SharkTeam：Rugpull工廠黑色產業鏈分析

2023-09-08 00:09:25

近期發生了多起 Rug Pull 事件， SharkTeam 安全研究團隊對這些事件進行了詳細分析。在分析過程中，我們發現 BNB Chain 上的 Rugpull 工廠合約在過去一個月內已經發起了 70 多次 Rugpull。接下來，我們將從資金溯源、欺詐行為模式等方面進行分析。

鑑於篇幅所限，我們將主要分析 SEI、X、TIP 和 Blue 幾個代幣事件。這些代幣都是由代幣工廠合約0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696進行 createToken 操作創建的。

在 createToken 函數中，創建代幣時需要傳入以下參數：代幣名稱、代幣符號、精度、供應量、代幣所有者地址、創建代幣對的工廠合約地址以及 BUSD-T 穩定幣地址。其中，創建代幣對的工廠合約使用了 PancakeSwap 的工廠合約，並且每個代幣都有不同的所有者地址。

一、資金溯源

SEI、X、TIP 和 Blue 代幣的所有者地址、符號和合約地址如下圖所示。其中，X、TIP 和 Blue 的所有者地址為：

0x44A028Dae3680697795A8d50960c8C155cBc0D74。

0x 44 A 028 Da 的資金來自0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3，地址0x 0 a 8310 ec 資金來自多個 EOA 账戶，並且有一個共同地址

0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3。

以下是代幣工廠合約 0x DC 4397 ffb 9 F 2C 9119 ED 9 c 32 E 42 E 3588 bbD 377696 的相關信息。該工廠合約由地址0x 1 dE 949 eac 4 b 5 fc 1 B 814 E 733 C D5 6 AE 65 DfF 1 bcEEF 創建。地址 0x1dE949ea 的資金來自多個账戶，其中共有一個資金來源地址為0x 072 e 9 A 13791 f 3 a 45 fc 6 eB 6 AD 38 e 6 ea 258 C 080 cc 3 。

地址0x 072 e 9 A 13 的資金來源如下：地址0x 1 dE 949 ea 存在部分資金交互。其他地址也創建了工廠代幣合約，並且是一些代幣的 Rug Puller。

例如，0x 04067 B 4 fcC 9 f 3d 99 aC 5211 cfE 8 d 3 e 8687 B 0401 d 3 的資金來自於 0x 6 ae 8 F 98830894518 c 939 B 0 D 0 A 5 EF 11 c 671 e 9 DFCa。而 0x6ae8F988 創建了工廠合約 0x e 83 EbBb 4 acc 3d 8 B 237923 Ee 33 3D 04 B 887 ca 1 a 008 。該工廠合約也進行了相同的代幣創建行為：

我們選擇其中一個代幣進行分析，發現該代幣存在 Rug Pull 行為。

0x6ae8F988 的資金部分來自於 0xa6764FBbbFD89AEeBac25FCbB69d3E9438395e57 ，該地址的資金又是來自於 0xE5A5c50980176Cc32573c993D0b99a843D77BC6E 。地址 0xE5A5c509 的資金是由 Tornado Cash 地址提供，資金為 10 BNB。除了 Tornado 提供的資金外，還有一部分通過釣魚和代幣 Rug Pull 獲得的利潤。

此外，上述地址在接下來的 Rugpull 工廠欺詐行為模式中起着重要作用。

二、Rugpull 工廠欺詐行為模式

讓我們一起看看 SEI、X、TIP 和 Blue 幾個代幣的 Rugpull 工廠欺詐行為模式。

（1）SEI

首先，SEI 代幣所有者 0x 0 a 8310 eca 430 beb 13 a 8 d 1 b 42 a 03 b 3521326 e 4 a 58 以 1u 的價格兌換了 249 枚 SEI。

然後， 0x6f9963448071b88FB23Fd9971d24A87e5244451A進行了批量买入和賣出操作。在买入和賣出操作下，代幣的流動性明顯增加，價格也發生了上漲。

通過釣魚等方式宣傳，誘惑大量用戶購买，隨着流動性增加，代幣價格翻倍。

代幣的價格達到一定的數值時，代幣所有者進場 sell 操作進行 Rugpull。可以從下圖看出，進場收割時間段和價格都不同。

（2）X、TIP、Blue

首先 X、TIP 和 Blue 代幣所有者 0x44A028Dae3680697795A8d50960c8C155cBc0D74 用 1u 兌換了相應的代幣。然後，和 Sei 代幣一樣。0x 6 f 9963448071 b 88 FB 23 Fd 9971 d 24 A 87 e 5244451 A 批量的买入和賣出操作。在买入和賣出操作下，流動性明顯增加，價格上漲。

然後通過釣魚等一些途徑宣傳，誘惑大量的用戶進行購买，隨着流動性增加，代幣價格也翻倍。

和 SEI 一樣，代幣的價格達到一定的數值時，代幣所有者進場 sell 操作進行 Rugpull。可以從下圖看出，進場收割時間段和價格都不同。

SEI、X、TIP 和 Blue 幾個代幣的波動圖如下：

我們從資金溯源、行為模式中可以得知：

在資金溯源內容中，代幣工廠的創建者和代幣創建者的資金來自多個 EOA 账戶。不同账戶之間也有資金往來，其中一些通過釣魚地址轉移，一些通過之前進行代幣 Rugpull 行為獲取，還有一些通過 tornado cash 等混幣平臺獲得。採用多種方式進行資金轉移旨在構建復雜錯綜的資金網絡。不同地址還創建了多個代幣工廠合約，並大量生產代幣。。

在分析代幣 Rugpull 行為時，我們發現地址 0x6f9963448071b88FB23Fd9971d24A87e5244451A 是其中一個資金來源。操作代幣價格時，也採用了批量方式。地址 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 也充當了資金提供者的角色，向多個代幣持有者提供相應的資金。。

總而言之，這一系列行為背後有一個分工明確的Web3詐騙團夥，構成了一個黑色產業鏈，主要涉及熱點搜集、自動發幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節，多發生於 BNBChain。所發的 Rugpull 虛假代幣都與行業熱點事件緊密相關，具有較強的迷惑性和鼓動性。用戶需時刻提高警惕，保持理性，避免不必要的損失。

About Us

SharkTeam 的愿景是保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約底層理論。提供包括鏈上大數據分析、鏈上風險預警、智能合約審計、加密資產追討等服務，並打造了鏈上大數據分析和風險預警平臺 ChainAegis，平臺支持無限層級的深度圖分析，能有效對抗Web3世界的高級持續性盜竊(Advanced Persistent Theft，APT)風險。已與Web3生態各領域的關鍵參與者,如 Polkadot 、Moonbeam、polygon、 OKX 、 Huobi Global、 imToken 、 ChainIDE 等建立長期合作關系。