目录Rug Pull (跑路盘) 识别与防御1. 什么是 Rug Pull2. 受害者视角典型剧本3. 常见手法 (按发生位置分类)3.1 Liquidity Rug (抽 LP) — 最经典3.2 Mint Rug (无限增发砸盘)3.3 Ownership / Proxy Rug (升级合约逻辑)3.4 Approval Rug (永久授权)3.5 Slow Rug / Soft Rug (慢性跑路)3.6 Exit Liquidation Rug (借贷型跑路)4. 红旗清单 (Red Flags)5. 自动化检测方案5.1 静态合约风险扫描5.2 实时链上监控 (核心最有价值)5.3 行为指标打分 (慢性 rug)5.4 综合分层方案 (推荐)6. 面向普通用户的现成工具7. 给安全平台的实践建议8. 真实案例参考9. 参考资料10. 一句话总结Rug Pull (跑路盘) 识别与防御面向新人和安全研究者。读完应该能回答什么是 rug pull它和貔貅币 ([[honeypot-pixiu-token]]) 有什么区别常见手法有哪几类我作为用户怎么避坑我作为安全平台怎么自动检测和监控1. 什么是 Rug PullRug pull 字面意思是“把地毯抽走”—— 你站在地毯上项目方猛地一抽你直接摔到地上。在 Web3 语境里项目方在筹集到足够资金 / 流动性 / 持有者后通过某种方式把池子里的真金白银 (ETH / BNB / USDT) 卷走留给散户一堆归零的代币。和貔貅币的关键区别维度貔貅币 (Honeypot)Rug Pull (跑路盘)用户能不能买能能用户能不能卖不能 / 极高税一开始能后来不能项目方核心动作让你永远卖不掉自己先跑时间窗口部署即陷阱通常需要等养盘关键合约权限_transfer限制LP / Owner / Mint / Proxy实际上很多骗局是“养盘 → 拉盘 → rug → 顺手开貔貅模式”的组合拳。2. 受害者视角典型剧本Day 0 匿名团队部署合约 加 LP (10 BNB) 在 Telegram/X 建群 Day 1 网红 / KOL 开始喊单FOMO 进场 Day 3 K 线连续阳线$XYZ 涨 10 倍群里晒收益截图刷屏 Day 7 持有人破万TVL 200 BNB看似基本面良好 Day 8 凌晨 3 点 (亚洲深夜 / 美国凌晨) ① 项目方调用 removeLiquidity 抽走 LP → 币价瞬间归零 ② 或 owner 调用 mint 增发 1 万亿枚砸盘 → 稀释归零 ③ 或 owner 调用 setTax(99) 变成貔貅 → 谁都跑不出来 Day 8.1 群被解散 / Telegram 频道删除 / 网站关闭 Day 9 链上分析: 资金通过 Tornado Cash / 跨链桥洗走整个链路在合约层面通常是合法的——owner 行使了合约赋予 owner 的权力只是这种权力本来就不该给。3. 常见手法 (按发生位置分类)3.1 Liquidity Rug (抽 LP) — 最经典最朴素的一种直接调用 router// 项目方钱包持有 LP token (因为是它加的池子) IUniswapV2Router02(router).removeLiquidity( tokenA, WETH, lpAmount, 0, // amountAMin 0 0, // amountBMin 0 deployer, block.timestamp );执行后池子里的 ETH / BNB 全部进入 deployer 钱包池子里只剩项目方代币 (一文不值)用户钱包里的代币变成纯空气前提条件deployer 持有 LP token (即流动性没被锁死)。3.2 Mint Rug (无限增发砸盘)合约里留了 owner-only 的mint/_mint函数function mint(address to, uint256 amount) external onlyOwner { _mint(to, amount); }部署初期发行量 100 万等用户买了一堆后owner 增发 10 亿全部砸到池子里换走 ETH。用户手里的代币因为通胀稀释到接近 0。变种Hidden mint用名字诡异的函数 (updateBalance/airdrop/claim) 偷偷做 mintModifier 绕过通过transferFrom 永久 allowance 给一个内部地址等价于无限 mint3.3 Ownership / Proxy Rug (升级合约逻辑)合约用 EIP-1967 proxy。初期 implementation 看着很干净等持仓上来 owner 调用upgradeTo(newImpl)新逻辑里把_transfer改成貔貅加一个drain()函数把所有余额转给 owner改税率到 99%审计陷阱第一次审计只看了当时的 implementation没看 proxy admin 权限不能发现这种风险。3.4 Approval Rug (永久授权)不是改合约而是利用用户给的 ERC-20 授权项目方诱导用户对一个质押合约或领空投合约做approve(spender, MAX_UINT256)等大量地址授权后spender 调用transferFrom把所有授权地址的代币 / USDT 一次卷走这类常见于假空投网站(Connect Wallet → Sign → 实际 approve)假 DEX 前端(改了路由地址approve 给攻击者)EIP-2612 Permit 钓鱼(一个签名就授权连 gas 都不用)3.5 Slow Rug / Soft Rug (慢性跑路)不是一次抽光而是慢慢拿。