساط: مجموعات Telegram. تستخدم هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الأرباح من خلال سحب البساط.
قام الفريق بإحصاء معلومات دفع العملات من مجموعات Telegram خلال الفترة من نوفمبر 2023 إلى أوائل أغسطس 2024، ووجد أن هناك 93,930 نوعًا جديدًا من العملات المدفوعة، منها 46,526 نوعًا تتعلق بـRug Pull، مما يشكل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصاءات، كانت التكاليف الإجمالية التي استثمرتها العصابات وراء هذه العملات من نوع Rug Pull هي 149,813.72 ايثر، وقد حققوا أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد بلغ 188.7%، مما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعة Telegram في الشبكة الرئيسية لإثيريوم، قام الفريق بإحصاء بيانات العملات الجديدة التي تم إصدارها في الشبكة الرئيسية لإثيريوم خلال نفس الفترة. تشير البيانات إلى أنه خلال هذه الفترة تم إصدار ما مجموعه 100,260 عملة جديدة، منها العملات التي تم دفعها عبر مجموعة Telegram تمثل 89.99% من الشبكة الرئيسية. يتم إنشاء حوالي 370 عملة جديدة يوميًا، مما يتجاوز التوقعات المعقولة. بعد إجراء تحقيقات متعمقة، كانت الحقيقة مقلقة - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، مما يمثل 48.14%. بعبارة أخرى، كل عملتين جديدتين تقريبًا في الشبكة الرئيسية لإثيريوم تتعلقان بالاحتيال.
بالإضافة إلى ذلك، اكتشف الفريق المزيد من حالات السحب غير المشروع في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا العملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا، وليس فقط في شبكة إثيريوم الرئيسية. لذلك، كتب الفريق هذا التقرير البحثي على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء يقظين في مواجهة الفخاخ المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20 (Token)
قبل البدء رسمياً في هذا التقرير، دعونا نفهم بعض المفاهيم الأساسية.
رمز ERC-20 هو واحد من أكثر معايير الرموز شيوعًا على البلوكشين حاليًا، حيث يحدد مجموعة من المعايير التي تسمح للرموز بالتفاعل فيما بينها عبر عقود ذكية وتطبيقات لامركزية (dApp). تحدد معايير ERC-20 الوظائف الأساسية للرموز، مثل التحويل، الاستعلام عن الرصيد، وتفويض إدارة الرموز لطرف ثالث. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة الرموز بسهولة أكبر، مما يبسط عملية إنشاء واستخدام الرموز. في الواقع، يمكن لأي فرد أو منظمة إصدار رموز خاصة بهم بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريعهم المالية من خلال بيع الرموز مسبقًا. وبفضل الاستخدام الواسع لرموز ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
العملات المعروفة مثل USDT وPEPE وDOGE هي عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال بورصات غير مركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على ثغرات في الكود، وإدراجها في البورصات غير المركزية، ثم تحفيز المستخدمين على شرائها.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم حالة احتيال لعملة Rug Pull كحالة دراسية لفهم نماذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب أن نوضح أن Rug Pull تشير إلى سلوك احتيالي يقوم فيه فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر فادحة. بينما عملة Rug Pull هي عملة أصدرت خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملة Rug Pull المذكورة في هذه المقالة أحيانًا باسم "蜜罐(Honey Pot) عملة" أو "退出骗局(Exit Scam) عملة"، ولكن في النص أدناه، سنطلق عليها جميعًا اسم عملة Rug Pull.
حالة
المهاجم ( عصابة Rug Pull ) استخدم عنوان Deployer ( 0x4bAF ) لنشر عملة TOMMI، ثم استخدم 1.5 ETH و 100,000,000 TOMMI لإنشاء تجمع سيولة، وشراء عملة TOMMI بنشاط من خلال عناوين أخرى لتزوير حجم تداول تجمع السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يستخدم المهاجم عنوان Rug Puller ( 0x43a9) لتنفيذ Rug Pull، حيث يقوم Rug Puller بإغراق تجمع السيولة بـ 38,739,354 عملة TOMMI، مما ي交換 حوالي 3.95 ETH. مصدر عملات Rug Puller يأتي من تفويض الموافقة الخبيثة لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات الموافقة لتجمع السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من تجمع السيولة ثم تنفيذ Rug Pull.
