保护你的加密货币，Rug Pull诈骗识别，F1-Score高达94.5%

​“Your Token BecomesWorthless: Unveiling Rug Pull Schemes in Crypto Token via Code-and-Transaction Fusion Analysis”

区块链技术推动了金融领域的变革，促进了去中心化金融（DeFi）应用的发展，但也带来了安全挑战，尤其是“Rug Pull”诈骗，2024年损失达8540万美元。Rug Pull是一种诈骗手法，诈骗者通过吸引投资者购买代币，随后撤走资金，导致投资者手中代币变得毫无价值。

本研究收集了645个真实Rug Pull案例，构建了最大的手动分析数据集。提出了RPHunter方法，利用图神经网络（GNN）建模代码风险信息和可疑交易行为，通过语义风险代码图（SRCG）和代币流行为图（TFBG）进行特征学习。RPHunter在评估中表现优异，检测精度达到95.3%，召回率93.8%，F1分数94.5%，并在以太坊主网识别出4801个Rug Pull代币，实际评估精度为91%。

摘要

Rug Pull诈骗是加密货币中的持续威胁，导致重大财务损失，通常通过蜜罐合约吸引投资，限制代币销售并抽走资金。现有检测方法主要依赖预定义模式或统计交易数据，无法有效识别复杂的恶意代码和可疑交易行为的结合。本文提出RPHunter，结合代码和交易信息进行Rug Pull检测。

• RPHunter通过声明性规则和流分析提取代码风险信息，构建语义风险代码图（SRCG）。
• 同时，RPHunter将动态代币交易活动形式化为代币流行为图（TFBG），从网络结构和市场操控角度表征节点和边。
• 最后，利用图神经网络提取SRCG和TFBG的互补特征，通过注意力融合模型增强Rug Pull检测。

手动分析645个Rug Pull事件，构建了真实数据集，RPHunter在该数据集上实现了95.3%的精确率、93.8%的召回率和94.5%的F1分数，优于现有方法。在实际应用中，RPHunter识别了4801个Rug Pull代币，精确率为91%。

简介

区块链技术推动了金融领域的变革，促进了去中心化金融（DeFi）应用的发展，但也带来了安全挑战，尤其是“Rug Pull”诈骗，2024年损失达8540万美元。Rug Pull是一种诈骗手法，诈骗者通过吸引投资者购买代币，随后撤走资金，导致投资者手中代币变得毫无价值。现有的检测方法分为基于规则的方法和基于学习的方法，前者依赖静态分析，后者使用机器学习，但都存在高假阴性或假阳性的问题。研究发现，Rug Pull方案不断演变，现有方法未能有效整合代码和交易信息。

本研究收集了645个真实Rug Pull案例，构建了最大的手动分析数据集，揭示了Rug Pull的过程和风险特征。提出了RPHunter方法，利用图神经网络（GNN）建模代码风险信息和可疑交易行为，通过语义风险代码图（SRCG）和代币流行为图（TFBG）进行特征学习。RPHunter在评估中表现优异，检测精度达到95.3%，召回率93.8%，F1分数94.5%，并在以太坊主网识别出4801个Rug Pull代币，实际评估精度为91%。

背景

智能合约与交易

智能合约是自执行的程序，包含预定义规则和逻辑。通常使用图灵完备的编程语言（如Solidity、Viper）编写。部署时需编译为字节码并通过交易提交到区块链。一旦部署，智能合约不可更改，通过公共函数与外部账户或其他合约交互。交易是区块链网络中进行操作（如合约创建和调用）的媒介。

代币和代币标准

代币是通过智能合约实现的加密货币，管理持有者信息并支持相关活动。代币标准确保代币创建、分发和交互的统一协议，保证跨平台兼容性。代币智能合约需实现标准接口并发出标准事件，否则无法在区块链上交易。代币主要分为可替代代币（ERC-20）和不可替代代币（ERC-721）。ERC-20标准定义了6个接口和2个事件，用于代币转移、余额查询和授权使用。

Rug Pull

Rug Pull是DeFi生态系统中的常见骗局，通常发生在去中心化交易所（DEX）中。DEX通过流动性池进行交易，流动性池将代币与信誉资产（如WETH）配对，用户可直接从池中交易。流动性池根据供需原理动态调整代币价格。骗局开始时，诈骗者部署一个骗局代币并创建流动性池，吸引用户购买，导致代币价格上涨。一旦价格显著上升，诈骗者迅速将大量骗局代币兑换为有价值的代币，抽走流动性，投资者则剩下无价值的代币。

