笔记作者:CDra90n
原文作者:Bingyu Gao, Haoyu Wang, Pengcheng Xia, Siwei Wu, Yajin Zhou, Xiapu Luo, Tgareth Tyson
原文标题:Tracking Counterfeit Cryptocurrency End-to-end
发表会议:ACM SIGMERICS 2021
原文链接:https://arxiv.org/pdf/2011.02673.pdf
随着加密货币生态系统的发展,越来越多的证据表明虚假加密货币已经出现。在本文中探索了以太坊上存在虚假加密货币并衡量其影响。通过分析以太坊上的190KERC-20 token(或加密货币),确定了2个117个伪造token(代币),这些token以当前top 100加密货币中的94个为目标。本研究对伪造token生态系统进行端到端的特征描述,包括其流行度,创建者和持有者,欺诈行为和广告渠道,从而确定了两种骗局,并设计了识别这些骗局的技术。通过研究观察到超过7104名受害者在这些骗局中被欺骗,造成的财务总损失总计至少为1700万美元(74,271.7 ETH)。
0x01 Introduction
自2009年挖出第一个比特币区块以来,加密货币出现了显着增长,这主要归功于区块链技术和数字经济系统的飞速发展。除比特币外,还出现了数以千计的加密货币。截至2019年底,加密货币的总市值超过1800亿美元。加密货币引起了攻击者的广泛关注。攻击者已经利用了智能合约,加密货币交易所和钱包中的漏洞。根据Carbon Black的数据,在2018年上半年的攻击中已经盗窃了11亿美元的加密货币。根据2019年5月的报道,攻击者从顶级交易平台之一的币安窃取了7,000个比特币(价值4,100万美元)。最近,数百种流行的分布式应用程序(DApps)、Defi Dapps和其他智能合约受到攻击,造成了巨大的经济损失。除了这些已知的攻击之外,许多新兴的骗局还利用加密货币牟取暴利,包括加密货币庞氏骗局,区块链蜜罐,勒索电子邮件和代币交换钓鱼诈骗等。
然而,被低估的攻击是虚假代币,即欺诈者努力模仿官方代币以欺骗其接收者。例如,自从发布Libra以来,诈骗者就设计了欺诈性投资计划,涉及出售与实际的Libra无关的假“Libra token”。类似地,我国当局在制止涉及假HuobiToken的骗局的同时还查获了价值超过千万美元的加密货币。
此外,创建加密货币和发起ICO的简便性使得发布虚假加密货币的成本相当低。例如,以太坊作为去中心化应用程序(DApps)的开源平台,是第一个简化智能合约开发的区块链平台。基于以太坊,只需几行代码就可以创建一个token智能合约。到2020年7月,在以太坊上创建了超过20万个ERC-20 token。但是,以太坊对新创建的token的名称和符号没有任何限制。相反,识别token的是其智能合约地址。如上图所示,通过在Etherscan(使用最广泛的以太坊资源管理器)中搜索试图与美元挂钩的流行 token Tether USD(USDT),有170个token的名称相同,“ Tether USD”或符号“ USDT”。这开辟了许多潜在的欺诈途径,恶意方有可能利用这一事实来伪造加密货币。
0x02 Background
A.以太坊账户和交易
以太坊账户: 账户是识别以太坊中实体的基本单位。一个帐户由固定长度的类似哈希的地址标识。以太坊有两种账户:由公私钥对(即人)控制的外部拥有账户(EOA);和合约拥有的帐户(COA),该帐户由与帐户一起存储的代码控制。EOA是一个普通帐户,可以转移token,调用已部署的智能合约并存储收到的token。而且,EOA可以将智能合约部署到COA帐户中。在本文中,所有帐户均以其地址进行引用,并以0x开头的六个字符的标识符表示。
交易: 以太坊中的交易是从一个账户发送到另一个账户的消息,记录了账户的状态变化。内部交易定价机制“ Gas”用于保护区块链免受垃圾消息侵害,并在交易期间在网络上分配资源。交易可以包括二进制数据(称为“payload”)和以太币。取决于消息发送者的事务有两种。从EOA发送的交易称为“external transactions”,它将包含在区块链中,并且可以通过解析块来获得。通过执行智能合约启动的另一种类型称为“internal transaction”。内部交易通常由外部交易触发,并不直接存储在区块链中。
