Điều tra sâu về các trường hợp Rug Pull, tiết lộ những bất cập trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các đồng tiền mới liên tục xuất hiện. Bạn có bao giờ nghĩ rằng mỗi ngày có bao nhiêu đồng tiền mới được phát hành? Những đồng tiền mới này có an toàn không?
Những nghi vấn này không phải là vô căn cứ. Gần đây, đội ngũ an ninh đã phát hiện ra hàng loạt trường hợp giao dịch Rug Pull. Điều đáng chú ý là, tất cả các token liên quan trong những trường hợp này đều là token mới vừa được đưa lên chuỗi.
Sau đó, một cuộc điều tra sâu về các trường hợp Rug Pull đã được tiến hành, phát hiện ra rằng có những băng nhóm tổ chức đứng sau và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu cách thức hoạt động của những băng nhóm này, một phương thức lừa đảo có thể của băng nhóm Rug Pull đã được phát hiện: nhóm Telegram. Những băng nhóm này đã lợi dụng chức năng "New Token Tracer" trong nhóm để thu hút người dùng mua các đồng tiền giả mạo và cuối cùng kiếm lợi từ Rug Pull.
Thống kê cho thấy, trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram này đã推送 tổng cộng 93,930 loại Token mới, trong đó có 46,526 loại Token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, và đã thu lợi với tỷ suất hoàn vốn lên tới 188.7%, thu về 282,699.96 Ether, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token mới được phát hành qua nhóm Telegram trên mạng chính của Ethereum, đã thống kê dữ liệu về các Token mới phát hành trên mạng chính của Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy, trong khoảng thời gian này, có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được phát hành qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa dự đoán hợp lý. Sau khi điều tra sâu sắc, sự thật được phát hiện thật đáng lo ngại - trong số đó, ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, gần như mỗi hai Token mới trên mạng chính của Ethereum đều liên quan đến lừa đảo.
Ngoài ra, đã phát hiện thêm nhiều trường hợp Rug Pull trong các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính của Ethereum, mà tình trạng an toàn của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự đoán. Do đó, báo cáo này nhằm giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo không ngừng xuất hiện, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy chuẩn giúp token có thể tương tác với nhau giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển khoản, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token mà nó trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về token ERC-20, người dùng có thể mua những token này thông qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các token ERC-20 độc hại có mã cửa hậu, đưa chúng lên sàn giao dịch phi tập trung, và sau đó dụ dỗ người dùng mua.
Rug Pull Token的典型诈骗案例
Tại đây, chúng tôi mượn một trường hợp lừa đảo Token Rug Pull để đi sâu vào hiểu mô hình hoạt động của lừa đảo Token độc hại. Đầu tiên cần phải nói rõ rằng, Rug Pull đề cập đến hành vi gian lận khi nhóm dự án đột ngột rút tiền hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc các nhà đầu tư chịu tổn thất lớn. Trong khi đó, Token Rug Pull là loại Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các Token Rug Pull được đề cập trong bài viết này đôi khi còn được gọi là "Token bẫy mật" hoặc "Token lừa đảo rút lui", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (băng nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai token TOMMI, sau đó sử dụng 1,5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua token TOMMI từ các địa chỉ khác để giả mạo khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và robot mới trên chuỗi mua token TOMMI. Khi có một số lượng nhất định robot mới bị mắc bẫy, kẻ tấn công sẽ sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã dùng 38.739.354 token TOMMI để dìm bể thanh khoản, đổi lấy khoảng 3,95 ETH. Nguồn token của Rug Puller đến từ việc cấp phép độc hại Approve trong hợp đồng token TOMMI, khi hợp đồng token TOMMI được triển khai sẽ cấp quyền approve cho Rug Puller trên bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút token TOMMI từ bể thanh khoản và thực hiện Rug Pull.
Quy trình Rug Pull
Chuẩn bị quỹ tấn công.
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua một sàn giao dịch như là vốn khởi động cho Rug Pull.
Triển khai Token Rug Pull có cửa hậu.
Deployer tạo ra Token TOMMI, khai thác trước 100,000,000 Token và phân phối cho chính mình.
Tạo hồ bơi thanh khoản ban đầu.