تم إرسال أموال Rug Pull إلى عنوان الوساطة: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
عنوان التحويل سيرسل الأموال إلى عنوان الاحتفاظ بالأموال:0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
عملية سحب البساط
1. إعداد أموال الهجوم.
المهاجمون من خلال البورصات المركزية، يقومون بشحن 2.47309009ETH إلى Token Deployer(0x4bAF) كرأس مال لبدء عملية Rug Pull.
2. نشر عملة Rug Pull مع وجود ثغرة.
Deployer أنشأ TOMMI عملة ، وقام بتعدين مسبق 100,000,000 عملة وتوزيعها على نفسه.
3. إنشاء حوض السيولة الأولي.
قام المطور بإنشاء حوض سيولة باستخدام 1.5 ايثر وجميع العملات المعدنية المُعدة مسبقًا، وحصل على حوالي 0.387 من عملات LP.
4. تدمير جميع إمدادات العملة التي تم تعدينها مسبقًا.
تم إرسال جميع رموز LP بواسطة Token Deployer إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن Token Deployer فقدت نظريًا القدرة على Rug Pull في هذه المرحلة. ( وهذا أيضًا أحد الشروط الضرورية لجذب روبوتات الاستثمار الجديدة، حيث تقوم بعض روبوتات الاستثمار الجديدة بتقييم ما إذا كانت العملة الجديدة التي تم إدخالها في المسبح تعرضت لخطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاستثمار الجديدة ).
5. حجم المعاملات المزيفة.
المهاجمون يستخدمون عناوين متعددة للشراء بنشاط عملة TOMMI من بركة السيولة، مما يرفع حجم التداول في البركة، ويزيد من جذب روبوتات الدخول الجديدة (. الحكم على أن هذه العناوين مزيفة من قبل المهاجمين يستند إلى: أموال العناوين ذات الصلة تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull ).
المهاجم يشن هجوم Rug Pull من عنوان Rug Puller (0x43A9)، من خلال باب خلفي للعملة، يتم تحويل 38,739,354 عملة مباشرة من حوض السيولة، ثم يتم استخدام هذه العملات لتدمير الحوض، واستخراج حوالي 3.95 ايثر.
المهاجم قام بإرسال الأموال التي تم الحصول عليها من Rug Pull إلى عنوان وسيط 0xD921.
عنوان النقل 0xD921 أرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما يكتمل عملية سحب البساط، سيقوم ساحب البساط بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ بالأموال هو المكان الذي نراقب فيه تجميع الأموال من العديد من حالات سحب البساط، حيث سيقوم عنوان احتفاظ الأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب البساط، بينما سيتم سحب كمية صغيرة متبقية من الأموال عبر البورصات المركزية. لقد اكتشفنا العديد من عناوين الاحتفاظ بالأموال، و 0x2836 هو أحدها.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا أن يثبتوا للعالم أنهم غير قادرين على القيام بعملية سحب العملة عن طريق تدمير رموز LP، إلا أن المهاجمين تركوا في الواقع باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، هذا الباب الخلفي سيسمح عند إنشاء حوض السيولة بأن يمنح حوض السيولة عنوان ساحب العملة صلاحية الموافقة على تحويل العملات، مما يتيح لعنوان ساحب العملة سحب العملات مباشرة من حوض السيولة.