B.智能合约和ERC-20 Token
智能合约: 智能合约是一种由计算机程序构建的去中心化协议,用于执行任意规则以及保证为去中心方产生相同的结果。在以太坊中,智能合约是驻留在合约账户中的代码和数据的集合。智能合约可以自动执行,并且可以根据其代码中内置的条款控制相关事件。在以太坊平台上,人们很容易通过智能合约构建去中心化应用(DApp)并为DApp或其他目的发行token。智能合约通常以更高级别的语言(例如Solidity)编写,然后编译为以太坊虚拟机(EVM)字节码。EVM是以太坊中智能合约的运行时环境。
Token: 与它们自己的区块链原生的数字代币(如比特币和以太币)相反,token需要现有的区块链平台。根据代币的功能,它们通常分为三种类型:1)货币代币,它们完全是作为一种支付方式创建的;2)实用性代币,它使投资者可以使用某些产品或服务;3)投资/资产代币,即向投资者承诺投资回报的资产。最著名的投资token是DAO token。它是一种以投资者为导向的风险投资基金的形式的ERC-20代币,其漏洞导致以太坊硬分叉。请注意,以太坊上存在的每个token都与token合约绑定,该token合约定义了它们用来执行任务的一组功能。
ERC-20: ERC是以太坊智能合约开发人员使用的技术文档,它定义了实现以太坊生态系统token所需的一组规则。ERC-20是迄今为止最可识别的token标准。建议开发人员更好地处理以太坊上的不同token。ERC-20 token合约通常具有属性,包括名称,符号,总供应量和十进制等。下图所示为ERC-20 token的示例,其token名称为“ HuobiToken”,符号为“ HT”。由于采用了ERC-20标准,以太坊已成为最受欢迎的代币平台之一-截至2020年7月,以太坊上有超过200,000个ERC-20代币。请注意,在本文中,每个token都以TokenName(SymbolName)的形式表示。
C.虚假加密货币
以太坊不会对新创建的token的名称和符号施加任何限制,即使名称已被现有token使用。但是,这可能会被攻击者滥用以创建伪造的加密货币。攻击者可能会使用相同的标识符(例如代币名称和符号)或令人迷惑的标识符名称来欺骗经验不足的投资者。因此,在本文中考虑以下两种类型的伪造token:
•Type-1: 伪造token具有与模仿的官方代币相同的标识符名称,但由不同的创建者发行。
•Type-2: 攻击者采用组合抢注技术来创建伪造token,其中包括可识别的token名称(例如USDT)与其他字符或关键字(例如USDT-2,USDT New)的组合。此类伪造代币通常与官方加密货币具有令人困惑的相似名称,使人们相信它们是官方代币的新版本,或者至少是由同一团队发行的。
0x03 Study Design
A.研究问题
本研究旨在调查虚假加密货币的整个生态系统,从其创建、交易和流通到与其相关的骗局及其广告渠道,为此探索以下研究问题(RQ):
RQ1: 伪造的加密货币在加密货币生态系统中普遍存在吗?尽管媒体上的一些报道提到存在伪造的加密货币,但其规模仍然未知。此外,有必要进行调查:
*RQ1.1)*目标是哪些token?考虑到有成千上万种加密货币,本文试图探索对手是否主要针对具有较高知名度(交易量)的代币。
*RQ1.2)*谁创建了虚假加密货币?研究恶意活动是否创建了许多伪造的加密货币来欺骗毫无戒心的用户或投资人。
*RQ1.3)*谁持有这些伪造的加密货币?分析这些伪造token的持有者可以帮助了解生态系统的总体规模,即伪造token涉及多少个帐户。
RQ2: 与虚假加密货币有关的欺诈行为是什么?调查虚假加密货币如何对用户进行诈骗,诈骗是否涉及其他共谋地址甚至恶意活动,以及这些诈骗用户有多少。
RQ3: 伪造加密货币的广告渠道是什么?分析伪造货币如何到达用户,尤其是广告渠道、技巧和采用的社会工程技术,这可以帮助更好地识别和跟踪背后的欺诈和恶意活动。
B.数据集