Deployer sử dụng 1.5 ETH và tất cả các Token được khai thác trước để tạo ra pool thanh khoản, nhận được khoảng 0.387 LP Token.
Huỷ bỏ tất cả nguồn cung Token đã được khai thác trước.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy. Do hợp đồng TOMMI không có chức năng Mint, nên lúc này Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút các bot tham gia vào đợt phát hành mới, một số bot sẽ đánh giá xem token mới vào hồ có tồn tại nguy cơ Rug Pull hay không. Deployer cũng đã đặt chủ sở hữu của hợp đồng thành địa chỉ 0, tất cả đều nhằm mục đích lừa đảo các chương trình chống gian lận của bot tham gia đợt phát hành mới).
Khối lượng giao dịch giả.
Kẻ tấn công chủ động mua Token TOMMI từ nhiều địa chỉ khác nhau trong bể thanh khoản, thổi phồng khối lượng giao dịch của bể, từ đó thu hút thêm robot phát hành mới tham gia (căn cứ để xác định những địa chỉ này là của kẻ tấn công: nguồn tiền của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công đã bắt đầu Rug Pull thông qua địa chỉ Rug Puller, trực tiếp chuyển 38,739,354 Token từ bể thanh khoản thông qua lỗ hổng của token, sau đó sử dụng những token này để phá bể, lấy ra khoảng 3.95 Ether.
Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung chuyển sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây, chúng ta có thể thấy rằng, khi Rug Pull hoàn tất, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập hợp tiền từ nhiều trường hợp Rug Pull mà đã được theo dõi, địa chỉ giữ tiền sẽ chia nhỏ phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua một sàn giao dịch nào đó.
Mã lừa đảo Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép hợp đồng khi tạo pool thanh khoản phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp chuyển Token ra khỏi pool thanh khoản.
phương pháp phạm tội hóa
Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể tổng kết ra 4 đặc điểm sau:
Deployer nhận được nguồn vốn từ một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của người triển khai (Deployer) thông qua một sàn giao dịch.
Deployer tạo ra bể thanh khoản và tiêu hủy LP Token: Người triển khai ngay sau khi tạo ra đồng Rug Pull sẽ lập tức tạo ra bể thanh khoản cho nó và tiêu hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường số lượng vượt quá tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong các trường hợp khác, Rug Puller cũng có thể lấy ETH trong bể bằng cách loại bỏ thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ giữ vốn: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ vốn, đôi khi thông qua địa chỉ trung gian để chuyển tiếp.
Những đặc điểm nêu trên phổ biến trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm mẫu rõ rệt. Hơn nữa, sau khi hoàn thành Rug Pull, quỹ thường được tập trung vào một địa chỉ giữ quỹ, điều này ám chỉ rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí cùng một băng nhóm.
Dựa trên những đặc điểm này, đã rút ra một mô hình hành vi của Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp được giám sát, với hy vọng xây dựng chân dung của các băng nhóm lừa đảo có thể.
Nhóm tội phạm Rug Pull
địa chỉ lưu giữ quỹ khai thác
Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ cuối cùng tập hợp tiền vào địa chỉ giữ tiền. Dựa trên mô hình này, một số địa chỉ giữ tiền rất năng động và có đặc điểm rõ ràng trong phương pháp gây án đã được chọn để phân tích sâu.
Có tổng cộng 7 địa chỉ giữ lại quỹ đã xuất hiện trong tầm mắt, những địa chỉ này liên quan đến 1.124 trường hợp Rug Pull đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Sau khi thực hiện thành công trò lừa đảo, các băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ giữ lại quỹ này. Những địa chỉ giữ lại quỹ này sẽ phân chia quỹ dự trữ để tạo ra các Token mới cho các trò lừa đảo Rug Pull trong tương lai, thao túng các hồ thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ dự trữ được rút tiền thông qua một sàn giao dịch hoặc nền tảng hoán đổi tức thì.
Thông qua việc thống kê chi phí và doanh thu của tất cả các vụ lừa đảo Rug Pull trong từng địa chỉ giữ tiền, đã thu được dữ liệu liên quan.