تتمثل الوظيفة الرئيسية لتنفيذ دالة openTrading في إنشاء حوض سيولة جديدة، لكن المهاجم قام باستدعاء دالة خلفية onInit داخل هذه الدالة، مما جعل uniswapV2Pair يمنح إذن نقل العملة بمقدار type(uint256) إلى عنوان _chefAddress. حيث أن uniswapV2Pair هو عنوان حوض السيولة، و _chefAddress هو عنوان Rug Puller، ويتم تحديد _chefAddress عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربع التالية:
يقوم المهاجم أولاً بالحصول على مصدر التمويل لعنوان المنشئ (Deployer) من خلال بورصة مركزية.
يقوم المطور بإنشاء بركة السيولة وحرق رموز LP: بعد إنشاء رمز Rug Pull، يقوم المطور على الفور بإنشاء بركة سيولة له وحرق رموز LP لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من عملة لتبادل ETH في pool السيولة: عنوان Rug Pull ( Rug Puller ) يستخدم كمية كبيرة من عملة ( عادة ما تكون الكمية أكبر بكثير من إجمالي إمدادات العملة ) لتبادل ETH في pool السيولة. في حالات أخرى، Rug Puller يمكنه أيضًا الحصول على ETH من pool عن طريق إزالة السيولة.
سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان احتفاظ الأموال: سيقوم Rug Puller بنقل ETH الذي حصل عليه إلى عنوان احتفاظ الأموال، وأحيانًا عن طريق عنوان وسيط كخطوة انتقالية.
توجد هذه الميزات بشكل شائع في الحالات التي قمنا بالتقاطها، مما يشير إلى أن سلوك سحب السجادة له نمط واضح.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
6
إعادة النشر
مشاركة
تعليق
0/400
SelfCustodyBro
· 08-14 07:00
الحمقى دائما يشمون رائحة الحمقى
شاهد النسخة الأصليةرد0
Lonely_Validator
· 08-11 11:01
لقد رأيت هذا، إنه قاسي جدًا.
شاهد النسخة الأصليةرد0
RektHunter
· 08-11 08:03
حمقى خداع الناس لتحقيق الربح لا تجعلها بسيطة جدا
شاهد النسخة الأصليةرد0
ApeShotFirst
· 08-11 08:00
خداع الناس لتحقيق الربح就完事儿了 谁叫咱贪呢
شاهد النسخة الأصليةرد0
MoneyBurner
· 08-11 08:00
踩坑 يعني تراكم الخبرة! ابدأ بتقصير السلسلة الجديدة!
إثيريوم الشبكة الرئيسية جديد عملة بيئة الحالة: قريب من 5% تتعلق بخداع Rug Pull
كشف فوضى نظام إيثرينوم لعملات: تحقيق عميق في حالات Rug Pull
مقدمة
في عالم Web3، تظهر عملات جديدة باستمرار. هل فكرت يومًا في عدد العملات الجديدة التي يتم إصدارها كل يوم؟ هل هذه العملات الجديدة آمنة؟
إن ظهور هذه التساؤلات ليس بلا سبب. في الأشهر القليلة الماضية، تمكن فريق أمني من رصد عدد كبير من حالات عمليات السحب غير الشرعية. ومن الجدير بالذكر أن جميع العملات المعنية في هذه الحالات هي عملات جديدة تم إدخالها حديثاً إلى شبكة البلوكتشين.
بعد ذلك، قامت الفريق بإجراء تحقيقات متعمقة حول هذه الحالات من سحب البساط، واكتشفوا وجود عصابات منظمة وراءها، وملخصوا الخصائص النموذجية لهذه الاحتيالات. من خلال تحليل أساليب هذه العصابات، اكتشفوا طريقة محتملة للترويج للاحتيال من قبل عصابات سحب البساط: مجموعات Telegram. تستخدم هذه العصابات وظيفة "New Token Tracer" في بعض المجموعات لجذب المستخدمين لشراء عملات احتيالية وفي النهاية تحقيق الأرباح من خلال سحب البساط.
