近日，CertiK安全专家团队频繁检测到多起手法相同的“退出骗局”，也就是我们俗称的Rug Pull。

在我们进行深入挖掘后发现，多起相同手法的事件都指向同一个团伙，最终关联到超过200个Token退出骗局。这预示着我们可能发现了一个大规模自动化的，通过“退出骗局”方式进行资产收割的黑客团队。

在这些退出骗局中，攻击者会创建一个新的ERC20代币，并用创建时预挖的代币加上一定数量的WETH创建一个Uniswap V2的流动性池。

当链上的打新机器人或用户在该流动性池购买一定次数的新代币后，攻击者则会通过凭空产生的代币，将流动性池中的WETH全部耗尽。

由于攻击者在凭空获取的代币没有体现在总供应量中（totalSupply），也不触发Transfer事件，在etherscan是看不到的，因此外界难以感知。

攻击者不仅考虑了隐蔽性，还设计了一个局中局，用来麻痹拥有初级技术能力，会看etherscan的用户，用一个小的问题来掩盖他们真正的目的……

我们以其中一个案例为例，详解一下该退出骗局的细节。

被我们检测到的实际上是攻击者用巨量代币（偷偷mint的）耗干流动性池并获利的交易，在该交易中，项目方共计用416,483,104,164,831（约416万亿）个MUMI兑换出了约9.736个WETH，耗干了池子的流动性。

然而该交易只是整个骗局的最后一环，我们要了解整个骗局，就需要继续往前追溯。

3月6日上午7点52分（UTC时间，下文同），攻击者地址（0x8AF8）Rug Pull部署了名为MUMI（全名为MultiMixer AI）的ERC20代币（地址为0x4894），并预挖了420,690,000（约4.2亿）个代币且全部分配给合约部署者。

预挖代币数量与合约源码相对应。

8点整（代币创建8分钟后），攻击者地址（0x8AF8）开始添加流动性。

攻击者地址（0x8AF8）调用代币合约中的openTrading函数，通过uniswap v2 factory创建MUMI-WETH流动性池，将预挖的所有代币和3个ETH添加到流动性池中，最后获得约1.036个LP代币。

从交易细节可以看出，原本用于添加流动性的420,690,000（约4.2亿）个代币中，有63,103,500（约6300万）约个代币又被发送回代币合约（地址0x4894），通过查看合约源码发现，代币合约会为每笔转账收取一定的手续费，而收取手续费的地址正是代币合约本身（具体实现在“_transfer函数中”）。