Trong một vụ lừa đảo Rug Pull hoàn chỉnh, băng nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) của token Rug Pull và rút tiền từ một sàn giao dịch để lấy vốn khởi động nhằm tạo ra token Rug Pull và các pool thanh khoản tương ứng. Khi thu hút được đủ số lượng người dùng hoặc robot đặt mua mới sử dụng Ether để mua token Rug Pull, băng nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển số tiền thu được đến địa chỉ giữ tiền.
Trong quá trình trên, ETH mà Deployer có được thông qua sàn giao dịch, hoặc ETH mà Deployer đầu tư khi tạo pool thanh khoản, được coi là chi phí của Rug Pull (cách tính cụ thể phụ thuộc vào hành vi của Deployer). Trong khi đó, ETH được Rug Puller chuyển đến địa chỉ lưu giữ quỹ (hoặc địa chỉ trung gian khác) sau khi hoàn thành Rug Pull được coi là doanh thu từ lần Rug Pull đó.
Cần lưu ý rằng, băng nhóm Rug Pull khi thực hiện lừa đảo, cũng sẽ chủ động sử dụng Ether để mua các Rug Pull Token mà họ tạo ra, nhằm mô phỏng hoạt động của một bể thanh khoản bình thường, từ đó thu hút các bot mua mới. Nhưng phần chi phí này chưa được tính vào, do đó dữ liệu đã đánh giá quá cao lợi nhuận thực tế của băng nhóm Rug Pull, lợi nhuận thực sự sẽ tương đối thấp.
Ba địa chỉ có tỷ lệ lợi nhuận cao nhất lần lượt là 0x1607, 0xDF1a và 0x2836. Địa chỉ 0x1607 đạt được lợi nhuận cao nhất, khoảng 2,668.17 Ether, chiếm tỷ lệ lợi nhuận của tất cả các địa chỉ.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
5
Đăng lại
Chia sẻ
Bình luận
0/400
MetaReckt
· 07-29 04:36
đồ ngốc chơi đùa với mọi người
Xem bản gốcTrả lời0
LongTermDreamer
· 07-27 17:47
Không sao, Thị trường Bear rửa một đợt là được, ba năm sau sẽ thu hồi vốn.
Xem bản gốcTrả lời0
GasBankrupter
· 07-26 07:28
Được chơi cho Suckers手法是进化了啊
Xem bản gốcTrả lời0
OnchainUndercover
· 07-26 07:23
Lại một đợt đồ ngốc chờ chơi đùa với mọi người rồi~
Hệ sinh thái token Ethereum hỗn loạn: Gần một nửa token mới liên quan đến lừa đảo Rug Pull với tổn thất lên đến 800 triệu đô la.
Điều tra sâu về các trường hợp Rug Pull, tiết lộ những bất cập trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các đồng tiền mới liên tục xuất hiện. Bạn có bao giờ nghĩ rằng mỗi ngày có bao nhiêu đồng tiền mới được phát hành? Những đồng tiền mới này có an toàn không?
Những nghi vấn này không phải là vô căn cứ. Gần đây, đội ngũ an ninh đã phát hiện ra hàng loạt trường hợp giao dịch Rug Pull. Điều đáng chú ý là, tất cả các token liên quan trong những trường hợp này đều là token mới vừa được đưa lên chuỗi.
Sau đó, một cuộc điều tra sâu về các trường hợp Rug Pull đã được tiến hành, phát hiện ra rằng có những băng nhóm tổ chức đứng sau và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu cách thức hoạt động của những băng nhóm này, một phương thức lừa đảo có thể của băng nhóm Rug Pull đã được phát hiện: nhóm Telegram. Những băng nhóm này đã lợi dụng chức năng "New Token Tracer" trong nhóm để thu hút người dùng mua các đồng tiền giả mạo và cuối cùng kiếm lợi từ Rug Pull.
Thống kê cho thấy, trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram này đã推送 tổng cộng 93,930 loại Token mới, trong đó có 46,526 loại Token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, và đã thu lợi với tỷ suất hoàn vốn lên tới 188.7%, thu về 282,699.96 Ether, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token mới được phát hành qua nhóm Telegram trên mạng chính của Ethereum, đã thống kê dữ liệu về các Token mới phát hành trên mạng chính của Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy, trong khoảng thời gian này, có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được phát hành qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa dự đoán hợp lý. Sau khi điều tra sâu sắc, sự thật được phát hiện thật đáng lo ngại - trong số đó, ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, gần như mỗi hai Token mới trên mạng chính của Ethereum đều liên quan đến lừa đảo.
