保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%

发布于 2025-7-3 07:00
浏览
0收藏

​“Your Token BecomesWorthless: Unveiling Rug Pull Schemes in Crypto Token via Code-and-Transaction Fusion Analysis”

区块链技术推动了金融领域的变革,促进了去中心化金融(DeFi)应用的发展,但也带来了安全挑战,尤其是“Rug Pull”诈骗,2024年损失达8540万美元。Rug Pull是一种诈骗手法,诈骗者通过吸引投资者购买代币,随后撤走资金,导致投资者手中代币变得毫无价值。

本研究收集了645个真实Rug Pull案例,构建了最大的手动分析数据集。提出了RPHunter方法,利用图神经网络(GNN)建模代码风险信息和可疑交易行为,通过语义风险代码图(SRCG)和代币流行为图(TFBG)进行特征学习。RPHunter在评估中表现优异,检测精度达到95.3%,召回率93.8%,F1分数94.5%,并在以太坊主网识别出4801个Rug Pull代币,实际评估精度为91%。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

摘要

Rug Pull诈骗是加密货币中的持续威胁,导致重大财务损失,通常通过蜜罐合约吸引投资,限制代币销售并抽走资金。现有检测方法主要依赖预定义模式或统计交易数据,无法有效识别复杂的恶意代码和可疑交易行为的结合。本文提出RPHunter,结合代码和交易信息进行Rug Pull检测。

  • RPHunter通过声明性规则和流分析提取代码风险信息,构建语义风险代码图(SRCG)。
  • 同时,RPHunter将动态代币交易活动形式化为代币流行为图(TFBG),从网络结构和市场操控角度表征节点和边。
  • 最后,利用图神经网络提取SRCG和TFBG的互补特征,通过注意力融合模型增强Rug Pull检测。

手动分析645个Rug Pull事件,构建了真实数据集,RPHunter在该数据集上实现了95.3%的精确率、93.8%的召回率和94.5%的F1分数,优于现有方法。在实际应用中,RPHunter识别了4801个Rug Pull代币,精确率为91%。

简介

区块链技术推动了金融领域的变革,促进了去中心化金融(DeFi)应用的发展,但也带来了安全挑战,尤其是“Rug Pull”诈骗,2024年损失达8540万美元。Rug Pull是一种诈骗手法,诈骗者通过吸引投资者购买代币,随后撤走资金,导致投资者手中代币变得毫无价值。现有的检测方法分为基于规则的方法和基于学习的方法,前者依赖静态分析,后者使用机器学习,但都存在高假阴性或假阳性的问题。研究发现,Rug Pull方案不断演变,现有方法未能有效整合代码和交易信息。

本研究收集了645个真实Rug Pull案例,构建了最大的手动分析数据集,揭示了Rug Pull的过程和风险特征。提出了RPHunter方法,利用图神经网络(GNN)建模代码风险信息和可疑交易行为,通过语义风险代码图(SRCG)和代币流行为图(TFBG)进行特征学习。RPHunter在评估中表现优异,检测精度达到95.3%,召回率93.8%,F1分数94.5%,并在以太坊主网识别出4801个Rug Pull代币,实际评估精度为91%。

背景

智能合约与交易

智能合约是自执行的程序,包含预定义规则和逻辑。通常使用图灵完备的编程语言(如Solidity、Viper)编写。部署时需编译为字节码并通过交易提交到区块链。一旦部署,智能合约不可更改,通过公共函数与外部账户或其他合约交互。交易是区块链网络中进行操作(如合约创建和调用)的媒介。

代币和代币标准

代币是通过智能合约实现的加密货币,管理持有者信息并支持相关活动。代币标准确保代币创建、分发和交互的统一协议,保证跨平台兼容性。代币智能合约需实现标准接口并发出标准事件,否则无法在区块链上交易。代币主要分为可替代代币(ERC-20)和不可替代代币(ERC-721)。ERC-20标准定义了6个接口和2个事件,用于代币转移、余额查询和授权使用。

Rug Pull

Rug Pull是DeFi生态系统中的常见骗局,通常发生在去中心化交易所(DEX)中。DEX通过流动性池进行交易,流动性池将代币与信誉资产(如WETH)配对,用户可直接从池中交易。流动性池根据供需原理动态调整代币价格。骗局开始时,诈骗者部署一个骗局代币并创建流动性池,吸引用户购买,导致代币价格上涨。一旦价格显著上升,诈骗者迅速将大量骗局代币兑换为有价值的代币,抽走流动性,投资者则剩下无价值的代币。

