——本文由 X-explore 与吴说区块链联合发布。

摘要：

链上每天有少则几百，多则上千的ERC20 Token被创建，这其中混杂着超过15%的假币合约（我们将短时间之内快速创建、吸引正常用户购买并结束整个生命周期的代币称为假币）。基于链上数据分析，发行假币的每日盈利可达 22.4 ETH。

本文对假币产业深入挖掘，揭示黑产团伙的假币盈利流程，分析2022年假币态势，最后案例分析黑产团伙手法升级的演变过程。作为黑产行业揭秘的一部分，希望Web3用户更加提高警惕。

什么是链上假币

链上每天都有几百个新的erc20 token被创建，其中包括：

1. 项目方发行的价值Token：这些Token经过较为严格的审计后，会被收录在CoinMarketCap以及CoinGecko中。后期，还会在中心化交易所上架交易。

2. 测试Token：有很多合约的创建者都是正在学习写合约，或者正在测试合约部署。

3. 广告Token：一些平台，比如赌博平台会将URL作为Token名称，分发给链上用户。起到广告宣传的效果。

4. 假币Token：我们将短时间之内快速创建、吸引正常用户购买并结束整个生命周期的代币称为假币。

链上假币Token被赋予的使命只有一个，收割链上用户，这种假币往往寿命很短，存活几天到几十分钟的都有，它会伪装成一个真币，厉害点的会碰瓷某个项目，之后由创建者隐藏在背后画线，创造出币价持续走高的k线图，吸引链上用户资金流入，最终币价会在所有人都等着继续升值的时候瞬间归零。 由于链上存在很多喜欢买高潜力新币的用户以及跟单巨鲸的用户，造假团伙就会朝着这方面去努力营造假象。比如用多个小号反复和池子交易以拉升价格；或者碰瓷某个项目方，误导不知情用户；亦或者合约内定义虚假事件，营造出各大交易所、V神、孙宇晨等巨鲸地址都在购买假币的假象。

假币盈利流程

我们对假币完整生命周期进行了分析，在吸引用户资金的手段、收割方式、资金流转方式方面进行了总结和分类。

（*EOA: Externally Owned Accounts 外部账户；*CA: Contact Account 合约账户）

各流程详细说明如下：

1. 假币团伙将部分资金转入一个新的EOA账户，作为之后的gas费和创建流动性的资产

2. 使用EOA账户完成假币CA的创建，同时给部分指定用户 mint 假币，合约中可能还隐藏着假币常有的功能，如貔貅、假空投等

3. 假币团伙使用EOA将假币和另一个有价值的币（通常是WETH）在uniswap创建流动性池，以使假币产生价值

4. 假币团伙使用一些手段达到吸引用户资金的目的（下文介绍）

5. 假币团伙使用收割资金的方式完成获利（下文介绍）

6. 假币团伙将收割到的资金洗白提到混币器或交易所，或者资金流转进入下一轮假币循环（下文介绍）

其中，④吸引用户资金的手段、⑤收割方式、⑥资金流转方式的详细分类如下：

1. 吸引用户资金的手段分类：

1.1 哄抬币价

假币团伙会通过刷量方式将假币的价格营造出币价持续走高的大好趋势，以此吸引不知情用户。

以上图中的Layer代币为例，分析所有购买代币的用户交易次数与金额，可以看出大部分的交易贡献都来自用户0xaecf2954a6c49e99e570dfaaa857c53e17a88027 ，该用户购买代币38次（占总交易次数的60%），金额达到41 ETH（占总交易额的90.1%）。

从资金来源看，假币创建者的资金来源是token刷量的用户0xae……27；从资金去向来看刷量用户刷量41 ETH后剩下的9 ETH直接Transfer给了假币创建者。可以肯定该地址与假币创建者属于同人身份，币价上升的趋势为该团伙主动操盘。

1.2 热点话题

假币团伙会根据最近网上的热点话题，发行对应的假的项目代币，以此增加假币的可信度或直接项目碰瓷，甚至于夸张点说只需要看看每天发行的假币名字就能了解到时下流行的新闻。根据我们的统计，近几个月仅仅是关于 FIFA 的假币就有不下于66个。

