作者 ：CertiK

在Web3世界中，新代币不断涌现。你是否想过，每天究竟有多少新代币在发行？这些新代币都安全吗？

这些疑问的产生并非无的放矢。在过去数月里，CertiK安全团队捕捉到了大量的Rug Pull交易案例。值得注意的是，这些案例中所涉及的代币无一例外都是刚刚上链的新代币。

随后，CertiK对这些Rug Pull案例进行了深入调查，发现背后存在组织化的作案团伙，并总结了这些骗局的模式化特征。通过深入分析这些团伙的作案手法，CertiK发现了Rug Pull团伙一种可能的诈骗推广途径：Telegram群组。这些团伙利用Banana Gun、Unibot等群组中的“New Token Tracer”功能吸引用户购买诈骗代币并最终通过Rug Pull牟利。

CertiK统计了从2023年11月至2024年8月初期间这些Telegram群组的代币推送信息，发现共推送了93,930种新代币，其中涉及Rug Pull的代币共有46,526种，占比高达49.53%。据统计，这些Rug Pull代币背后团伙的累计投入成本为149,813.72 ETH，并以高达188.7%的回报率牟利282,699.96 ETH，折合约8亿美元。

为了评估Telegram群组推送的新代币在以太坊主网中的占比，CertiK统计了相同时间段内以太坊主网上发行的新代币数据。数据显示，在此期间共有100,260种新代币发行，其中通过Telegram群组推送的代币占主网的89.99%。平均每天约有370种新代币诞生，远超合理预期。在经过不断深入地调查之后，我们发现的真相令人不安——其中至少48,265种代币涉及Rug Pull诈骗，占比高达48.14%。换句话说，以太坊主网上几乎每两个新代币中就有一个涉及诈骗。

此外，CertiK还在其他区块链网络中发现了更多的Rug Pull案例。这意味着不仅是以太坊主网，整个Web3新发代币生态的安全状况远比预期更加严峻。因此，CertiK撰写了这份调研报告，希望能够帮助所有Web3成员提升防范意识，在面对层出不穷的骗局时保持警惕，并及时采取必要的预防措施，保护好自己的资产安全。

在正式开始本报告之前，我们先来了解一些基础概念。

ERC-20代币是目前区块链上最常见的代币标准之一，它定义了一组规范，使得代币可以在不同的智能合约和去中心化应用程序（dApp）之间进行互操作。ERC-20标准规定了代币的基本功能，例如转账、查询余额、授权第三方管理代币等。由于这一标准化的协议，开发者可以更轻松地发行和管理代币，从而简化了代币的创建和使用。实际上，任何个人或组织都可以基于ERC-20标准发行自己的代币，并通过预售代币为各种金融项目筹集启动资金。正因为ERC-20代币的广泛应用，它成为了许多ICO和去中心化金融项目的基础。

我们熟悉的USDT、PEPE、DOGE都属于ERC-20代币，用户可以通过去中心化交易所购买这些代币。然而，某些诈骗团伙也可能自行发行带有代码后门的恶意ERC-20代币，将其上架到去中心化交易所，再诱导用户进行购买。