1500万ドルの損失背后にあるRugpullの手口を理解する
TechFlow厳選深潮セレクト
1500万ドルの損失背后にあるRugpullの手口を理解する
もう失敗しないでください。
Web3業界の深掘り報道に専念し潮流を洞察著者:Ada
TenArmorとGoPlusは、強力なRugpull検出システムを有しています。最近、両者は連携し、急増するRugpull事案に対してリスク分析およびケーススタディを実施しました。これにより、Rugpull攻撃の最新手法やトレンドが明らかになり、ユーザーに対する効果的なセキュリティ対策も提示されています。
Rugpull事件統計データ
TenArmorの検出システムは毎日多数のRugpull事件を検知しています。過去1か月のデータを振り返ると、Rugpull事件は増加傾向にあり、特に11月14日には1日で31件ものRugpull事件が発生しました。私たちは、この状況をコミュニティに知らせる必要があると考えています。
これらのRugpull事件による損失額の多くは0~100Kの範囲内に集中しており、累計損失額は1,500万ドルに達しています。
Web3分野における典型的なRugpullの一つが「ピーシュウ(貔貅)」です。GoPlusのTokenセキュリティ検出ツールは、トークンがピーシュウかどうかを判定できます。過去1か月間、GoPlusは合計5,688件のピーシュウを検出しました。その他のセキュリティ関連データについては、GoPlusがDUNE上に公開しているデータダッシュボードをご覧ください。
要約(TL;DR)
現在のRugpull事件の特徴に基づき、以下の予防ポイントをまとめました。
1. 流行中のコインを無批判に追わないこと。購入時には、コインアドレスが真正なものであるかを必ず確認してください。偽物コインを購入して詐欺に遭うリスクを避けてください。
2. 新規プロジェクトへの投資(打新)ではデュー・ディリジェンスを徹底し、初期取引量がコントラクト展開者の関連アドレス由来かどうかを確認してください。もしそうであれば、詐欺の可能性が高いので避けた方が良いでしょう。
3. コントラクトのソースコードを確認し、特にtransfer/transferFrom関数の実装に注意を払い、正常な売買が可能かどうかを確認してください。コードが難読化されている場合は、直ちに回避すること。
4. 投資判断時に保有者(Holder)の分布をチェックし、資金が極端に集中している場合は可能な限り回避すること。
5. コントラクト作成者の資金源を調査し、少なくとも10ホップ前まで遡って、その資金が疑わしい取引所から来ていないか確認すること。
6. TenArmorが発信する警告情報をフォローし、早期に損失を食い止めてください。TenArmorはこのようなScam Tokenを事前に検出できる能力を持っており、Xアカウントをフォローすることでリアルタイムの警告を受け取れます。
7. TenTraceシステムは複数プラットフォームにおけるScam/Phishing/Exploit関連アドレス情報を蓄積しており、悪意あるアドレスからの資金流入・流出を効果的に識別できます。TenArmorはコミュニティの安全性向上を目指しており、ご関心のあるパートナーの方々との協力を歓迎します。
RugPull 事件の特徴
多数のRugpull事件を分析した結果、最近のRugpullには以下のような特徴が見られます。
人気コインのなりすまし
11月1日以降、TenArmorの検出システムは「PNUT」トークンを騙るRugpull事件を5件検知しました。この投稿によると、PNUTは11月1日に運用を開始し、わずか7日間で価格が161倍に急騰し、多くの投資家の注目を集めました。この急騰時期と詐欺師がPNUTを模倣し始めた時期が一致しており、彼らは注目を集めるためにこの戦略を選んだと考えられます。
PNUTを騙るRugpull事件による総詐取額は103.1Kでした。TenArmorは、人気コインを買う際にはアドレスが真正かどうかを必ず確認するよう、ユーザーに呼びかけます。
打新ロボットを標的にした攻撃
新規コインやプロジェクトのリリースは市場の注目を集めやすく、価格変動も激しく、数秒の間に大きく値段が変わるため、高速取引が利益獲得の鍵となります。取引ロボットは人間よりも圧倒的に迅速かつ正確に反応できるため、「打新ロボット」は非常に人気があります。
しかし、詐欺師もこうした打新ロボットの存在に気づいており、罠を仕掛けて誘い込んでいます。例えば、アドレス0xC757349c0787F087b4a2565Cd49318af2DE0d0d7は2024年10月以降、200件以上の詐欺事件を起こしており、それぞれの事件はコントラクト展開からRugpull完了まで数時間以内に終了しています。
このアドレスによる最近の詐欺事件を例にすると、まず0xCd93を使ってFLIGHTというトークンを作成し、FLIGHT/ETHのペアを構築します。
ペアが作成されるとすぐに、多数のBanana Gun打新ロボットが少量のトークンを交換し始めます。しかし、これらのロボットは実は詐欺師自身が操作しており、取引量を水増しして本物の投資家を引き寄せるためのものです。
