cryptonerdcn

cryptonerdcn

主页归档

防骗随笔0:貔貅的进化

#Mirror.xyz79
AI 生成的摘要
在某个大佬群里,有人分享了一个神秘的项目,不到24小时就涨了近100倍。群友们兴冲冲地冲进去,但发现无法卖出。经过检测发现,这个项目并不是一个骗局,可以卖出。原因是这个项目使用了代理合约,真正的交互是在逻辑合约里进行的。只有白名单内的地址才能卖出代币,而能够卖出的账户都是狗庄自己的。通过深挖发现,狗庄通过添加代币的方式获取了代币,然后不停地拉盘吸引人们购买。整个链条非常清晰:部署代理合约,添加白名单地址,通过给地址加币,吸引购买,卖出获利,转入拉盘地址,最后跑路。除了狗庄自己,没有其他人能卖出代币。这个团队喜欢用现实世界品牌名字来命名代币。

今天在某个大佬群里,一位群友分享了一个神盘,不到 24 小时涨了快 100 倍了。

image

https://dexscreener.com/ethereum/0xd809d08876f7c45c0a760f2066f838ddfef91b61

一天不到已经涨了 100 倍了

几个群友兴冲冲的冲了上去。过了没一会,发现居然就涨了一倍了很高兴,于是想先出本时哦吼,发现居然卖不出去了?

image

然而市面上所有检测都显示这个不是貔貅盘。比如 tokensniffer 的报告:

https://tokensniffer.com/token/0x39ff02669ad11fd46674150cbfca6b46b4e4b908?__cf_chl_tk=V0cvboSvGE3GTCr28iOE2V3htK2vYghUnyFI_V4uIHU-1649829849-0-gaNycGzNDJE

显示不是 honeypot,可以卖出

那么这又是为什么?

注目点在于这句:Source does not contain a proxy contract

上面截图里我自己的发言也提到了,这个合约

0xd809d08876f7c45c0a760f2066f838ddfef91b61

并不是一个真正的 erc20 合约,它只是一个代理(proxy)。真正的交互,全部是在逻辑合约里面。代理合约的用处只是 call 一下逻辑合约做事。

https://tokensniffer.com/contract/0x39ff02669ad11fd46674150cbfca6b46b4e4b908

在这里我们能看见合约的源代码。很明显,它使用了 EIP-1967。当年如果冲过鱿鱼游戏这个貔貅盘的应该有印象。

EIP-1967 规定了一个通用的存储插槽,用于在代理合约中的特定位置存放逻辑合约的地址。如果看不懂上面这段话也没关系,通俗来说就是,使用 EIP-1967 的合约里有一个地方可以用来存储真正的合约(即上文所说的 “逻辑合约”)的地址。而真正的交互,全部是在真正的合约之处。

我们可以通过构造函数发逻辑合约地址:

构造器的第三个参数就是逻辑合约地址

https://etherscan.io/address/0xb7a1451f0e7aa7b626e082d2641c68384e55ae7f

很可惜,并未开源。

因此,针对代理合约的检测,是完全无法涉及到逻辑合约的。

说回那些能够卖出的账户。看到上面的分析大家应该也明白了,真正的合约处,是应该有着类似加入白名单的逻辑,使得只有白名单内的地址可以卖出 token。而这些能够卖出的账户本来就全都是狗庄自己的。

比如我们随机选取一个卖出的 tx:

https://etherscan.io/tx/0x0a16b0119386c7ebe072051090f1478c8aacae1ae8add4ed0f88cebc2a9f7f85

可以看出这个地址

0x13729552cd898c823abeb0eddd8714f4642688ee

https://etherscan.io/address/0x13729552cd898c823abeb0eddd8714f4642688ee

仅有三个 tx,一个是转入了一个 eth(应该是做手续费用),另外两个是卖出。噫?怎么压根没有买入 token 的记录?这卖出来币又是怎么来的呢? 其实很简单,添加代币并不一定需要购买,只要真正的的合约里有

accounts[address] = accounts[address].add(amount);//给任意地址(address)加上amount数量的token

这种代码,就可以在完全不需要通过 tx 来进行代币分发或者自行买入情况下给任意地址添加代币。

我们继续深挖一下这个转入的 1eth 从哪来的。

由于层数比较多,中间省略了一些无关紧要的账户,最终我们来到了

0xae155cb9857bf0870d6965ead4482552fbb12f32 这个地址

https://etherscan.io/address/0xae155cb9857bf0870d6965ead4482552fbb12f32

可以看出,这个地址和上面的 0x13729552cd898c823abeb0eddd8714f4642688ee 是如出一辙,接受了一定的 eth 转入之后卖出了不存在的代币获取了 eth-- 只不过这次的代币不叫 paramount,而是一个叫做 ULV(Uniswap Labs Ventures)的代币。

https://etherscan.io/token/0x90d33aff810f15ac0e5247e7b93c1f225cb1b884

这个 ULV,其实是跟 paramount 一样的一个貔貅盘。我们可以看到 0xae155cb9857bf0870d6965ead4482552fbb12f32 转出的一部分 eth,到了

0x2de4b6dbd147e773ff054bdfb96f0081ecce9617

这个地址。

而这个地址又是做什么的呢?

很简单,用来拉盘 ULV 的。

https://etherscan.io/tx/0xf4be294b9e794b0655b97a5d2e48e0dadd000af88980dbc6c5a56723bc7c4db8

拉盘地址

可以看出 ULV 的大额买入有一半是这个地址(另外还有个几个地址是辅助拉盘的)。最后获利将 73 个 eth 转走。

而接受 73 个 eth 的地址 0x7d1120fe4110eab79f854a4ab7895d44a7a5f58d ,则又是另一个叫做 UIP (
United International Pictures) 代币的拉盘地址

https://etherscan.io/address/0x7d1120fe4110eab79f854a4ab7895d44a7a5f58d

可以看出已经被 ethscan 标红

因此整个链条很明了了:部署一个 proxy 合约,发一个空气币 → 事先给真正的合约添加可以卖出的地址的白名单 → 通过给这些地址加币 → 给知名地址空投 → 吸引人购买后,可卖出地址卖出获利 → 一部分资金转入拉盘地址不停拉盘 → 最后跑路换下一个貔貅盘

除了狗庄自己,没有任何人能卖出,狗庄自己又拿出一部分 eth 不停买入,自然能看见币价疯狂上涨。

P.S: 顺便一提这个团队特别喜欢用现实世界存在的品牌名字来做 token 名,光挖出来的就有希尔顿,松下,日立等名字。

关注我,获取更多区块链技术资讯:

https://twitter.com/cryptonerdcn

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。