了解 1500 万美金损失背后的 Rugpull 套路

作者：Ada

TenArmor 和 GoPlus 拥有强大的 Rugpull 检测系统。近期，二者强强联合，针对近期 Rugpull 的严重情况，进行了深入的风险分析与案例研究，揭示了 Rugpull 攻击的最新手法和趋势，并为用户提供了有效的安全防护建议。

Rugpull 事件统计数据

TenArmor 的检测系统每天都会检测到大量的 Rugpull 事件。回看过去一个月的数据，Rugpull 事件成上升趋势，尤其是 11 月 14 日，当天 Rugpull 事件竟高达 31 起。我们认为有必要向社区揭露这一现象。

这些Rugpull 事件的损失金额多数落在 0 - 100K 区间范围内，累计损失达 15M。

Web3 领域中最为典型的 Rugpull 类型是貔貅盘。GoPlus 的 Token 安全检测工具能够检测出 token 是否为貔貅盘。在过去的一个月中，GoPlus 共检测出 5688 个貔貅盘。更多安全相关的数据可访问 GoPlus 在 DUNE 中的数据仪表盘。

TL;DR

我们根据当下Rugpull 事件的特点，总结防范要点如下。

1.不要盲目跟风，在购买热门币种时，要查看币的地址是否是真正的地址。防止买到假冒的币种，落入诈骗陷阱。

2.打新时，要做好尽职调查，看前期流量是否来自合约部署者的关联地址，如果是，则意味着这可能是一起诈骗陷阱，尽可能避开。

3.查看合约的源码，尤其警惕 transfer/transferFrom函数的实现，看是否可以正常的买入和卖出。对于混淆的源码，则需要避开。

4.投资时，查看 Holder 的分布情况，如果存在资金明显集中的情况，则尽可能避开。

5.查看合约发布者的资金来源，尽可能往前追溯 10 跳，查看合约发布者的资金来源是否来自可疑的交易所。

6.关注 TenArmor 发布的预警信息，及时止损。TenArmor 针对此类 Scam Token 具备提前检测的能力，关注 TenArmor 的 X账号以获取及时的预警。

7.TenTrace 系统目前已经积累了多个平台的 Scam/Phishing/Exploit的地址库信息，能够有效识别到黑地址资金的流入流出。TenArmor 致力于改进社区的安全环境，欢迎有需求的伙伴洽谈合作。

RugPull 事件特点

通过对大量Rugpull 事件进行分析，我们发现近期的 Rugpull 有以下特点。

冒充当下知名币

从11 月 1 日起，TenArmor 检测系统检测到 5 起冒充 PNUT token 的 Rugpull 事件。根据这篇推文的梳理，PNUT 在 11 月 1 日开始运营，并在 7 天内暴涨 161 倍，成功吸引到投资者的眼球。PNUT 运营并暴涨的时间点和诈骗者开始冒充 PNUT 的时间点非常一致。诈骗者选择冒充 PNUT 能吸引到更多不明真相的人上钩。

冒充PNUT 的 Rugpull 事件共计诈骗金额 103.1K。TenArmor 在此提醒用户，不要盲目跟风，在购买热门币种时，要查看币的地址是否是真正的地址。

针对打新机器人

新币或新项目的发行通常会引发市场的极大关注。新币首次发行时，价格波动较大，甚至前一秒和后一秒的价格都会相去甚远，追求交易速度成为获利的关键目标。交易机器人无论是速度还是反应能力都远超人工交易者，所以打新机器人在当下十分受追捧。

然而，诈骗者也敏锐的察觉到了大量打新机器人的存在，于是布下陷阱，等打新机器人上钩。例如0xC757349c0787F087b4a2565Cd49318af2DE0d0d7这个地址自2024 年 10 月份以来，发起了 200 多起诈骗事件，每个事件从部署陷阱合约到 Rugpull 都是在几小时内结束。