数十回の小規模な取引で十分な取引量が確保されると、実際に投資するユーザーが参入します。彼らの多くもBanana Gun打新ロボットを使用していたようです。
一定時間取引が続いた後、詐欺師はRugpull用のコントラクトを展開します。このコントラクトの資金はアドレス0xC757から来ています。展開からわずか1時間42分後に流動性プールが完全に引き出され、27ETHを獲得しました。
この手口を分析すると、詐欺師はまず自作のロボットで取引量を装い、打新ロボットを含む真の投資家を誘い込み、期待利益を得た時点で直ちにRugpullを実行しています。TenArmorは、打新ロボットが便利であっても詐欺師の存在を常に意識すべきだと指摘しています。打新を行う際は、初期取引量が展開者の関連アドレス由来ではないかを確認し、そうであれば避けた方が賢明です。
ソースコードに潜む罠
取引税の導入
下図はFLIGHTのtransfer関数の実装です。標準的な実装とは大きく異なり、条件に応じて取引ごとに税金を課しています。このように取引税がかかると、買いも売りも制限され、ほぼ確実に詐欺目的のコインと判断できます。
このようなケースでは、ユーザーが単にトークンのソースコードを確認するだけで問題に気づくことができ、被害を回避できます。
コードの難読化
TenArmorの主要Rug Pull事件の包括的レビュー:投資家とユーザーが取るべき対応でも言及されていますが、一部の詐欺師は自身の意図を隠すために故意にコードを難読化し、読みにくくしています。このような場合、即座にそのプロジェクトを避けましょう。
露骨なrugApproved
TenArmorが検出した多数のRugpull事件の中には、あからさまに悪意を示すものもあります。例えば、このトランザクションは、まさに意図を明言しています。
詐欺師がRugpull用コントラクトを展開してから実際にRugpullを行うまでの間には、通常数時間の猶予があります(この事例では約3時間)。このようなタイプの詐欺に対しては、TenArmorのXアカウントをフォローすることで、リスクのあるコントラクト展開情報をリアルタイムで受け取り、早期に資産を撤退できます。
また、rescueEth/recoverStuckETHもよく使われるRugpull用インターフェースです。もちろん、この関数があるだけでは必ずしもRugpullとは限りませんが、他の特徴と組み合わせて判断する必要があります。
保有者(Holder)の集中
TenArmorが最近検出したRugpull事件では、保有者の分布にも特徴があります。ここでは、3つのRugpullに関与したトークンの保有者分布をランダムに選んで紹介します。
0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a
0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115
0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
これらの事例から明らかなのは、Uniswap V2ペアが最大の保有者であり、保有数で圧倒的な優位を持っていることです。TenArmorは、あるコインの保有者がUniswap V2ペアなどの特定アドレスに極端に集中している場合、取引には慎重になるべきだと警告しています。
資金源の調査
TenArmorが検出したRugpull事件の中から、3件をランダムに選び、資金源を調査しました。
事例1
tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
6ホップ遡ると、FixedFloatからの資金流入が確認されます。
FixedFloatはユーザー登録やKYC不要の自動暗号資産取引所です。詐欺師は身元を隠すために、FixedFloatを通じて資金を投入しています。
事例2
tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
5ホップ遡ると、MEXC 1からの資金流入が確認されます。
2024年3月15日、香港証券先物委員会(SFC)はMEXCに関する警告を発表。MEXCが香港の投資家に積極的にサービスを提供しているが、SFCのライセンスを取得していないことを指摘しています。同日、SFCはMEXCおよびそのウェブサイトを疑わしい仮想資産取引プラットフォームの警告リストに掲載しました。
事例3
tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
5ホップ遡ると、Disperse.appからの資金流入が確認されます。
Disperse.appは、ETHやトークンを複数のアドレスに一括配布するツールです。
取引を分析すると、今回のDisperse.appの呼び出し元は0x511E04C8f3F88541d0D7DFB662d71790A419a039であり、さらに2ホップ前にもDisperse.appからの資金流入が確認されます。
