近日，CertiK安全专家团队频繁检测到多起手法相同的“退出骗局”，也就是我们俗称的Rug Pull。

在我们进行深入挖掘后发现，多起相同手法的事件都指向同一个团伙，最终关联到超过200个Token退出骗局。这预示着我们可能发现了一个大规模自动化的，通过“退出骗局”方式进行资产收割的黑客团队。

在这些退出骗局中，攻击者会创建一个新的ERC20代币，并用创建时预挖的代币加上一定数量的WETH创建一个Uniswap V2的流动性池。

当链上的打新机器人或用户在该流动性池购买一定次数的新代币后，攻击者则会通过凭空产生的代币，将流动性池中的WETH全部耗尽。

由于攻击者在凭空获取的代币没有体现在总供应量中（totalSupply），也不触发Transfer事件，在etherscan是看不到的，因此外界难以感知。

攻击者不仅考虑了隐蔽性，还设计了一个局中局，用来麻痹拥有初级技术能力，会看etherscan的用户，用一个小的问题来掩盖他们真正的目的……

深入骗局

我们以其中一个案例为例，详解一下该退出骗局的细节。

被我们检测到的实际上是攻击者用巨量代币（偷偷mint的）耗干流动性池并获利的交易，在该交易中，项目方共计用416,483,104,164,831（约416万亿）个MUMI兑换出了约9.736个WETH，耗干了池子的流动性。

然而该交易只是整个骗局的最后一环，我们要了解整个骗局，就需要继续往前追溯。

部署代币

3月6日上午7点52分（UTC时间，下文同），攻击者地址（0x8AF8）Rug Pull部署了名为MUMI（全名为MultiMixer AI）的ERC20代币（地址为0x4894），并预挖了420,690,000（约4.2亿）个代币且全部分配给合约部署者。

预挖代币数量与合约源码相对应。

添加流动性

8点整（代币创建8分钟后），攻击者地址（0x8AF8）开始添加流动性。

攻击者地址（0x8AF8）调用代币合约中的openTrading函数，通过uniswap v2 factory创建MUMI-WETH流动性池，将预挖的所有代币和3个ETH添加到流动性池中，最后获得约1.036个LP代币。

从交易细节可以看出，原本用于添加流动性的420,690,000（约4.2亿）个代币中，有63,103,500（约6300万）约个代币又被发送回代币合约（地址0x4894），通过查看合约源码发现，代币合约会为每笔转账收取一定的手续费，而收取手续费的地址正是代币合约本身（具体实现在“_transfer函数中”）。

奇怪的是，合约中已经设置了税收地址0x7ffb（收取转账手续费的地址），最后手续费却被发到代币合约自身。

因此最后被添加到流动性池的MUMI代币数量为扣完税的357,586,500（约3.5亿），而不是420,690,000（约4.3亿）。

锁定流动性

8点1分（流动性池创建1分钟后），攻击者地址（0x8AF8）锁定了通过添加流动性获取的全部1.036个LP代币。

LP被锁定后，理论上攻击者地址（0x8AF8）拥有的所有的MUMI代币便被锁定在流动性池内（除开作为手续费的那部分），因此攻击者地址（0x8AF8）也不具备通过移除流动性进行Rug Pull的能力。为了让用户放心购买新推出的代币，许多项目方都是将LP进行锁定，意思就是项目方在说：“我不会跑路的，大家放心买吧！”，然而事实真的是这样吗？显然不是，这个案例便是如此，让我们继续分析。

Rug Pull

8点10分，出现了新的攻击者地址②（0x9DF4），Ta部署了代币合约中声明的税收地址0x7ffb。

这里有三个值得一提的点：

1.部署税收地址的地址和部署代币的地址并不是同一个，这可能说明项目方在有意减少各个操作之间与地址的关联性，提高行为溯源的难度

2.税收地址的合约不开源，也就是说税收地址中可能隐藏有不想暴露的操作