TenArmor và GoPlus tự hào với hệ thống phát hiện rug pull mạnh mẽ. Gần đây, hai bên đã hợp tác để tiến hành phân tích rủi ro chi tiết và nghiên cứu các trường hợp nhằm đáp ứng với tình trạng ngày càng nghiêm trọng của các vụ rug pull. Nghiên cứu của họ đã tiết lộ các kỹ thuật và xu hướng mới nhất trong cuộc tấn công rug pull và cung cấp cho người dùng các khuyến nghị bảo mật hiệu quả.

Thống kê vụ Rugpull

Hệ thống phát hiện của TenArmor xác định hàng loạt các vụ Rugpull mỗi ngày. Nhìn lại dữ liệu từ tháng trước, các vụ Rugpull đã tăng lên đáng kể, đặc biệt vào ngày 14 tháng 11, khi số lượng đạt con số đáng kinh ngạc là 31 trong một ngày. Chúng tôi tin rằng việc đưa hiện tượng này ra sự chú ý của cộng đồng là cần thiết.

Hầu hết các tổn thất từ những sự cố Rugpull này nằm trong khoảng từ $0 đến $100K, với tổng tổn thất đạt $15 triệu.

Loại tiêu biểu nhất của Rugpull trong không gian Web3 là token honeypot (được biết đến với tên gọi là “貔貅盘” trong tiếng Trung). Công cụ Phát hiện Bảo mật Token của GoPlus có thể xác định xem một token có thuộc vào danh mục này hay không. Trong tháng qua, GoPlus đã phát hiện ra 5.688 token như vậy. Để biết thêm dữ liệu liên quan đến bảo mật, truy cập trang web của GoPlus.bảng điều khiển dữ liệu công cộngtrên Cát.

Tóm tắt nhanh

Dựa trên các đặc điểm của các sự cố Rugpull gần đây, chúng tôi đã tóm tắt các biện pháp phòng ngừa sau:

1. Không theo đuổi mù quáng: Khi mua các token phổ biến, hãy xác minh xem địa chỉ token có hợp pháp để tránh mua các token giả mạo và rơi vào bẫy lừa đảo.
2. Tiến hành kiểm tra thông tin cẩn thận trong quá trình ra mắt token mới: Kiểm tra xem lưu lượng ban đầu có đến từ các địa chỉ liên quan đến người triển khai hợp đồng không. Nếu có, điều này có thể cho thấy có khả năng là một lừa đảo tiềm năng, vì vậy tốt nhất là tránh nó.
3. Xem lại mã nguồn hợp đồng: Chú ý đặc biệt đến việc triển khai các hàm transfer/transferFrom để đảm bảo việc mua bán diễn ra bình thường. Nếu mã được che giấu, tránh dự án đó.
4. Phân tích phân phối các chủ sở hữu: Nếu có sự tập trung rõ ràng của quỹ giữa các chủ sở hữu, tốt nhất là tránh xa dự án.
5. Theo dõi nguồn tài chính của người triển khai hợp đồng: Cố gắng theo dõi lên tới 10 bước để kiểm tra xem nguồn tài chính của người triển khai hợp đồng có xuất phát từ các sàn giao dịch đáng ngờ nào không.
6. Theo dõi cập nhật cảnh báo của TenArmor: Phản ứng kịp thời để giảm thiểu thiệt hại. TenArmor có khả năng phát hiện Token Scam trước, vì vậy hãy theo dõi TenArmor củaXTài khoản (trước đây là Twitter) có thể cung cấp cảnh báo kịp thời.
7. Sử dụng hệ thống TenTrace: TenTrace đã tích lũy dữ liệu địa chỉ cho các sự cố Scam/Phishing/Exploit từ nhiều nền tảng, giúp xác định hiệu quả các hoạt động chuyển tiền đến địa chỉ đã bị đưa vào danh sách đen. TenArmor cam kết cải thiện sự an ninh của cộng đồng và chúng tôi hoan nghênh bất kỳ đối tác nào cần sự giúp đỡ để hợp tác.

Đặc điểm của Các Sự Cố Rugpull Gần Đây

Qua việc phân tích nhiều sự cố Rugpull, chúng tôi đã xác định được những đặc điểm sau đây của các sự kiện Rugpull gần đây.