再度分析すると、呼び出し元は0x97e8B942e91275E0f9a841962865cE0B889F83acであり、そこからさらに2ホップ前にはMEXC 1からの資金流入が確認されます。
以上3つの事例を分析すると、詐欺師はKYC不要・無免許の取引所を利用して資金を投入していることがわかります。TenArmorは、新規コインに投資する際、コントラクト展開者の資金源が信頼できない取引所由来でないかを必ず確認するよう呼びかけています。
予防策
TenArmorとGoPlusのデータを基に、本稿ではRugpullの技術的特徴を体系的に整理し、代表的事例を提示しました。以上の特徴を踏まえ、以下の予防策を提案します。
1. 流行コインを無批判に追わず、購入時にはアドレスが真正かどうかを確認すること。偽物コインを購入して詐欺に遭うリスクを回避してください。
2. 打新時はデュー・ディリジェンスを徹底し、初期取引量が展開者の関連アドレス由来かどうかを確認。もしそうであれば、詐欺の可能性が高いので避けましょう。
3. コントラクトのソースコードを確認し、特にtransfer/transferFrom関数の実装に注意を払い、正常な売買が可能かを確認。難読化されたコードは即座に回避すること。
4. 投資時、保有者分布を確認し、資金が極端に集中している場合は可能な限りそのコインを避けましょう。
5. コントラクト作成者の資金源を調査し、10ホップ前まで遡り、疑わしい取引所から来ていないか確認すること。
6. TenArmorの警告情報をフォローし、早期に損失を最小限に抑えてください。TenArmorはScam Tokenを事前に検出でき、Xアカウントでリアルタイム警告を発信しています。
これらのRugpull事件に関与する悪意あるアドレスはすべて、リアルタイムでTenTraceシステムに登録されます。TenTraceはTenArmorが独自開発したAML(マネーロンダリング防止)システムであり、マネーロンダリング、詐欺、攻撃者追跡など多様なセキュリティ用途に対応可能です。既に多数のプラットフォームのScam/Phishing/Exploitアドレス情報を蓄積しており、悪意あるアドレスの資金流入を正確に識別し、流出もリアルタイムで監視できます。TenArmorはコミュニティの安全性向上に尽力しており、ご関心のあるパートナーとの協力を歓迎します。
TenArmorについて
TenArmorは、Web3世界におけるあなたの第一線の防御手段です。当社はブロックチェーン技術に伴う独特な課題に対処するため、最先端のセキュリティソリューションを提供しています。弊社の革新製品ArgusAlertおよびVulcanShieldを通じて、潜在的な脅威に対してリアルタイム保護と迅速な対応を実現しています。専門チームはスマートコントラクト監査から暗号資産追跡まで精通しており、分散型領域でデジタル資産を守りたい組織にとって最適なパートナーです。
@TenArmorAlertをフォローし、最新のWeb3セキュリティ警告をリアルタイムで受け取ってください。
お問い合わせ:
X: @TenArmor
Mail: team@tenarmor.com
Telegram: TenArmorTeam
Medium: TenArmor
GoPlusについて
GoPlusは、初のオンチェーンセキュリティ保護ネットワークとして、すべてのユーザーに使いやすく、包括的なオンチェーンセキュリティ保護を提供し、すべての取引と資産の安全を確保することを目指しています。
セキュリティサービス構成は、主にエンドユーザー(C向け)直接提供のGoPlusアプリ(Web版およびブラウザ拡張機能)と、B経由で間接的にCにサービスを提供するGoPlus Intelligenceに分かれ、最も広範なWeb3ユーザー層と多様な取引シーンをカバーしています。オープンでユーザー主導のオンチェーンセキュリティ保護ネットワークの構築を目指しています。
どのプロジェクトも自由にGoPlusを統合してユーザーにセキュリティ保護を提供でき、また開発者は自身の強みを活かして革新的なセキュリティ製品をGoPlusセキュリティマーケットに展開でき、ユーザーはニーズに応じて柔軟にセキュリティサービスを選択・設定できます。これにより、開発者とユーザーが協働するオープンで分散型のセキュリティエコシステムが形成されます。
現在、GoPlusはWeb3ビルドのための主要なセキュリティパートナーとなり、Trust Wallet、CoinMarketCap、OKX、Bybit、DexScreener、SushiSwapなど幅広く採用・統合されており、平均日間呼び出し回数は3,400万回以上、累計40億回以上に達し、ユーザーの90%以上のオンチェーン取引をカバーしています。また、オープンなセキュリティアプリプラットフォームは、1,200万人以上のオンチェーンユーザーにサービスを提供しています。
コミュニティ:
Discord: GoPlusSecurity
Medium: GoPlusSecurity
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
GoPlus Security
