欧易 强大的 Web3 聚合投资平台

了解 1500 万美金损失背后的 Rugpull 套路

作者：Ada

TenArmor和GoPlus拥有强大的Rugpull检测系统。近期，二者强强联合，针对近期Rugpull的严重情况，进行了深入的风险分析与案例研究，揭示了Rugpull攻击的最新手法和趋势，并为用户提供了有效的安全防护建议。

Rugpull事件统计数据

TenArmor的检测系统每天都会检测到大量的Rugpull事件。回看过去一个月的数据，Rugpull事件成上升趋势，尤其是11月14日，当天Rugpull事件竟高达31起。我们认为有必要向社区揭露这一现象。

这些Rugpull事件的损失金额多数落在0-100K区间范围内，累计损失达15M。

Web3领域中最为典型的Rugpull类型是貔貅盘。GoPlus的Token安全检测工具能够检测出token是否为貔貅盘。在过去的一个月中，GoPlus共检测出5688个貔貅盘。更多安全相关的数据可访问GoPlus在DUNE中的数据仪表盘。

TL;DR

我们根据当下Rugpull事件的特点，总结防范要点如下。

1.不要盲目跟风，在购买热门币种时，要查看币的地址是否是真正的地址。防止买到假冒的币种，落入诈骗陷阱。

2.打新时，要做好尽职调查，看前期流量是否来自合约部署者的关联地址，如果是，则意味着这可能是一起诈骗陷阱，尽可能避开。

3.查看合约的源码，尤其警惕transfer/transferFrom函数的实现，看是否可以正常的买入和卖出。对于混淆的源码，则需要避开。

4.投资时，查看Holder的分布情况，如果存在资金明显集中的情况，则尽可能避开。

5.查看合约发布者的资金来源，尽可能往前追溯10跳，查看合约发布者的资金来源是否来自可疑的交易所。

6.关注TenArmor发布的预警信息，及时止损。TenArmor针对此类ScamToken具备提前检测的能力，关注TenArmor的X账号以获取及时的预警。

7.TenTrace系统目前已经积累了多个平台的Scam/Phishing/Exploit的地址库信息，能够有效识别到黑地址资金的流入流出。TenArmor致力于改进社区的安全环境，欢迎有需求的伙伴洽谈合作。

RugPull事件特点

通过对大量Rugpull事件进行分析，我们发现近期的Rugpull有以下特点。

冒充当下知名币

从11月1日起，TenArmor检测系统检测到5起冒充PNUTtoken的Rugpull事件。根据这篇推文的梳理，PNUT在11月1日开始运营，并在7天内暴涨161倍，成功吸引到投资者的眼球。PNUT运营并暴涨的时间点和诈骗者开始冒充PNUT的时间点非常一致。诈骗者选择冒充PNUT能吸引到更多不明真相的人上钩。

冒充PNUT的Rugpull事件共计诈骗金额103.1K。TenArmor在此提醒用户，不要盲目跟风，在购买热门币种时，要查看币的地址是否是真正的地址。

针对打新机器人

新币或新项目的发行通常会引发市场的极大关注。新币首次发行时，价格波动较大，甚至前一秒和后一秒的价格都会相去甚远，追求交易速度成为获利的关键目标。交易机器人无论是速度还是反应能力都远超人工交易者，所以打新机器人在当下十分受追捧。

然而，诈骗者也敏锐的察觉到了大量打新机器人的存在，于是布下陷阱，等打新机器人上钩。例如0xC757349c0787F087b4a2565Cd49318af2DE0d0d7这个地址自2024年10月份以来，发起了200多起诈骗事件，每个事件从部署陷阱合约到Rugpull都是在几小时内结束。

以此地址发起的最近的一起诈骗事件为例，诈骗者先利用0xCd93创建FLIGHT代币，然后创建FLIGHT/ETH交易对。

交易对被创建之后，立即有大量BananaGun打新机器人涌入小额兑换代币。分析之后不难发现这些打新机器人都是诈骗者控制的，目的是为了营造流量。

大概50多笔小额交易，流量营造起来之后，吸引到了真正的投资者。这些投资者多数也使用了BananaGun打新机器人进行交易。

交易持续了一段时间之后，诈骗者部署了用于Rugpull的合约，可以看到此合约的资金来自地址0xC757。部署合约后，仅过了1小时42分钟即Rugpull，一次性抽空了流动性池，获利27ETH。

分析这个诈骗者的手法不难发现，诈骗者先通过小额兑换制造流量，吸引打新机器人上钩，然后再部署Rug的合约，待收益达到预期后就Rug。TenArmor认为，尽管打新机器人可以方便且快速的购买新币，抢得先机，但是也需要考虑诈骗者的存在。打新时，要做好尽职调查，看前期流量是否来自合约部署者的关联地址，如果是，则绕过。

源码暗藏玄机

交易收税

下图是FLIGHT的转账函数实现代码。可以明显的看到这个转账实现和标准实现存在巨大差异。每次转账都要根据当前的条件，来决定要不要收税。这个交易税使得买入和卖出都受到限制，这大概率是诈骗的币种。

像这种情况，用户只需要检查token的源码，即可发现端倪，避免掉入陷阱。

代码混淆

在TenArmor最新和重大RugPull事件回顾：投资者和用户应如何应对文章中提到，有的诈骗者为了不让用户看懂TA的意图，故意混淆源码，使其可读性变差。遇到这种情况，立即避开。

明目张胆的rugApproved

TenArmor检测到的众多Rugpull事件中，不乏明目张胆者。例如，此交易就是直接表明了意图。

从诈骗者部署用于Rugpull的合约，到真正Rugpull通常会有一个时间窗口。例如这个案例中的时间窗口接近3小时。对于这种类型的诈骗的预防，可以关注TenArmor的X账号，我们会及时发送此类风险合约的部署消息，提醒广大用户及时撤资。