真实世界的Rug Pull研究

数据收集与分析

收集了1048个Rug Pull事件,涵盖多个区块链网络(ETH、BSC、FTM等),最终分析得到645个有效事件。排除131个无源代码和272个无交易历史的代币,确保数据的准确性。进行手动分析,三位专家独立审查代币合约和交易记录,识别潜在风险。通过共识投票确定每个Rug Pull的根本原因,并总结出Rug Pull的通用流程和风险特征。

Rug Pull程序

Rug Pull程序分为三个阶段:

  • 阶段1:策略注入

嵌入欺诈性代码(如税免地址)以操控代币。

  • 启动代币并建立流动性池以吸引投资者。
  • 阶段2:拉高和抛售

通过高价值交易制造需求假象,抬高代币价格。

  • 一旦资金积累,进行流动性提取。
  • 阶段3:崩溃与逃逸

流动性被抽走后,代币价格迅速崩溃至零。

  • 通过多地址洗钱以掩盖资金来源。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

检测Rug Pull的关键:

  • 整合代码风险信息与可疑交易行为,以实现全面检测。
  • 仅依赖单一方面可能导致误报或漏报。

Rug Pull风险特征

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

Rug Pull代码风险:

  • Sale Restrict:限制投资者出售代币的能力,包括:

Amount Restrict:限制销售金额和最低持有要求。

Timestamp Restrict:限制特定时间内的销售。

Address Restrict:使用白名单或黑名单限制地址。

  • Variable Manipulation:诈骗者控制关键变量以进行恶意操作,包括:

Modifiable Tax Rate:可随意提高税率。

Modifiable Tax Address:可修改税收地址,转移资金。

Modifiable External Call:可替换外部合约中的恶意代码。

  • Balance Tamper:通过预编码功能任意修改账户余额,包括:

Hidden Mint/Burn:无记录地创建或销毁代币。

Hidden Balance Modification:未经授权修改用户余额。

Rug Pull交易行为:

  • Abnormal Network Structure:Rug Pull的交易图显示异常网络结构,中心节点连接性高,表明流动性和代币流动的主导角色。
  • Market Manipulation:诈骗者通过集中购买代币制造虚假流动性,分散交易以掩盖操控行为,诱使投资者以高价购买。

方法

概览

RPHunter的设计包括三个主要模块:语义风险代码图(SRCG)构建、代币流行为图(TFBG)构建和拉高出货检测。

首先,RPHunter构建代币合约的语义代码图,并提取代码风险信息。同时,RPHunter分析代币流交易,提取异常交易行为特征,构建代币流行为图。最后,利用图神经网络和注意力融合模型综合检测拉高出货风险。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

语义风险代码图构建

代码预处理:RPHunter通过Web3 API获取合约字节码,使用Gigahorse反编译为中间表示(IR),构建控制流图(CFG)并分析数据依赖关系,最终生成有向语义代码图(SCG)。

代码风险信息提取:RPHunter在SCG上进行流分析,识别潜在的Rug Pull操作和关系。定义基本关系(如数据流依赖DF和比较操作VC)和高级关系(如税率变量TV),并关注特权函数和代币转移函数中的风险。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

声明性规则:建立“基本组件 + 插件”规则,针对三类代码风险和八个子类别,开发特定插件以检测独特模式,实现更细致的风险分析。

销售限制(Sale Restrict):在代币转移功能中,存在机制限制代币销售,主要通过特权地址控制。

基本组件C1-BC:利用PTF识别代币转移功能,提取受控的存储变量和映射,标记为污染数据(PUMV ∨ PUMD)。

流传播分析:对存储变量和映射进行流传播分析,以识别其他污染数据。

地址限制(ADDR):插件C1-P3将代币转移函数的地址变量视为敏感变量(PFAV),分析其与污染数据的比较,指示潜在约束(VC)。

比较操作:由于未使用直接比较运算符,比较操作分析依赖于IZ(s, v)检查特定条件是否与零比较。

流分析框架:结合基本组件和插件,提出流分析框架以有效识别代码风险的语义。transferFrom函数检查发件人地址是否在黑名单中,若在则终止交易。黑名单由合约所有者控制,存在可控黑名单的风险。基本组件BC识别到黑名单的使用并标记为污染数据。插件P3将transferFrom函数的from参数视为敏感变量。SHA3计算内存内容的哈希值,确定黑名单状态。存储的布尔值用于条件检查,形成require语句。存在源与汇之间的可达路径,关键操作和数据流被标记为关键块和关键流。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