由于目标是测量以太坊中的伪造加密货币,因此需要以下两个条件:1)ERC-20 token的完整列表,用于检测伪造token;2)整个以太坊交易数据集,该数据集用于分析与伪造加密货币有关的交易。因此,利用广泛使用的以太坊客户端Geth来同步以太坊的分类账本。本研究已经同步了直到2020年3月18日的所有区块,总区块超过960万个。从块中提取的数据包含外部交易,内部交易,合约信息和合约调用信息。然后,获得所有智能合约的字节码和创建者信息。接着分析字节码,以确定合约是否实施了ERC-20 token。基于此方法,在其创建者信息旁边识别了超过176K的ERC-20 token。进一步从代码或Etherscan获得这些代币的元数据(例如,网站,总供应,持有人等)。为了便于分析,使用ElasticSearch存储这些结构化数据。
C.目标加密货币选择
虽然所有token都可能是虚假加密货币的仿造目标,但使用不知名的token进行滥用(例如,用户和数量较少的官方token)可以说是不符合攻击者的最大利益。此外,由于以太坊上有成千上万种官方代币(混合有伪造代币),所以很难汇编所有官方代币的完整列表。这样做是为了减少必须衡量的潜在虚假代币数量。因此,根据Etherscan的市值编制了前100个代币的列表。下表显示了这些官方token的信息。第1列(#CAP)显示了在研究之时基于代币的市值的排名。
0x04 Measurement of Counterfeit Cryptocurrencies
A.检测方法
根据先前对伪造token的定义,采用两阶段半自动方法对伪造token进行准确检测。第一步是通过关键字匹配来识别所有可能的伪造token候选者。对于选定的100个官方token,在ERC-20 token数据集中搜索其token名称和符号名称,以查找包含此类关键字的token。但是,发现基于关键字匹配的方法可能会引入许多误报。因此,对于第二步,建议根据以下规则删除误报:
Rule1: 迁移的token,由于以太坊中的智能合约一旦部署就无法修改,因此出于安全考虑或引入了新功能,某些代币会迁移其地址。例如,由于引入了新功能,token HEDG已从0xb6B6Bd4迁移到0x3363D5。在这种情况下,将手动分析100个选定的token,以验证它们是否已迁移地址,并进一步消除此类误报。
Rule2: 由值得信赖的创建者创建的官方token,通常的做法是,在正式发行新token之前,一些创建者会发布一些测试token,以检查其token是否会按预期运行。这些尝试将导致创建一些具有相同/相似标识符名称的token。因此,手动检查过滤token的创建者以消除此类误报
Rule3: 与研究目标代币名称相似的官方代币,由于符号名称通常很短(例如3至5个字符),因此某些官方token很有可能具有相同或相似的符号名称。例如,存在三个具有相似名称和符号的ERC-20 token,即HEDG(仅包含符号,但没有token名称),Hedgie(HDG)和Hedge(HDG)。尽管如此,它们都是独立的官方token。一个官方token通常有自己的官方网站,可以从Google收集有关该token的详细信息。因此,如果token具有活跃的交易并且可以在线收集其法律信息,会将其视为误报,从而将其从数据集中删除。
B.总体结果
使用上述方法已识别出2117个伪造token,它们针对100个流行token中的94个进行伪造(94%),如前表所示。毫不奇怪,HuobiToken(HT),Tether USD(USDT)和BNB是最受欢迎的目标。例如,有545个针对火币HT的伪造token,总共有12,883笔交易。HuobiToken由著名的火币加密货币交易所发行,这使不知情的用户更容易相信它的真实性。一般而言,伪造代币更可能以具有高市值排名的受欢迎代币为目标。但是,并非所有高等级代币都是其优先目标。例如只观察到一个针对Crypto.com Coin(CRO)的伪造token,该token在研究时排名第6。
上图显示每月伪造token的创建时间。第一个伪造token是在2017年2月12日创建的。此后,伪造token变得越来越普遍,尤其是在2019年7月之后。例如,在2020年1月,创建了126个伪造token。总共有56,762笔交易与这些伪造token相关,涉及56,057个唯一的以太坊地址。下图显示了官方代币及其伪造代币总供应量的比较。总供给是指目前存在的代币的数量。在图中,每行上的点代表相应token(绿色)及其伪造token(红色)的总供应量。对于每个官方代币,其总供应量通常在1