除此之外，rescueEth/recoverStuckETH也是常用的Rugpull接口。当然，有这个接口不代表真的是Rugpull，还需要结合其他的特征来识别。

Holder集中

TenArmor近期检测到的Rugpull事件中，Holder的分布也非常有特点。我们随机选取了3个Rugpull事件涉及的token的holder分布。其情况如下。

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

这3个案例中，不难发现UniswapV2pair是最大的holder，在持币数量上占绝对优势。TenArmor提醒用户，如果发现一个币种的Holder集中在某一个地址，例如UniswapV2pair中，那么这个币种需要谨慎交易。

资金来源

我们从TenArmor检测到的Rugpull事件中，随机挑选了3个来分析资金来源。

案例1

tx:0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291

往前追踪6跳发现FixedFloat的资金流入。

FixedFloat是一家无需用户注册或KYC验证的自动化加密货币交易所。诈骗者选择从FixedFloat引入资金可以隐藏身份。

案例2

tx:0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725

往前追踪5跳发现MEXC1的资金流入。

2024年3月15日，香港证监会发布了关于平台MEXC的告诫，文章提到MEXC向香港投资者积极推广其服务，但它没有获取证监会发牌或向证监会申请牌照。证监会已于2024年3月15日将MEXC及其网站列入可疑虚拟资产交易平台警示名单

案例3

tx:0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

往前5跳发现Disperse.app的资金流入。

Disperse.app用于把ETH分散发给不同的合约地址(distributeetherortokenstomultipleaddresses)。

分析交易发现此次Disperse.app的调用者是0x511E04C8f3F88541d0D7DFB662d71790A419a039，往前2跳又发现Disperse.app的资金流入。

分析交易发现此次Disperse.app的调用者是0x97e8B942e91275E0f9a841962865cE0B889F83ac，往前2跳发现MEXC1的资金流入。

分析以上3个案例，诈骗者选取了无KYC和无牌照的交易所入金。TenArmor提醒用户，在投资新币时，要查看合约部署者的资金来源是否来自可疑的交易所。

预防措施

基于TenArmor和GoPlus的数据集合，本文对Rugpull的技术特征进行了全面梳理，并展示了代表性的案例。针对以上Rugpull特点，我们总结相应的预防措施如下。

1.不要盲目跟风，在购买热门币种时，要查看币的地址是否是真正的地址。防止买到假冒的币种，落入诈骗陷阱。

2.打新时，要做好尽职调查，看前期流量是否来自合约部署者的关联地址，如果是，则意味着这可能是一起诈骗陷阱，尽可能避开。

3.查看合约的源码，尤其警惕transfer/transferFrom函数的实现，看是否可以正常的买入和卖出。对于混淆的源码，则需要避开。

4.投资时，查看Holder的分布情况，如果存在资金明显集中的情况，则尽可能避免选择该币种。

5.查看合约发布者的资金来源，尽可能往前追溯10跳，查看合约发布者的资金来源是否来自可疑的交易所。

6.关注TenArmor发布的预警信息，及时止损。TenArmor针对此类ScamToken具备提前检测的能力，关注TenArmor的X账号以获取及时的预警。

这些Rugpull事件涉及的恶意地址都会实时进入到TenTrace系统中。TenTrace系统是TenArmor自主研发的反洗钱系统(AML)，适用于反洗钱，反诈骗，攻击者身份追踪等多重场景。TenTrace系统目前已经积累了多个平台的Scam/Phishing/Exploit的地址库信息，能够有效识别到黑地址的资金流入，并且能够准确的监控黑地址的资金流出。TenArmor致力于改进社区的安全环境，欢迎有需求的伙伴洽谈合作。

关于TenArmor

TenArmor是您在Web3世界中的第一道防线。我们提供先进的安全解决方案，专注于解决区块链技术带来的独特挑战。通过我们的创新产品ArgusAlert和VulcanShield,我们确保对潜在威胁的实时保护和快速响应。我们的专家团队精通从智能合约审计到加密货币追踪的一切，成为任何希望在去中心化领域保护其数字资产的组织的首选合作伙伴。

关注我们@TenArmorAlert,及时获取我们最新的Web3安全预警。

欢迎联系我们:

X:@TenArmor

Mail:[email protected]

Telegram:TenArmorTeam

Medium:TenArmor

关于GoPlus

GoPlus作为首个链上安全防护网络，旨在为每一位用户提供最易操作、全方位的链上安全保障，来确保用户的每一笔交易及资产安全。

安全服务架构上主要分为直接面向C端用户的GoPlusAPP（网页端与浏览器插件产品）与间接服务C端用户（通过B端集成或接入）的GoPlusIntelligence，已覆盖最广泛的Web3用户群体和各类交易场景，致力于构建一个开放、用户驱动的链上安全防护网络：

一方面任何项目都可以自行通过接入GoPlus来为用户提供链上安全防护，另一方面GoPlus也允许开发者充分利用自身优势，将创新安全产品部署至GoPlus安全市场，用户可自主选择和配置便捷、个性化的安全服务，从而构建开发者与用户协作的开放去中心化安全生态。

目前GoPlus已成为Web3Builder们首选的安全合作伙伴，其链上安全服务被TrustWallet、CoinMarketCap、OKX、Bybit、DexScreener、SushiSwap等广泛采用与集成，平均日均调用超3400万次，累计被调用逾40亿次，覆盖90%以上用户链上交易，其开放安全应用平台也已服务超过1200万链上用户。

我们的社区：

X:@GoPlusSecurity

Discord:GoPlusSecurity

Medium:GoPlusSecurity