常见模式持续高税进 deployer 钱包每笔交易 5% “marketing tax” 实际进 owner慢慢累积质押 / 挖矿合约的虚假 reward用户存 ETH 进去挖代币实际 ETH 被转走“Marketing wallet” 隐性砸盘deployer 持有 20% 初始供应分批小额抛售特征链上看每天都很正常但 90 天后回头看 LP 变小一半。3.6 Exit Liquidation Rug (借贷型跑路)针对借贷协议或 perp DEX项目方部署一个高 APR的借贷池用某个垃圾代币做抵押借出真金白银 (USDC / ETH)不还款让抵押品被清算 (但抵押品是垃圾根本卖不出)协议产生坏账存款人 (LP) 承担损失2022 年的 Mango Markets, Aave 上的 CRV 攻击都是类似手法的衍生。4. 红旗清单 (Red Flags)给散户的投前 5 分钟必查红旗怎么查严重程度团队完全匿名 没有任何过往项目项目官网 / Twitter / LinkedIn⚠️⚠️合约未开源Etherscan / BscScan 的 Contract 标签⚠️⚠️⚠️ 直接 passOwner 未 renounce (owner()≠ 0x000)合约 read 函数⚠️⚠️LP 未锁仓 / 锁仓时间 6 个月Mudra / Unicrypt / PinkLock⚠️⚠️⚠️合约里有mint/setTax/setBlacklist源码搜索⚠️⚠️合约是 proxy (可升级)看是否是 EIP-1967 proxy 模式⚠️⚠️Top 10 持仓 50%BscScan Holders 标签⚠️⚠️Deployer 钱包持仓 5% 且未锁链上分析⚠️⚠️部署时间 7 天Etherscan Contract Creation⚠️ (新盘风险高)TG / Discord 禁止讨论价格 / 频繁踢人社群观察⚠️APR / 收益高得离谱 (1000%)文档 / DApp UI⚠️⚠️⚠️经验法则红旗 ≥ 2 个直接放弃不要博侥幸。5. 自动化检测方案5.1 静态合约风险扫描部署时一次性扫描合约的危险权限。核心要返回的字段risk_report{# Owner 风险owner_renounced:bool,is_proxy:bool,# 可升级 高危proxy_admin_renounced:bool,# Mint / Supply 风险has_mint_function:bool,has_hidden_mint:bool,# mint 但函数名不叫 mintmax_supply_capped:bool,# Transfer 风险 (和貔貅币高度重叠)can_modify_tax:bool,max_buy_tax:float,# 看代码上限max_sell_tax:float,has_blacklist:bool,has_pause:bool,# owner 可暂停所有转账# 流动性风险lp_locked:bool,lp_lock_until:timestamp,lp_lock_amount_pct:float,# 锁了多少比例 LP# 持仓集中度top10_holding_pct:float,deployer_holding_pct:float,}工具栈GoPlus Token Security API— 上述大部分字段可以直接拿Slither(有源码时) — 检测 mint / proxy / dangerous-modifier自建反编译扫描— 没源码时用 Panoramix 反编译扫 selector5.2 实时链上监控 (核心最有价值)静态扫描只能告诉你风险存在真正止损的是实时监控触发预警。监听以下事件监听对象触发条件告警级别LP tokenTransferevent 中from locker contract且value大 LP 解锁 (跑路前兆)Pair 合约Burnevent (即removeLiquidity) 数额超过池子 10% 正在抽 LPToken 合约OwnershipTransferred到一个全新地址 owner 换人Token 合约Upgradedevent (proxy 升级) 逻辑被改Token 合约Mint/Transfer(from0x0)大额 突然增发Token 合约owner 调用setTax/setBlacklist 规则突变Deployer 钱包大额转账 / 提币到 CEX / Tornado 可能在洗钱技术方案节点 WebSocket 订阅(eth_subscribenewHeads / logs)实时推送Tenderly Alerts/Forta Network— 托管方案自建 indexerHive 数仓接入链上交易表按 token 维度跑分钟级聚合5.3 行为指标打分 (慢性 rug)针对 slow rug离线跑指标-- 伪 SQLSELECTtoken_address,-- LP 