قام الفريق بإحصاء معلومات دفع العملات من مجموعات Telegram خلال الفترة من نوفمبر 2023 إلى أوائل أغسطس 2024، ووجد أن هناك 93,930 نوعًا جديدًا من العملات المدفوعة، منها 46,526 نوعًا تتعلق بـRug Pull، مما يشكل نسبة عالية تصل إلى 49.53%. ووفقًا للإحصاءات، كانت التكاليف الإجمالية التي استثمرتها العصابات وراء هذه العملات من نوع Rug Pull هي 149,813.72 ايثر، وقد حققوا أرباحًا تصل إلى 282,699.96 ايثر بمعدل عائد بلغ 188.7%، مما يعادل حوالي 800 مليون دولار.
لتقييم نسبة العملات الجديدة التي تم دفعها عبر مجموعة Telegram في الشبكة الرئيسية لإثيريوم، قام الفريق بإحصاء بيانات العملات الجديدة التي تم إصدارها في الشبكة الرئيسية لإثيريوم خلال نفس الفترة. تشير البيانات إلى أنه خلال هذه الفترة تم إصدار ما مجموعه 100,260 عملة جديدة، منها العملات التي تم دفعها عبر مجموعة Telegram تمثل 89.99% من الشبكة الرئيسية. يتم إنشاء حوالي 370 عملة جديدة يوميًا، مما يتجاوز التوقعات المعقولة. بعد إجراء تحقيقات متعمقة، كانت الحقيقة مقلقة - حيث أن 48,265 عملة على الأقل متورطة في احتيال Rug Pull، مما يمثل 48.14%. بعبارة أخرى، كل عملتين جديدتين تقريبًا في الشبكة الرئيسية لإثيريوم تتعلقان بالاحتيال.
بالإضافة إلى ذلك، اكتشف الفريق المزيد من حالات السحب غير المشروع في شبكات بلوكتشين الأخرى. وهذا يعني أن الوضع الأمني لإيكولوجيا العملات الجديدة في Web3 أكثر خطورة مما كان متوقعًا، وليس فقط في شبكة إثيريوم الرئيسية. لذلك، كتب الفريق هذا التقرير البحثي على أمل أن يساعد جميع أعضاء Web3 على تعزيز الوعي الوقائي، والبقاء يقظين في مواجهة الفخاخ المتزايدة، واتخاذ التدابير الوقائية اللازمة في الوقت المناسب لحماية أصولهم.
رمز ERC-20 (Token)
قبل البدء رسمياً في هذا التقرير، دعونا نفهم بعض المفاهيم الأساسية.
رمز ERC-20 هو واحد من أكثر معايير الرموز شيوعًا على البلوكشين حاليًا، حيث يحدد مجموعة من المعايير التي تسمح للرموز بالتفاعل فيما بينها عبر عقود ذكية وتطبيقات لامركزية (dApp). تحدد معايير ERC-20 الوظائف الأساسية للرموز، مثل التحويل، الاستعلام عن الرصيد، وتفويض إدارة الرموز لطرف ثالث. بفضل هذه البروتوكولات الموحدة، يمكن للمطورين إصدار وإدارة الرموز بسهولة أكبر، مما يبسط عملية إنشاء واستخدام الرموز. في الواقع، يمكن لأي فرد أو منظمة إصدار رموز خاصة بهم بناءً على معيار ERC-20، وجمع التمويل الأولي لمشاريعهم المالية من خلال بيع الرموز مسبقًا. وبفضل الاستخدام الواسع لرموز ERC-20، أصبحت أساسًا للعديد من مشاريع ICO والتمويل اللامركزي.
العملات المعروفة مثل USDT وPEPE وDOGE هي عملات ERC-20، ويمكن للمستخدمين شراء هذه العملات من خلال بورصات غير مركزية. ومع ذلك، قد تقوم بعض عصابات الاحتيال بإصدار عملات ERC-20 خبيثة تحتوي على ثغرات في الكود، وإدراجها في البورصات غير المركزية، ثم تحفيز المستخدمين على شرائها.