1.3 虚假转账

假币团伙会通过虚假事件给大量巨鲸地址转账，这种转账不会真正的转移token给用户，只是会在区块链浏览器中记录下转账的Logs，实际上并没有完成token转移的操作。以此来欺骗一些跟单巨鲸的用户，以及试图让该假币可信度再次提升。

比如这笔交易，就是很典型的假空投，欺骗浏览器而制造假的erc20转账记录。假币团伙伪造了与项目方LayerZero名字相同的代币，并在交易日志伪造了Stargate Finance合约部署者给500个链上巨鲸空投的假象，被空投的巨鲸包括了Binance、Kucoin、FTX等交易所地址，会让链上用户误以为这些交易所即将上架这些代币。

从这笔交易提交的参数可以看出，发送方和接收方都是该团伙随意指定的交易双方，随时可以构造假的交易事件来误导链上用户和链上监控者的交易决策。

在token合约airdrop()函数里得知，该函数仅仅是循环并记录了500个转账事件，并没有实际的token转移。

然而正常的转账逻辑应该是是 减少发送者的 balance -> 增加接收者的 balance -> Transfer 记录事件。

2. 收割方式分类：

当假币团伙吸引到了用户资金进入池子后，会通过各种方式阻挠用户资金离场，包括快速收割使用户来不及卖掉、或者在合约中定义了“用户买完就不让再次交易”的逻辑、或者百分之一百的代币手续费、或者买完就被拉入代币黑名单、还有更离谱的是代币创建者监控买币用户，然后主动调用合约将用户手里的代币燃烧掉……。之后就是收割池子里的资金了。

2.1 删除流动性

假币创建者可以随时在 Uniswap 上为假币添加流动性（创建交易对，向池子支付两种代币）、删除流动性，而不需要经过任何审计或许可，这就直接导致了创建者可以为任何代币添加流动性，包括假币。而创建者也有权撤销池子流动性以拿回所有的两种代币，所以很多假币会在交易对中代币价值价值最高的时候以 owner 身份删除流动性从而拿到池子里的所有代币，完成对用户资金的收割。

2.2 砸盘

假币创建者掌握着假币的最高权限，可以随时 mint 大量假币，也可以用创建合约时发行给的大量假币将假币池子里的所有的另一种有价值的代币瞬间抽空，而与删除流动性不同的是，此时池子里会有大量的假币和极少的另一种 token，而创建者手里的权限可以保证他在未来能够反复收割。

3. 资金流转方式分类：

资金流转技术逐渐提升并加以混用，会使得其他人的溯源与追踪工作难以进行，能够很大程度的避免其他人注意，使自己闷声发大财。

3.1 直接转账

直接进行eth的转账是最粗糙的方式，是该团伙最初的资金流转方式，代表该团伙一开始最简陋但最方便的技术手段。

3.2 通过 1inch 转账

在这个阶段，该团伙使用 1inch 的 swap 功能将造假币赢得的 WETH 置换为 ETH，并直接发送给另一个新地址。将资金的流转隐藏到与1inche的 swap 交互中，这种交易较为不易追踪。

3.3 通过 uniswap 转账

该团伙将资金流转融入到正常的swap中（该团伙使用持有大量假币的地址，到交易对池子中砸盘，将获利的 WETH 直接出到新地址，为下一次发假币做准备），从而在 etherscan 交易列表里隐藏了大额的 WETH 的交易。在上游地址的交易列表只能看到大额假币流入 uniswap，这种方式较难追踪。

假币发行以及盈利的态势分析

1. 假币发行情况

我们基于链上行为筛选出了最置信的假币名单，发现每日发行假币的占比在15%左右。

从近几个月ETH链上新币中假币的占比可以看出，近半年来每日创建的新币数量和假币数量均呈上升趋势，在2022年10月24日左右达到巅峰水平，单日新增 token 757个，其中130个是假币；11月之后每日新币与假币数量逐渐趋于稳定，单日新增 token 在300个左右，假币在31个左右。