真实世界的Rug Pull研究

数据收集与分析

收集了1048个Rug Pull事件，涵盖多个区块链网络（ETH、BSC、FTM等），最终分析得到645个有效事件。排除131个无源代码和272个无交易历史的代币，确保数据的准确性。进行手动分析，三位专家独立审查代币合约和交易记录，识别潜在风险。通过共识投票确定每个Rug Pull的根本原因，并总结出Rug Pull的通用流程和风险特征。

Rug Pull程序

Rug Pull程序分为三个阶段：

• 阶段1：策略注入

嵌入欺诈性代码（如税免地址）以操控代币。

• 启动代币并建立流动性池以吸引投资者。
• 阶段2：拉高和抛售

通过高价值交易制造需求假象，抬高代币价格。

• 一旦资金积累，进行流动性提取。
• 阶段3：崩溃与逃逸

流动性被抽走后，代币价格迅速崩溃至零。

• 通过多地址洗钱以掩盖资金来源。

检测Rug Pull的关键：

• 整合代码风险信息与可疑交易行为，以实现全面检测。
• 仅依赖单一方面可能导致误报或漏报。

Rug Pull风险特征

Rug Pull代码风险：

• Sale Restrict：限制投资者出售代币的能力，包括：

Amount Restrict：限制销售金额和最低持有要求。

Timestamp Restrict：限制特定时间内的销售。

Address Restrict：使用白名单或黑名单限制地址。

• Variable Manipulation：诈骗者控制关键变量以进行恶意操作，包括：

Modifiable Tax Rate：可随意提高税率。

Modifiable Tax Address：可修改税收地址，转移资金。

Modifiable External Call：可替换外部合约中的恶意代码。

• Balance Tamper：通过预编码功能任意修改账户余额，包括：

Hidden Mint/Burn：无记录地创建或销毁代币。

Hidden Balance Modification：未经授权修改用户余额。

Rug Pull交易行为：

• Abnormal Network Structure：Rug Pull的交易图显示异常网络结构，中心节点连接性高，表明流动性和代币流动的主导角色。
• Market Manipulation：诈骗者通过集中购买代币制造虚假流动性，分散交易以掩盖操控行为，诱使投资者以高价购买。

方法

概览

RPHunter的设计包括三个主要模块：语义风险代码图(SRCG)构建、代币流行为图(TFBG)构建和拉高出货检测。

首先，RPHunter构建代币合约的语义代码图，并提取代码风险信息。同时，RPHunter分析代币流交易，提取异常交易行为特征，构建代币流行为图。最后，利用图神经网络和注意力融合模型综合检测拉高出货风险。

语义风险代码图构建

代码预处理：RPHunter通过Web3 API获取合约字节码，使用Gigahorse反编译为中间表示（IR），构建控制流图（CFG）并分析数据依赖关系，最终生成有向语义代码图（SCG）。

代码风险信息提取：RPHunter在SCG上进行流分析，识别潜在的Rug Pull操作和关系。定义基本关系（如数据流依赖DF和比较操作VC）和高级关系（如税率变量TV），并关注特权函数和代币转移函数中的风险。

声明性规则：建立“基本组件 + 插件”规则，针对三类代码风险和八个子类别，开发特定插件以检测独特模式，实现更细致的风险分析。

销售限制（Sale Restrict）：在代币转移功能中，存在机制限制代币销售，主要通过特权地址控制。

基本组件C1-BC：利用PTF识别代币转移功能，提取受控的存储变量和映射，标记为污染数据（PUMV ∨ PUMD）。

流传播分析：对存储变量和映射进行流传播分析，以识别其他污染数据。

地址限制（ADDR）：插件C1-P3将代币转移函数的地址变量视为敏感变量（PFAV），分析其与污染数据的比较，指示潜在约束（VC）。

比较操作：由于未使用直接比较运算符，比较操作分析依赖于IZ(s, v)检查特定条件是否与零比较。

流分析框架：结合基本组件和插件，提出流分析框架以有效识别代码风险的语义。transferFrom函数检查发件人地址是否在黑名单中，若在则终止交易。黑名单由合约所有者控制，存在可控黑名单的风险。基本组件BC识别到黑名单的使用并标记为污染数据。插件P3将transferFrom函数的from参数视为敏感变量。SHA3计算内存内容的哈希值，确定黑名单状态。存储的布尔值用于条件检查，形成require语句。存在源与汇之间的可达路径，关键操作和数据流被标记为关键块和关键流。