حالات الاحتيال النموذجية لعملة Rug Pull
هنا، نستخدم حالة احتيال لعملة Rug Pull كحالة دراسية لفهم نماذج تشغيل الاحتيال بالعملات الخبيثة. أولاً، يجب أن نوضح أن Rug Pull تشير إلى سلوك احتيالي يقوم فيه فريق المشروع في مشروع التمويل اللامركزي بسحب الأموال فجأة أو التخلي عن المشروع، مما يؤدي إلى تكبد المستثمرين خسائر فادحة. بينما عملة Rug Pull هي عملة أصدرت خصيصًا لتنفيذ هذا النوع من الاحتيال.
تُعرف عملة Rug Pull المذكورة في هذه المقالة أحيانًا باسم "蜜罐(Honey Pot) عملة" أو "退出骗局(Exit Scam) عملة"، ولكن في النص أدناه، سنطلق عليها جميعًا اسم عملة Rug Pull.
حالة
المهاجم ( عصابة Rug Pull ) استخدم عنوان Deployer ( 0x4bAF ) لنشر عملة TOMMI، ثم استخدم 1.5 ETH و 100,000,000 TOMMI لإنشاء تجمع سيولة، وشراء عملة TOMMI بنشاط من خلال عناوين أخرى لتزوير حجم تداول تجمع السيولة لجذب المستخدمين وروبوتات الشراء الجديدة على السلسلة لشراء عملة TOMMI. عندما يقع عدد معين من روبوتات الشراء الجديدة في الفخ، يستخدم المهاجم عنوان Rug Puller ( 0x43a9) لتنفيذ Rug Pull، حيث يقوم Rug Puller بإغراق تجمع السيولة بـ 38,739,354 عملة TOMMI، مما ي交換 حوالي 3.95 ETH. مصدر عملات Rug Puller يأتي من تفويض الموافقة الخبيثة لعقد عملة TOMMI، حيث يمنح عقد عملة TOMMI عند نشره صلاحيات الموافقة لتجمع السيولة لـ Rug Puller، مما يسمح لـ Rug Puller بسحب عملات TOMMI مباشرة من تجمع السيولة ثم تنفيذ Rug Pull.
عنوان ذي صلة
المعاملات ذات الصلة
عملية سحب البساط
1. إعداد أموال الهجوم.
المهاجمون من خلال البورصات المركزية، يقومون بشحن 2.47309009ETH إلى Token Deployer(0x4bAF) كرأس مال لبدء عملية Rug Pull.
2. نشر عملة Rug Pull مع وجود ثغرة.
Deployer أنشأ TOMMI عملة ، وقام بتعدين مسبق 100,000,000 عملة وتوزيعها على نفسه.
3. إنشاء حوض السيولة الأولي.
قام المطور بإنشاء حوض سيولة باستخدام 1.5 ايثر وجميع العملات المعدنية المُعدة مسبقًا، وحصل على حوالي 0.387 من عملات LP.
4. تدمير جميع إمدادات العملة التي تم تعدينها مسبقًا.
تم إرسال جميع رموز LP بواسطة Token Deployer إلى عنوان 0 للتدمير، وبما أن عقد TOMMI لا يحتوي على وظيفة Mint، فإن Token Deployer فقدت نظريًا القدرة على Rug Pull في هذه المرحلة. ( وهذا أيضًا أحد الشروط الضرورية لجذب روبوتات الاستثمار الجديدة، حيث تقوم بعض روبوتات الاستثمار الجديدة بتقييم ما إذا كانت العملة الجديدة التي تم إدخالها في المسبح تعرضت لخطر Rug Pull، كما قام Deployer أيضًا بتعيين مالك العقد إلى عنوان 0، كل ذلك لخداع برامج مكافحة الاحتيال الخاصة بروبوتات الاستثمار الجديدة ).
5. حجم المعاملات المزيفة.
المهاجمون يستخدمون عناوين متعددة للشراء بنشاط عملة TOMMI من بركة السيولة، مما يرفع حجم التداول في البركة، ويزيد من جذب روبوتات الدخول الجديدة (. الحكم على أن هذه العناوين مزيفة من قبل المهاجمين يستند إلى: أموال العناوين ذات الصلة تأتي من عناوين تحويل الأموال التاريخية لعصابة Rug Pull ).