流失速度(lp_30d_ago-lp_now)/lp_30d_agoASlp_drain_30d,-- Deployer 净流出deployer_outflow_usd_30dASdeployer_dump_30d,-- 持有人增长是否停滞holders_now-holders_30d_agoASholder_growth_30d,-- 卖单是否被少数地址垄断unique_sellers_30d/total_sells_30dASseller_concentrationFROMtoken_metrics_dailyWHEREblock_datecurrent_dateHAVINGlp_drain_30d0.3ORdeployer_dump_30d50000这类查询在 Hive 数仓 (参考hive-data-query-guide.md) 里能跑出全市场 rug 风险榜单反向用于交易所上币审查 / 钱包风控。5.4 综合分层方案 (推荐)[T-0 上币 / 部署时] Layer 1 静态扫描 (GoPlus Slither) ↓ [T0 ~ T∞ 持续监控] Layer 2 事件订阅 (LP / Owner / Proxy / Mint) ↓ [T1d ~ T30d 慢性指标] Layer 3 行为打分 (LP drain / deployer dump / 集中度) ↓ [异常触发] Layer 4 人工 review 用户预警 (钱包插件 / 通知)6. 面向普通用户的现成工具工具用途链支持RugDoc专门审 farm / vault / 收益聚合器 rug 风险给安全等级BSC / Polygon 等Token Sniffer综合百分制评分覆盖 owner / LP lock / clone scamETH / BSCDe.Fi Scanner综合代币 协议 rug 风险报告全链最广GoPlus Security底层 APIDEXTools / Dexscreener 都在用它全链Mudra / Unicrypt / PinkLock查 LP 是否真的锁了、锁到什么时候多链钱包插件: Pocket Universe / Wallet Guard / Blockaid在签名前实时模拟交易后果挡 approval rugEVM 全链实战流程投前— Token Sniffer GoPlus Mudra (LP 锁仓) 三件套投中— 钱包插件做签名拦截杜绝 approval / permit 钓鱼投后— 关键 token 加入 De.Fi / Forta 的 watchlist事件实时推送7. 给安全平台的实践建议如果在做代币 / 项目跑路风险服务分阶段建设MVP (4 周)接入 GoPlus Token Sniffer API覆盖静态风险输出统一 schema 的 risk report (字段见 5.1)风险等级映射SAFE / LOW / MEDIUM / HIGH / CRITICALV2 (3 个月)自建实时事件监控 (LP burn / Owner change / Proxy upgrade / Large mint)推送通道Webhook / Telegram / Email / 钱包插件对所有用户已持仓的 token 自动加监控V3 (6 个月)离线行为指标打分 (Hive)全市场 rug 风险榜单 (反向用于上币审查)联动 SAR (Suspicious Activity Report) 与合规系统资金流追踪 (deployer → mixer → CEX) 用于事后追赃8. 真实案例参考AnubisDAO (2021)— 募资 13,556 ETH 后 deployer 钱包私钥被泄露全部资金消失 (典型 deployer rug)SQUID Token (2021)— 蹭《鱿鱼游戏》IP2 周涨 23 万倍deployer 抽 LP 跑路Thodex (2021)— 土耳其 CEX 跑路CEO 卷走 20 亿美金Compounder Finance (2020)— proxy 升级 rug逻辑改完直接 drainMagnate Finance (2023)— Base 链借贷协议 rugdeployer 与 SolFire / Kokomo 是同一团伙9. 参考资料GoPlus Security Docs: https://docs.gopluslabs.io/Forta Network: https://forta.org/Tenderly Alerts: https://tenderly.co/alertsRugDoc Wiki: https://wiki.rugdoc.io/SlowMist 慢雾年报: https://www.slowmist.com/“Do Not Rug on Me: Leveraging Machine Learning Techniques for Automated Scam Detection” (Mazorra et al., 2022)10. 一句话总结Rug pull 的核心是项目方手里捏着一把合法的开关——抽 LP、增发、改税、升级 proxy、卷 approval。防御的底层逻辑只有一句把用户从信任开关持有者迁移到信任开关被锁死本身。工具都只是辅助看到红旗别 FOMO比任何检测器都管用。