语义风险代码图生成器。RPHunter构建语义风险代码图（SRCG = (B, E)），B和E分别为节点和边的集合。遍历SCG中的每个节点并添加到SRCG，判断节点类型：若在CB中则为“critical”，含内部调用则为“invocation”，否则为“normal”。建立节点与其后继节点之间的边，判断边类型：若在CF中则为“critical”，有依赖关系则为“dependent”，否则为“normal”。

代币流行为图的构建

事务预处理。研究表明，代币流动性是识别可疑交易行为的重要指标，重点关注代币流动的交易。利用区块链浏览器收集代币合约地址的前500笔交易，以捕捉可疑行为，防止Rug Pull。从交易收据中提取转账金额和时间戳等关键属性。由于不同代币的小数位数差异，转账金额需经过两步处理：首先进行小数标准化，然后应用对数变换以减轻极端值的影响。

代币流行为图生成器。构建代币流动行为图（TFBG），节点为交易双方，边表示交易，包含节点和边的特征向量。TFBG用于捕捉动态交易活动，识别可疑行为，特征提取分为网络结构和操控行为两方面。

• 节点特征包括：中心性度量（如度中心性、介数中心性等）和操控行为特征（如TokenCreator、资金进出比、短期最大交易量等）。
• 边特征主要从操控行为角度提取，分为时间序列、交易和投资特征，包括创建间隔、最新间隔、是否批准等。
• 交易行为特征包括：Gas Limit（高值可能表明紧急交易）、转账值（异常高值可能操控市场）、谐波转账值（结合节点中心性识别潜在操控）。

定义八个特征以捕捉可疑投资行为，分析交易。累计进出交易量和数量反映节点作为接收者或发送者的总交易情况，异常可能指向诈骗行为。短期最大进出交易量和数量揭示短时间内的突发资金流动，可能暗示市场操纵。针对每个加密货币，RPHunter构建14维特征向量的交易网络图（TFBG）。

Rug Pull检测

代码图嵌入学习：使用BERT模型对SRCG中的节点进行编码，提取操作码序列进行基本块嵌入。采用异构图神经网络（RGCN）处理SRCG中的三种边类型（关键、依赖、普通），通过加权求和聚合节点特征。

交易图嵌入学习：使用TFBG作为输入图，设计统一聚合GNN（UAGNN）从节点和边特征中学习嵌入。聚合过程基于GCN，考虑时间相关的边特征，通过掩码机制聚合相关边的特征，最终通过均值池化获得TFBG的嵌入。

利用两种图嵌入构建融合模型进行Rug Pull检测，充分利用代码和交易图中的恶意信息。融合模型通过特征对齐，将SRCG和TFBG的图特征映射为8维向量，确保一致性。通过注意力模块进行特征变换和权重计算，输出的注意力权重经过softmax归一化。最终权重用于生成融合特征向量，输入分类器（包含dropout和全连接层）以预测代币标签。

实验

我们的目标是解决以下研究问题：

• RQ1：RPHunter在检测Rug Pull方面的有效性与现有方法的比较。
• RQ2：RPHunter的时间开销。
• RQ3：RPHunter各组件在检测Rug Pull中的贡献。
• RQ4：RPHunter能否揭示真实加密代币中的Rug Pull方案。

实验设置

构建了一个包含645个Rug Pull代币和1675个良性代币的真实数据集，基于开源代码和交易历史。收集了1048个Rug Pull代币，排除无源代码和无交易历史的代币后，得到645个Rug Pull代币。使用区块链浏览器API收集代币流转交易。

RPHunter原型使用Python和Datalog实现，包含2000多行Python代码，图神经网络基于Pytorch设计。数据集划分为60%-20%-20%的训练、验证和测试集，采用五折交叉验证。评估指标包括精准率、召回率、F1分数、假阳性率和假阴性率。实验在配备Intel Xeon Platinum 8163 CPU、3个RTX3090 GPU和1TB RAM的机器上进行。

RQ1: RPHunter的有效性

评估RPHunter的有效性，比较其与五种先进的Rug Pull检测方法的表现。

• 选择标准：开源可用性和适合自动化大规模实验。
• 五种方法包括：Ma et al.的Pied-Piper（基于datalog分析和模糊测试）、Lin et al.的CRPWaner（基于静态分析）、Mazorra et al.和Xia et al.（基于统计交易特征的学习模型）、GoPlus（商业工具，提供API）。