Ngoài ra, đã phát hiện thêm nhiều trường hợp Rug Pull trong các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính của Ethereum, mà tình trạng an toàn của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự đoán. Do đó, báo cáo này nhằm giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo không ngừng xuất hiện, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy chuẩn giúp token có thể tương tác với nhau giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển khoản, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token mà nó trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về token ERC-20, người dùng có thể mua những token này thông qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các token ERC-20 độc hại có mã cửa hậu, đưa chúng lên sàn giao dịch phi tập trung, và sau đó dụ dỗ người dùng mua.
Rug Pull Token的典型诈骗案例
Tại đây, chúng tôi mượn một trường hợp lừa đảo Token Rug Pull để đi sâu vào hiểu mô hình hoạt động của lừa đảo Token độc hại. Đầu tiên cần phải nói rõ rằng, Rug Pull đề cập đến hành vi gian lận khi nhóm dự án đột ngột rút tiền hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc các nhà đầu tư chịu tổn thất lớn. Trong khi đó, Token Rug Pull là loại Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các Token Rug Pull được đề cập trong bài viết này đôi khi còn được gọi là "Token bẫy mật" hoặc "Token lừa đảo rút lui", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (băng nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai token TOMMI, sau đó sử dụng 1,5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua token TOMMI từ các địa chỉ khác để giả mạo khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và robot mới trên chuỗi mua token TOMMI. Khi có một số lượng nhất định robot mới bị mắc bẫy, kẻ tấn công sẽ sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã dùng 38.739.354 token TOMMI để dìm bể thanh khoản, đổi lấy khoảng 3,95 ETH. Nguồn token của Rug Puller đến từ việc cấp phép độc hại Approve trong hợp đồng token TOMMI, khi hợp đồng token TOMMI được triển khai sẽ cấp quyền approve cho Rug Puller trên bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút token TOMMI từ bể thanh khoản và thực hiện Rug Pull.
Quy trình Rug Pull
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua một sàn giao dịch như là vốn khởi động cho Rug Pull.
Deployer tạo ra Token TOMMI, khai thác trước 100,000,000 Token và phân phối cho chính mình.
Deployer sử dụng 1.5 ETH và tất cả các Token được khai thác trước để tạo ra pool thanh khoản, nhận được khoảng 0.387 LP Token.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy. Do hợp đồng TOMMI không có chức năng Mint, nên lúc này Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút các bot tham gia vào đợt phát hành mới, một số bot sẽ đánh giá xem token mới vào hồ có tồn tại nguy cơ Rug Pull hay không. Deployer cũng đã đặt chủ sở hữu của hợp đồng thành địa chỉ 0, tất cả đều nhằm mục đích lừa đảo các chương trình chống gian lận của bot tham gia đợt phát hành mới).
Kẻ tấn công chủ động mua Token TOMMI từ nhiều địa chỉ khác nhau trong bể thanh khoản, thổi phồng khối lượng giao dịch của bể, từ đó thu hút thêm robot phát hành mới tham gia (căn cứ để xác định những địa chỉ này là của kẻ tấn công: nguồn tiền của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công đã bắt đầu Rug Pull thông qua địa chỉ Rug Puller, trực tiếp chuyển 38,739,354 Token từ bể thanh khoản thông qua lỗ hổng của token, sau đó sử dụng những token này để phá bể, lấy ra khoảng 3.95 Ether.
Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung chuyển sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây, chúng ta có thể thấy rằng, khi Rug Pull hoàn tất, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập hợp tiền từ nhiều trường hợp Rug Pull mà đã được theo dõi, địa chỉ giữ tiền sẽ chia nhỏ phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua một sàn giao dịch nào đó.