语义风险代码图生成器。RPHunter构建语义风险代码图(SRCG = (B, E)),B和E分别为节点和边的集合。遍历SCG中的每个节点并添加到SRCG,判断节点类型:若在CB中则为“critical”,含内部调用则为“invocation”,否则为“normal”。建立节点与其后继节点之间的边,判断边类型:若在CF中则为“critical”,有依赖关系则为“dependent”,否则为“normal”。

代币流行为图的构建

事务预处理。研究表明,代币流动性是识别可疑交易行为的重要指标,重点关注代币流动的交易。利用区块链浏览器收集代币合约地址的前500笔交易,以捕捉可疑行为,防止Rug Pull。从交易收据中提取转账金额和时间戳等关键属性。由于不同代币的小数位数差异,转账金额需经过两步处理:首先进行小数标准化,然后应用对数变换以减轻极端值的影响。

代币流行为图生成器。构建代币流动行为图(TFBG),节点为交易双方,边表示交易,包含节点和边的特征向量。TFBG用于捕捉动态交易活动,识别可疑行为,特征提取分为网络结构和操控行为两方面。

  • 节点特征包括:中心性度量(如度中心性、介数中心性等)和操控行为特征(如TokenCreator、资金进出比、短期最大交易量等)。
  • 边特征主要从操控行为角度提取,分为时间序列、交易和投资特征,包括创建间隔、最新间隔、是否批准等。
  • 交易行为特征包括:Gas Limit(高值可能表明紧急交易)、转账值(异常高值可能操控市场)、谐波转账值(结合节点中心性识别潜在操控)。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

定义八个特征以捕捉可疑投资行为,分析交易。累计进出交易量和数量反映节点作为接收者或发送者的总交易情况,异常可能指向诈骗行为。短期最大进出交易量和数量揭示短时间内的突发资金流动,可能暗示市场操纵。针对每个加密货币,RPHunter构建14维特征向量的交易网络图(TFBG)。

Rug Pull检测

代码图嵌入学习:使用BERT模型对SRCG中的节点进行编码,提取操作码序列进行基本块嵌入。采用异构图神经网络(RGCN)处理SRCG中的三种边类型(关键、依赖、普通),通过加权求和聚合节点特征。

交易图嵌入学习:使用TFBG作为输入图,设计统一聚合GNN(UAGNN)从节点和边特征中学习嵌入。聚合过程基于GCN,考虑时间相关的边特征,通过掩码机制聚合相关边的特征,最终通过均值池化获得TFBG的嵌入。

利用两种图嵌入构建融合模型进行Rug Pull检测,充分利用代码和交易图中的恶意信息。融合模型通过特征对齐,将SRCG和TFBG的图特征映射为8维向量,确保一致性。通过注意力模块进行特征变换和权重计算,输出的注意力权重经过softmax归一化。最终权重用于生成融合特征向量,输入分类器(包含dropout和全连接层)以预测代币标签。

实验

我们的目标是解决以下研究问题:

  • RQ1:RPHunter在检测Rug Pull方面的有效性与现有方法的比较。
  • RQ2:RPHunter的时间开销。
  • RQ3:RPHunter各组件在检测Rug Pull中的贡献。
  • RQ4:RPHunter能否揭示真实加密代币中的Rug Pull方案。

实验设置

构建了一个包含645个Rug Pull代币和1675个良性代币的真实数据集,基于开源代码和交易历史。收集了1048个Rug Pull代币,排除无源代码和无交易历史的代币后,得到645个Rug Pull代币。使用区块链浏览器API收集代币流转交易。

RPHunter原型使用Python和Datalog实现,包含2000多行Python代码,图神经网络基于Pytorch设计。数据集划分为60%-20%-20%的训练、验证和测试集,采用五折交叉验证。评估指标包括精准率、召回率、F1分数、假阳性率和假阴性率。实验在配备Intel Xeon Platinum 8163 CPU、3个RTX3090 GPU和1TB RAM的机器上进行。

RQ1: RPHunter的有效性

评估RPHunter的有效性,比较其与五种先进的Rug Pull检测方法的表现。

  • 选择标准:开源可用性和适合自动化大规模实验。
  • 五种方法包括:Ma et al.的Pied-Piper(基于datalog分析和模糊测试)、Lin et al.的CRPWaner(基于静态分析)、Mazorra et al.和Xia et al.(基于统计交易特征的学习模型)、GoPlus(商业工具,提供API)。