RPHunter在交易量为100时，F1分数达到91.8%，与交易量500的差异仅为2.7%，显示出其在低交易场景下的稳定性和有效性。RPHunter在真实数据集上表现优异，精度95.3%，召回率93.8%，FPR 1.8%，FNR 6.2%，F1分数94.5%；而Pied-Piper的FPR最低，但FNR极高。

数据集中229个事件通过解锁流动性发起Rug Pull，静态分析工具表现不佳；RPHunter结合代码语义信息和早期交易，有效检测无明显代码风险的Rug Pull。

学习型方法因依赖大量交易量和缺乏代码分析而表现不佳。在Rug Pull数据集中，84%的Rug Pull代币交易超过100次，只有3.4%少于10次，显示出高交易量的欺诈特征。

实验比较了有无代码信息的RPHunter性能，测试交易量为100至500。在不结合代码信息的情况下，随着交易量增加，检测效果逐渐提升，𝑇 𝑥 500的F1分数比𝑇 𝑥 100提高11.2%。

RQ2：RPHunter的时间开销

RPHunter检测Rug Pull风险的平均时间为20.95秒，主要来自复杂的流分析，适合早期检测以防止财务损失。

规则基础方法耗时较长，分别为28.36秒和103.46秒；学习型方法处理速度较快，但缺乏代码分析。商业工具GoPlus在标准场景下检测时间最短，但分析新部署代币时可能超过5分钟。RPHunter在时间开销和代码语义分析上表现平衡。

RQ3：消融分析

RPHunter的设计包括三个主要组件：提取SRCG中的代码风险信息、整合TFBG的节点和边特征、使用贪婪策略选择最佳模型。结合代码信息后，SRCG和TFBG的融合分析提升了Rug Pull检测效果。

进行的消融实验表明，去除SRCG中的代码风险信息（𝑆 𝑅 𝐶 𝐺𝑁 𝑜 𝑆 𝑅）导致精确率、召回率和F1分数分别下降6.1%、7.4%和6.7%，强调了代码风险信息在检测性能中的重要性。

实验去除节点特征（𝑇 𝐹 𝐵 𝐺𝑁 𝑜 𝑁）导致精度下降5.3%，召回率下降17.6%，F1分数下降9.6%。去除边缘特征（𝑇 𝐹 𝐵 𝐺𝑁 𝑜 𝐸）导致召回率下降22.0%，F1分数下降11.2%。节点和边缘特征的缺失显著降低召回率，增加假阴性率，表明它们在捕捉交易行为中至关重要。未进行同时去除节点和边缘特征的实验，因为这会剥夺TFBG的有效信息。

RPHunter结合SRCG和TFBG的分析，提升了检测效果。与单独使用SRCG相比，RPHunter在精确度、召回率和F1分数上分别提高了2.6%、4.7%和3.7%。TFBG帮助RPHunter利用交易行为信息，增强检测能力。与单独使用TFBG相比，RPHunter在精确度、召回率和F1分数上分别提高了23.6%、13.1%和18.5%。结果表明SRCG和TFBG的融合分析有效提升了Rug Pull检测性能。

RQ4：现实世界中的Rug Pull

RPHunter在以太坊主网的实验中，分析了2024年5月至7月间部署的合约，识别出4801个Rug Pull代币。通过对247个开源代币的深入分析，发现23个假阳性，真实阳性率为91%。假阳性的主要原因是某些诈骗者使用简单合约和社交媒体吸引投资，快速撤回流动性。108个Rug Pull代币存在时间不超过24小时，显示出诈骗的迅速性和检测框架的必要性。MNHA代币案例中，诈骗者在8分钟内通过限制交易和提取流动性完成Rug Pull，RPHunter成功在流动性提取前识别出该行为。

对有效性的威胁

研究方法存在有效性威胁，主要因样本偏差，需更多Rug Pull事件以评估RPHunter。RPHunter在代码风险信息提取上受限于Gigahorse的流分析精度，建议整合更先进的工具以降低此威胁。

总结

本文提出了RPHunter，一个新型的Rug Pull检测框架，结合代码和交易信息，通过SRCG和TFBG进行特征学习。在645个Rug Pull代币和1675个良性代币的手动标注数据集上评估，RPHunter有效检测Rug Pull代币，超越五种先进方法，时间开销可接受。在以太坊主网上应用RPHunter，识别出4801个Rug Pull代币，精度达到91%，证明其在实际场景中的有效性。

本文转载自​​​灵度智能​​​，作者：灵度智能