2. 盈利情况

我们计算了买币的用户损失情况（同等于假币团伙每天的盈利），如图用户损失资金全部为假币团伙盈利，近8个月平均每天链上假币团伙收益为22.4 ETH。

3. 黑产分析

从各地址发假币数量的占比可以看出大部分的假币创建行为都是用新地址完成的，盈利之后资金流转到下个地址，开始下一轮发假币的收割行为。

平均每个假币池子的成本是3.4 ETH，平均每天有31个假币诞生，平均每个假币盈利0.72 ETH，大部分假币都是当天完成对用户的收割。

4. 购买者分析

假币购买者当中MEV与普通用户的交易占比是1:9，平均每个假币交易对池子MEV bot发起0.79个交易，正常用户发起6.8个交易。（MEV bot是指通过更改区块中的交易顺序，以此在正常链上交易中套利的机器人）

在盈利方面MEV盈利概率远大于普通用户，购买假币的MEV几乎百分百能盈利，而正常用户用户大部分都会亏钱（75%）。少量能挣钱的正常用户是因为买卖操作非常迅速，在假币团伙还没来得及收割前就已经卖出了假币。

从正常用户购买假币的次数可以看出，大部分用户只购买过几次假币就停止了，购买假币次数为1-2次的用户占69.9%，购买假币次数为3-5次的用户占13.4%，应该是被收割之后变得小心了，其余的用户是冲新币用户，曾经或现在以冲土狗获得收益为乐。

最后，以一个冲土狗用户的交易历史来分析该用户的心路历程，他在假币上至少损失了11 ETH。可以发现该用户在2022年5月前冲土狗比较频繁，回报盈利也相当不错（多数盈利在10倍左右，例如该用户曾从 JPG 池子里获得了2 ETH的利润）。

直到市场转熊之后，假币也多了起来，冲了5个token其中4个都是假币，但赚到一笔依旧回本（盈利：1.1 ETH，亏损：0.13 ETH）。但几个月后该用户又一次没禁得住诱惑，自认为找到一个优质token之后，像其他上当用户一样投入了大量ETH，仅一分钟后就被假币团伙收割资金。

假币发行技术升级

1. 常规流程

最普遍的假币创建方式，在uniswap v2 执行add_Liquidity()函数创建假币与WETH的交易对并添加流动性，之后通过执行remove_Liquidity()函数删除流动性来完成用户资金收割。

以创建者 0xF6F2E5E9EFa7582deD9a4ebb2ffc333a59C30d4D 的操作记录为例，首先创建token合约，然后用刚创建的token和20 ETH 创建了一个uniswap v2的交易对。

之后就用小号去swap把控价格吸引用户入场，以下是该团伙其中一个小号的交易记录，可以看到这些交易全都是用ETH买假币的刷量交易。

创建者会监控买币的真正用户，然后调用代币内的submit()函数burn掉用户的token余额，防止用户套利离场。最后创建者就删除流动性，转移从池子获得的所有资金（这部分资金包括：创建池子的本金+小号wash trading投入+真实买币用户亏损）

2. 套现升级

收割时使用更加隐蔽的砸盘，通过小号用大量的假币把用户资金WETH从池子里置换出来。

例如交易对uniswap v2: OASYS 2，假币团伙通过小号用大量假币去砸盘，置换出60 ETH。

3. 创建交易对升级

在创建交易对时不直接调用add_Liquidity()函数，而将这一步操作编码在假币合约构造函数中，在假币被创建的时候，交易对便自动创建了。

比如 BIYC 这个token就是在创建时就调用了uniswap v2的工厂合约进行了交易对创建。

4. 币对升级

交易对不再局限于假币与WETH之间，而使有价值的币都可以替换WETH实现套利。

以下这笔交易就是假币与USDC一起形成的交易对

5. router 升级

虽然 uniswap v2 更普及，但假币也能拓展到uniswap v3以及其他无需审核的dex，当前假币都是通过v2的工厂合约创建。

敬请关注我们。

Mirror: https://mirror.xyz/x-explore.eth

Twitter: https://twitter.com/x_explore_eth