以此地址发起的最近的一起诈骗事件为例，诈骗者先利用0xCd93创建FLIGHT代币，然后创建FLIGHT/ETH交易对。

交易对被创建之后，立即有大量Banana Gun 打新机器人涌入小额兑换代币。分析之后不难发现这些打新机器人都是诈骗者控制的，目的是为了营造流量。

大概50 多笔小额交易，流量营造起来之后，吸引到了真正的投资者。这些投资者多数也使用了 Banana Gun 打新机器人进行交易。

交易持续了一段时间之后，诈骗者部署了用于Rugpull 的合约，可以看到此合约的资金来自地址 0xC757。部署合约后，仅过了1小时 42 分钟即 Rugpull，一次性抽空了流动性池，获利 27 ETH。

分析这个诈骗者的手法不难发现，诈骗者先通过小额兑换制造流量，吸引打新机器人上钩，然后再部署Rug 的合约，待收益达到预期后就 Rug。TenArmor 认为，尽管打新机器人可以方便且快速的购买新币，抢得先机，但是也需要考虑诈骗者的存在。打新时，要做好尽职调查，看前期流量是否来自合约部署者的关联地址，如果是，则绕过。

源码暗藏玄机

交易收税

下图是FLIGHT的转账函数实现代码。可以明显的看到这个转账实现和标准实现存在巨大差异。每次转账都要根据当前的条件，来决定要不要收税。这个交易税使得买入和卖出都受到限制，这大概率是诈骗的币种。

像这种情况，用户只需要检查token 的源码，即可发现端倪，避免掉入陷阱。

代码混淆

在TenArmor 最新和重大Rug Pull 事件回顾：投资者和用户应如何应对文章中提到，有的诈骗者为了不让用户看懂TA 的意图，故意混淆源码，使其可读性变差。遇到这种情况，立即避开。

明目张胆的rugApproved

TenArmor 检测到的众多 Rugpull 事件中，不乏明目张胆者。例如，此交易就是直接表明了意图。

从诈骗者部署用于Rugpull 的合约，到真正 Rugpull 通常会有一个时间窗口。例如这个案例中的时间窗口接近 3 小时。对于这种类型的诈骗的预防，可以关注 TenArmor 的 X 账号，我们会及时发送此类风险合约的部署消息，提醒广大用户及时撤资。

除此之外，rescueEth/recoverStuckETH也是常用的Rugpull 接口。当然，有这个接口不代表真的是 Rugpull，还需要结合其他的特征来识别。

Holder 集中

TenArmor 近期检测到的 Rugpull 事件中，Holder 的分布也非常有特点。我们随机选取了 3 个 Rugpull 事件涉及的 token 的 holder 分布。其情况如下。

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

这3 个案例中，不难发现 Uniswap V2 pair 是最大的 holder，在持币数量上占绝对优势。TenArmor 提醒用户，如果发现一个币种的 Holder 集中在某一个地址，例如 Uniswap V2 pair 中，那么这个币种需要谨慎交易。

资金来源

我们从TenArmor 检测到的 Rugpull 事件中，随机挑选了 3 个来分析资金来源。

案例1

tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291

往前追踪6 跳发现 FixedFloat的资金流入。

FixedFloat 是一家无需用户注册或KYC验证的自动化加密货币交易所。诈骗者选择从FixedFloat 引入资金可以隐藏身份。

案例2

tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725

往前追踪5 跳发现 MEXC 1的资金流入。

2024年3月15日，香港证监会发布了关于平台MEXC 的告诫，文章提到MEXC向香港 投资者积极推广其服务，但它没有获取证监会发牌或向证监会申请牌照。证监会已于 2024 年 3 月 15 日将 MEXC 及其网站列入可疑虚拟资产交易平台警示名单

案例3

tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

往前5 跳发现Disperse.app的资金流入。

Disperse.app 用于把 ETH 分散发给不同的合约地址(distribute ether or tokens to multiple addresses)。

分析交易发现此次Disperse.app 的调用者是 0x511E04C8f3F88541d0D7DFB662d71790A419a039，往前2 跳又发现 Disperse.app 的资金流入。

分析交易发现此次Disperse.app 的调用者是 0x97e8B942e91275E0f9a841962865cE0B889F83ac，往前2 跳发现 MEXC 1的资金流入。