RPHunter在交易量为100时,F1分数达到91.8%,与交易量500的差异仅为2.7%,显示出其在低交易场景下的稳定性和有效性。RPHunter在真实数据集上表现优异,精度95.3%,召回率93.8%,FPR 1.8%,FNR 6.2%,F1分数94.5%;而Pied-Piper的FPR最低,但FNR极高。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

数据集中229个事件通过解锁流动性发起Rug Pull,静态分析工具表现不佳;RPHunter结合代码语义信息和早期交易,有效检测无明显代码风险的Rug Pull。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

学习型方法因依赖大量交易量和缺乏代码分析而表现不佳。在Rug Pull数据集中,84%的Rug Pull代币交易超过100次,只有3.4%少于10次,显示出高交易量的欺诈特征。

实验比较了有无代码信息的RPHunter性能,测试交易量为100至500。在不结合代码信息的情况下,随着交易量增加,检测效果逐渐提升,𝑇 𝑥 500的F1分数比𝑇 𝑥 100提高11.2%。

RQ2:RPHunter的时间开销

RPHunter检测Rug Pull风险的平均时间为20.95秒,主要来自复杂的流分析,适合早期检测以防止财务损失。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

规则基础方法耗时较长,分别为28.36秒和103.46秒;学习型方法处理速度较快,但缺乏代码分析。商业工具GoPlus在标准场景下检测时间最短,但分析新部署代币时可能超过5分钟。RPHunter在时间开销和代码语义分析上表现平衡。

RQ3:消融分析

RPHunter的设计包括三个主要组件:提取SRCG中的代码风险信息、整合TFBG的节点和边特征、使用贪婪策略选择最佳模型。结合代码信息后,SRCG和TFBG的融合分析提升了Rug Pull检测效果。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

进行的消融实验表明,去除SRCG中的代码风险信息(𝑆 𝑅 𝐶 𝐺𝑁 𝑜 𝑆 𝑅)导致精确率、召回率和F1分数分别下降6.1%、7.4%和6.7%,强调了代码风险信息在检测性能中的重要性。

实验去除节点特征(𝑇 𝐹 𝐵 𝐺𝑁 𝑜 𝑁)导致精度下降5.3%,召回率下降17.6%,F1分数下降9.6%。去除边缘特征(𝑇 𝐹 𝐵 𝐺𝑁 𝑜 𝐸)导致召回率下降22.0%,F1分数下降11.2%。节点和边缘特征的缺失显著降低召回率,增加假阴性率,表明它们在捕捉交易行为中至关重要。未进行同时去除节点和边缘特征的实验,因为这会剥夺TFBG的有效信息。

RPHunter结合SRCG和TFBG的分析,提升了检测效果。与单独使用SRCG相比,RPHunter在精确度、召回率和F1分数上分别提高了2.6%、4.7%和3.7%。TFBG帮助RPHunter利用交易行为信息,增强检测能力。与单独使用TFBG相比,RPHunter在精确度、召回率和F1分数上分别提高了23.6%、13.1%和18.5%。结果表明SRCG和TFBG的融合分析有效提升了Rug Pull检测性能。

RQ4:现实世界中的Rug Pull

RPHunter在以太坊主网的实验中,分析了2024年5月至7月间部署的合约,识别出4801个Rug Pull代币。通过对247个开源代币的深入分析,发现23个假阳性,真实阳性率为91%。假阳性的主要原因是某些诈骗者使用简单合约和社交媒体吸引投资,快速撤回流动性。108个Rug Pull代币存在时间不超过24小时,显示出诈骗的迅速性和检测框架的必要性。MNHA代币案例中,诈骗者在8分钟内通过限制交易和提取流动性完成Rug Pull,RPHunter成功在流动性提取前识别出该行为。

保护你的加密货币,Rug Pull诈骗识别,F1-Score高达94.5%-AI.x社区

对有效性的威胁

研究方法存在有效性威胁,主要因样本偏差,需更多Rug Pull事件以评估RPHunter。RPHunter在代码风险信息提取上受限于Gigahorse的流分析精度,建议整合更先进的工具以降低此威胁。

总结

本文提出了RPHunter,一个新型的Rug Pull检测框架,结合代码和交易信息,通过SRCG和TFBG进行特征学习。在645个Rug Pull代币和1675个良性代币的手动标注数据集上评估,RPHunter有效检测Rug Pull代币,超越五种先进方法,时间开销可接受。在以太坊主网上应用RPHunter,识别出4801个Rug Pull代币,精度达到91%,证明其在实际场景中的有效性。

本文转载自​​灵度智能​​,作者:灵度智能

收藏
回复
举报
回复
相关推荐