A Check Point Research desvenda o esquema Rug Pull

A Check Point Research desvenda o esquema Rug Pull: Um esquema de milhões de dólares com uma fábrica de tokens falsos

● A vigilância de blockchain revela roubo de milhões de dólares: O nosso sistema Threat Intel Blockchain descobriu um esquema denominado Rug Pull, está em andamento e rastreou o ator por trás deste esquema.

● As táticas do Scammer´s: Explorar a moda para obter ganhos ilícitos, O criminoso atraiu vítimas inocentes para investir.

● Desvendando o esquema: O esquema funcionava por etapas, incluindo a criação de tokens falsos, a manipulação de pools de liquidez, atividades de negociação simuladas e extração de fundos.

● A Check Point Research apela aos investidores que compreendam e conheçam este esquema, para que se consigam proteger de esquemas semelhantes.

Segundo a Check Point Software, líder mundial de soluções de cibersegurança, o domínio dinâmico das criptomoedas, os acontecimentos recentes evidenciaram a ameaça sempre presente dos Rug Pulls - manobras enganosas que deixam os investidores de mãos vazias. O nosso sistema Threat Intel Blockchain, desenvolvido pela Check Point, soou recentemente o alarme sobre um esquema sofisticado que conseguiu roubar quase 1 milhão de dólares. Vamos aprofundar os detalhes deste esquema e entender como é que evoluiu.

O sistema de blockchain Threat Intel da Check Point identificou e alertou o seguinte endereço

0x6b140e79db4d9bbd80e5b688f42d1fcf8ef97798.

Este endereço está envolvido em atividades da lista negra, o nosso sistema começou a monitorizar as atividades associadas a este mesmo endereço:

Este é o saldo da carteira do scammer (15/11/23). Este endereço operava 40 ações diferentes e foi roubado quase 1 milhão de dólares!

A tática do scammer (0x6b140e79db4d9bbd80e5b688f42d1fcf8ef97798) consiste em criar tokens com base nas mais recentes tendências para atrair as vítimas a comprar os seus tokens, por exemplo, o nome do token GROK 2.0 (0xd4b726c5b5e6f63d16a2050ee3ac4a0f0f81f1d4), possivelmente derivado de um sistema de IA bem conhecido (X GROK), tem como objetivo atrair compradores.

A anatomia de Scam:

Como é que este esquema elaborado funcionou e como é que conseguiu desviar uma soma substancial? Aqui está uma análise:

1. Criação de fichas falsas: A scam começou com a criação de tokens enganadores, exemplificados por o token GROK 2.0. A escolha dos nomes refletia muitas vezes os temas em alta para atrair compradores.

2. Adicionando dinheiro ao banco de liquidez: Para criar uma fachada de legitimidade, o scammer injetou fundos no fundo comum de fichas, criando a ilusão de uma ficha vibrante e ativa.

3. Atividades de Negociação: Aproveitando uma função especializada (0x521da65d) no contrato, o scammer executava transações simuladas, fazendo parecer que estavam a ocorrer compras e vendas compra e venda genuínas. No entanto, tratava-se apenas de um estratagema orquestrado pelo scammer.

4. Aumentar o volume: Outra função (0xf029e7cf) entrou em ação, facilitando as transacções em grande escala em grande escala entre a criptomoeda WETH e o token GROK. Esta inflação artificial criou uma sensação de de alta procura e valor, atraindo os investidores a participarem.

5. Atrair compradores: Capitalizando na perceção da atratividade do token, os utilizadores começaram a comprar, sem se aperceberem do engano iminente.

6. Receber o dinheiro: Depois de o token ter atraído suficientemente os investidores, o scammer executava movimento final - a retirada da liquidez do conjunto de fichas, deixando os compradores de fichas com as mãos vazias e com os fundos esgotados.

Parte técnica

O scammer utilizou 2 contratos inteligentes diferentes para negociar e aumentar o volume de tokens. O primeiro contrato O primeiro endereço de contrato que ele usou é 0x2ef3216e95e2b7c8e378ae64534100e69598f955 que continha a função de negociação simulada(0x521da65d).

Função 0x521da65d

A função 0x521da65d é responsável por vender e comprar o token para o scammer, esta função foi executada 226 vezes apenas para este token. O comportamento da função é dependente do booleano varg7, que dita seu curso, levando a duas rotas de execução separadas.

A primeira rota (0x306b) é a troca da moeda criptográfica WETH para GROK 2.0 (compra)

Como pode ver nesta imagem:

E a 2ª rota (0x2bac) representa a mudança de GROK 2.0 para WETH (venda)

Para o segundo contrato inteligente, o scammer operou usando o endereço 0x4b2a0290e41623fbfeb5f6a0ea52dc261b65e29b, onde executou a função 0xf029e7cf para aumentar artificialmente o volume do token.

Função 0xf029e7cf

Esta função recebe cinco parâmetros:

A descodificação dos seguintes dados enviados para esta função revela os seguintes argumentos:

0xf029e7cf0000000000000000000000007a250d5630b4cf539739df2c5dacb4c659f2488d000000000000000000000000c02aaa39b223fe8d0a0e5c4f27ead9083c756cc2000000000000000000000000d4b726c5b5e6f63d16a2050ee3ac4a0f0f81f1d4000000000000000000000000000000000000000000000009c2007651b25000000000000000000000000000000000000000000000000000000000000000000009

Varg0 é o endereço do router Uniswap que o burlão utilizará para trocar os tokens.

Varg1 é o endereço da moeda criptográfica WETH, que será utilizado para trocar com o token GROK.

Varg2 é o endereço do token GROK 2.0.

Varg3 é o montante do token a trocar.

Varg4 é o número de vezes que este token deve ser trocado.

Analisando mais a fundo a função, revelámos que o scammer utilizou a função 'swapExcatToekensSupportingFeeOnTransferTokens' do Uniswap Router (varg0) para trocar 9 vezes (varg4) de WETH(varg1) para GROK(varg2) e de GROK para WETH com um montante total de $ 420.000 que bombeia o volume do token e atrai comerciantes e bots para o comprarem.

O ciclo de trocas pode ser visto na seguinte printscreen:

Na fase final do esquema, o burlão retirou fundos da reserva de liquidez do token depois de atrair um número suficiente de compradores e o aumento do preço do token. Isto é demonstrado pelo facto de terem retiraram a liquidez dos seus tokens enganadores em 81 ocasiões

Conclusão:

À medida que o cenário criptográfico continua a evoluir, manter-se vigilante e informado é fundamental para os investidores. O recente incidente do Rug Pull serve como um lembrete claro da necessidade de maior conscientização e devida diligência.

Ao entender as táticas empregadas pelos golpistas, podemos trabalhar coletivamente para criar um ambiente de criptografia mais seguro e ambiente criptográfico mais seguro e protegido.

É crucial notar que o nosso compromisso de salvaguardar a comunidade criptográfica vai para além da mera deteção. Os investigadores da Check Point estão a monitorizar ativamente os domínios associados ao endereço da carteira do burlão identificado e similares.

O sistema Threat Intel Blockchain, desenvolvido pela Check Point, continua a acumular informações valiosas sobre ameaças emergentes, e esta inteligência será partilhada no próximo futuro. Neste esforço de colaboração, o nosso objetivo é capacitar os investidores com os conhecimentos necessários para navegarem no espaço criptográfico de forma segura e protegerem-se de potenciais armadilhas. Para mais informações, contacte-nos em: blockchain@checkpoint.com