分析以上3 个案例，诈骗者选取了无 KYC 和无牌照的交易所入金。TenArmor 提醒用户，在投资新币时，要查看合约部署者的资金来源是否来自可疑的交易所。

预防措施

基于TenArmor 和 GoPlus 的数据集合，本文对 Rugpull 的技术特征进行了全面梳理，并展示了代表性的案例。 针对以上 Rugpull 特点，我们总结相应的预防措施如下。

1.不要盲目跟风，在购买热门币种时，要查看币的地址是否是真正的地址。防止买到假冒的币种，落入诈骗陷阱。

2.打新时，要做好尽职调查，看前期流量是否来自合约部署者的关联地址，如果是，则意味着这可能是一起诈骗陷阱，尽可能避开。

3.查看合约的源码，尤其警惕 transfer/transferFrom函数的实现，看是否可以正常的买入和卖出。对于混淆的源码，则需要避开。

4.投资时，查看 Holder 的分布情况，如果存在资金明显集中的情况，则尽可能避免选择该币种。

5.查看合约发布者的资金来源，尽可能往前追溯 10 跳，查看合约发布者的资金来源是否来自可疑的交易所。

6.关注 TenArmor 发布的预警信息，及时止损。TenArmor 针对此类 Scam Token 具备提前检测的能力，关注 TenArmor 的 X 账号以获取及时的预警。

这些Rugpull 事件涉及的恶意地址都会实时进入到 TenTrace 系统中。TenTrace 系统是 TenArmor 自主研发的反洗钱系统(AML)，适用于反洗钱，反诈骗，攻击者身份追踪等多重场景。TenTrace 系统目前已经积累了多个平台的 Scam/Phishing/Exploit的地址库信息，能够有效识别到黑地址的资金流入，并且能够准确的监控黑地址的资金流出。TenArmor 致力于改进社区的安全环境，欢迎有需求的伙伴洽谈合作。

关于TenArmor

TenArmor 是您在 Web3 世界中的第一道防线。我们提供先进的安全解决方案，专注于解决区块链技术带来的独特挑战。通过我们的创新产品 ArgusAlert 和 VulcanShield, 我们确保对潜在威胁的实时保护和快速响应。我们的专家团队精通从智能合约审计到加密货币追踪的一切，成为任何希望在去中心化领域保护其数字资产的组织的首选合作伙伴。

关注我们@TenArmorAlert, 及时获取我们最新的 Web3 安全预警。

欢迎联系我们:

X: @TenArmor

Mail: team@tenarmor.com

Telegram: TenArmorTeam

Medium: TenArmor

关于GoPlus

GoPlus 作为首个链上安全防护网络，旨在为每一位用户提供最易操作、全方位的链上安全保障，来确保用户的每一笔交易及资产安全。

安全服务架构上主要分为直接面向C 端用户的 GoPlus APP（网页端与浏览器插件产品）与间接服务 C 端用户（通过 B 端集成或接入）的 GoPlus Intelligence，已覆盖最广泛的 Web3 用户群体和各类交易场景，致力于构建一个开放、用户驱动的链上安全防护网络：

一方面任何项目都可以自行通过接入GoPlus 来为用户提供链上安全防护，另一方面 GoPlus 也允许开发者充分利用自身优势，将创新安全产品部署至 GoPlus 安全市场，用户可自主选择和配置便捷、个性化的安全服务，从而构建开发者与用户协作的开放去中心化安全生态。

目前GoPlus 已成为 Web3 Builder 们首选的安全合作伙伴，其链上安全服务被 Trust Wallet、CoinMarketCap、OKX、Bybit、DexScreener、SushiSwap 等广泛采用与集成，平均日均调用超 3400 万次，累计被调用逾 40 亿次，覆盖 90% 以上用户链上交易，其开放安全应用平台也已服务超过 1200 万链上用户。

我们的社区：

X: @GoPlusSecurity

Discord: GoPlusSecurity

Medium: GoPlusSecurity