المهاجم يشن هجوم Rug Pull من عنوان Rug Puller (0x43A9)، من خلال باب خلفي للعملة، يتم تحويل 38,739,354 عملة مباشرة من حوض السيولة، ثم يتم استخدام هذه العملات لتدمير الحوض، واستخراج حوالي 3.95 ايثر.
المهاجم قام بإرسال الأموال التي تم الحصول عليها من Rug Pull إلى عنوان وسيط 0xD921.
عنوان النقل 0xD921 أرسل الأموال إلى عنوان الاحتفاظ بالأموال 0x2836. من هنا يمكننا أن نرى أنه عندما يكتمل عملية سحب البساط، سيقوم ساحب البساط بإرسال الأموال إلى عنوان احتفاظ بالأموال معين. عنوان احتفاظ بالأموال هو المكان الذي نراقب فيه تجميع الأموال من العديد من حالات سحب البساط، حيث سيقوم عنوان احتفاظ الأموال بتقسيم معظم الأموال المستلمة لبدء جولة جديدة من سحب البساط، بينما سيتم سحب كمية صغيرة متبقية من الأموال عبر البورصات المركزية. لقد اكتشفنا العديد من عناوين الاحتفاظ بالأموال، و 0x2836 هو أحدها.
كود ثغرة سحب السجادة
على الرغم من أن المهاجمين حاولوا أن يثبتوا للعالم أنهم غير قادرين على القيام بعملية سحب العملة عن طريق تدمير رموز LP، إلا أن المهاجمين تركوا في الواقع باب خلفي خبيث في دالة openTrading لعقد عملة TOMMI، هذا الباب الخلفي سيسمح عند إنشاء حوض السيولة بأن يمنح حوض السيولة عنوان ساحب العملة صلاحية الموافقة على تحويل العملات، مما يتيح لعنوان ساحب العملة سحب العملات مباشرة من حوض السيولة.
تتمثل الوظيفة الرئيسية لتنفيذ دالة openTrading في إنشاء حوض سيولة جديدة، لكن المهاجم قام باستدعاء دالة خلفية onInit داخل هذه الدالة، مما جعل uniswapV2Pair يمنح إذن نقل العملة بمقدار type(uint256) إلى عنوان _chefAddress. حيث أن uniswapV2Pair هو عنوان حوض السيولة، و _chefAddress هو عنوان Rug Puller، ويتم تحديد _chefAddress عند نشر العقد.
نمط الجريمة
من خلال تحليل حالة TOMMI، يمكننا تلخيص الخصائص الأربع التالية:
يقوم المهاجم أولاً بالحصول على مصدر التمويل لعنوان المنشئ (Deployer) من خلال بورصة مركزية.
يقوم المطور بإنشاء بركة السيولة وحرق رموز LP: بعد إنشاء رمز Rug Pull، يقوم المطور على الفور بإنشاء بركة سيولة له وحرق رموز LP لزيادة مصداقية المشروع وجذب المزيد من المستثمرين.
Rug Puller يستخدم كمية كبيرة من عملة لتبادل ETH في pool السيولة: عنوان Rug Pull ( Rug Puller ) يستخدم كمية كبيرة من عملة ( عادة ما تكون الكمية أكبر بكثير من إجمالي إمدادات العملة ) لتبادل ETH في pool السيولة. في حالات أخرى، Rug Puller يمكنه أيضًا الحصول على ETH من pool عن طريق إزالة السيولة.
سيقوم Rug Puller بنقل ETH الذي تم الحصول عليه من Rug Pull إلى عنوان احتفاظ الأموال: سيقوم Rug Puller بنقل ETH الذي حصل عليه إلى عنوان احتفاظ الأموال، وأحيانًا عن طريق عنوان وسيط كخطوة انتقالية.
توجد هذه الميزات بشكل شائع في الحالات التي قمنا بالتقاطها، مما يشير إلى أن سلوك سحب السجادة له نمط واضح.