Mã lừa đảo Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép hợp đồng khi tạo pool thanh khoản phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp chuyển Token ra khỏi pool thanh khoản.
phương pháp phạm tội hóa
Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể tổng kết ra 4 đặc điểm sau:
Deployer nhận được nguồn vốn từ một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của người triển khai (Deployer) thông qua một sàn giao dịch.
Deployer tạo ra bể thanh khoản và tiêu hủy LP Token: Người triển khai ngay sau khi tạo ra đồng Rug Pull sẽ lập tức tạo ra bể thanh khoản cho nó và tiêu hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường số lượng vượt quá tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong các trường hợp khác, Rug Puller cũng có thể lấy ETH trong bể bằng cách loại bỏ thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ giữ vốn: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ vốn, đôi khi thông qua địa chỉ trung gian để chuyển tiếp.
Những đặc điểm nêu trên phổ biến trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm mẫu rõ rệt. Hơn nữa, sau khi hoàn thành Rug Pull, quỹ thường được tập trung vào một địa chỉ giữ quỹ, điều này ám chỉ rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí cùng một băng nhóm.
Dựa trên những đặc điểm này, đã rút ra một mô hình hành vi của Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp được giám sát, với hy vọng xây dựng chân dung của các băng nhóm lừa đảo có thể.
Nhóm tội phạm Rug Pull
địa chỉ lưu giữ quỹ khai thác
Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ cuối cùng tập hợp tiền vào địa chỉ giữ tiền. Dựa trên mô hình này, một số địa chỉ giữ tiền rất năng động và có đặc điểm rõ ràng trong phương pháp gây án đã được chọn để phân tích sâu.
Có tổng cộng 7 địa chỉ giữ lại quỹ đã xuất hiện trong tầm mắt, những địa chỉ này liên quan đến 1.124 trường hợp Rug Pull đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Sau khi thực hiện thành công trò lừa đảo, các băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ giữ lại quỹ này. Những địa chỉ giữ lại quỹ này sẽ phân chia quỹ dự trữ để tạo ra các Token mới cho các trò lừa đảo Rug Pull trong tương lai, thao túng các hồ thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ dự trữ được rút tiền thông qua một sàn giao dịch hoặc nền tảng hoán đổi tức thì.
Thông qua việc thống kê chi phí và doanh thu của tất cả các vụ lừa đảo Rug Pull trong từng địa chỉ giữ tiền, đã thu được dữ liệu liên quan.
Trong một vụ lừa đảo Rug Pull hoàn chỉnh, băng nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) của token Rug Pull và rút tiền từ một sàn giao dịch để lấy vốn khởi động nhằm tạo ra token Rug Pull và các pool thanh khoản tương ứng. Khi thu hút được đủ số lượng người dùng hoặc robot đặt mua mới sử dụng Ether để mua token Rug Pull, băng nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển số tiền thu được đến địa chỉ giữ tiền.
Trong quá trình trên, ETH mà Deployer có được thông qua sàn giao dịch, hoặc ETH mà Deployer đầu tư khi tạo pool thanh khoản, được coi là chi phí của Rug Pull (cách tính cụ thể phụ thuộc vào hành vi của Deployer). Trong khi đó, ETH được Rug Puller chuyển đến địa chỉ lưu giữ quỹ (hoặc địa chỉ trung gian khác) sau khi hoàn thành Rug Pull được coi là doanh thu từ lần Rug Pull đó.
Cần lưu ý rằng, băng nhóm Rug Pull khi thực hiện lừa đảo, cũng sẽ chủ động sử dụng Ether để mua các Rug Pull Token mà họ tạo ra, nhằm mô phỏng hoạt động của một bể thanh khoản bình thường, từ đó thu hút các bot mua mới. Nhưng phần chi phí này chưa được tính vào, do đó dữ liệu đã đánh giá quá cao lợi nhuận thực tế của băng nhóm Rug Pull, lợi nhuận thực sự sẽ tương đối thấp.
Ba địa chỉ có tỷ lệ lợi nhuận cao nhất lần lượt là 0x1607, 0xDF1a và 0x2836. Địa chỉ 0x1607 đạt được lợi nhuận cao nhất, khoảng 2,668.17 Ether, chiếm tỷ lệ lợi nhuận của tất cả các địa chỉ.