Mô phỏng Các Token Phổ Biến

Kể từ ngày 1 tháng 11, hệ thống phát hiện TenArmor đã xác định được năm trường hợp sự cố Rugpull liên quan đến mã thông báo PNUT giả mạo. Theo tweet này, PNUT bắt đầu hoạt động vào ngày 1 tháng 11 và chứng kiến mức tăng đáng chú ý gấp 161 lần chỉ trong vòng bảy ngày, thành công thu hút sự chú ý của các nhà đầu tư. Thời gian ra mắt và tăng đột biến của PNUT trùng khớp với thời điểm những kẻ lừa đảo bắt đầu mạo danh PNUT. Bằng cách mạo danh PNUT, những kẻ lừa đảo nhằm thu hút các nhà đầu tư không hiểu biết.

Tổng số tiền gian lận từ các vụ PNUT Rugpull giả mạo đã đạt 103.1 nghìn đô la. TenArmor kêu gọi người dùng không nên mù quáng theo xu hướng; khi mua các token phổ biến, luôn xác minh xem địa chỉ token có hợp lệ hay không.

Nhắm đến bot front-running

Việc phát hành token mới hoặc dự án thường tạo ra sự chú ý đáng kể trên thị trường. Trong quá trình phát hành ban đầu, giá token có thể biến động mạnh — thậm chí giá cả trong vài giây cũng có thể thay đổi đáng kể. Tốc độ trở nên quan trọng để tối đa hóa lợi nhuận, khiến cho các bot giao dịch trở thành một công cụ phổ biến để đẩy token mới.

Tuy nhiên, những kẻ lừa đảo cũng nhanh chóng nhận thấy sự phong phú của các bot chạy trước và đặt bẫy cho phù hợp. Chẳng hạn, địa chỉ 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 đã thực hiện hơn 200 vụ lừa đảo kể từ tháng 10/2024. Mỗi vụ lừa đảo được hoàn thành trong vòng vài giờ, từ việc triển khai hợp đồng bẫy đến thực hiện Rugpull.

Lấy mới nhất sự cố lừa đảođược khởi tạo bởi địa chỉ này như một ví dụ. Kẻ lừa đảo trước tiên sử dụng 0xCd93 để tạo ra token FLIGHT và sau đó thiết lập cặp giao dịch FLIGHT/ETH.

Sau khi cặp giao dịch được tạo ra, rất nhiều bot chạy trước Banana Gun đã lao vào thực hiện trao đổi token giá trị nhỏ. Sau khi phân tích, rõ ràng rằng những bot này thực ra được điều khiển bởi kẻ lừa đảo để tạo ra khối lượng giao dịch nhân tạo.

Khoảng 50 giao dịch giá trị nhỏ đã được thực hiện để tạo ra ấn tượng về lưu lượng giao dịch, thu hút nhà đầu tư thực sự - nhiều trong số đó đã sử dụng bot front-running Banana Gun cho giao dịch của họ.

Sau một thời gian hoạt động giao dịch, kẻ lừa đảo triển khai một hợp đồng để thực hiện Rugpull. Người lừa đảo đã lấy vốn cho hợp đồng này từ địa chỉ 0xC757. Chỉ sau 1 giờ và 42 phút triển khai hợp đồng, kẻ lừa đảo đã rút sạch pool thanh khoản chỉ trong một đòn bẩy, thu được lợi nhuận là 27 ETH.

Bằng cách phân tích chiến thuật của kẻ lừa đảo, rõ ràng là trước tiên họ sử dụng các giao dịch có giá trị nhỏ để tạo lưu lượng truy cập, thu hút các bot chạy trước và sau đó triển khai hợp đồng Rug, rút phích cắm khi lợi nhuận của họ đạt đến mức mong muốn.

TenArmor tin rằng mặc dù bot front-running làm cho việc mua token mới trở nên thuận tiện và nhanh chóng, nhưng người dùng cũng cần cẩn trọng với những kẻ lừa đảo. Hãy tiến hành kiểm tra kỹ lưỡng, và nếu khối lượng giao dịch ban đầu dường như đến từ các địa chỉ liên quan đến người triển khai hợp đồng, thì tốt nhất là tránh xa dự án đó.

Bí Quyết Ẩn Trong Mã Nguồn

Thuế giao dịch

Mã sau đây cho thấy cách thực hiện chức năng chuyển đổi token FLIGHT. Rõ ràng rằng cách thực hiện này khác biệt đáng kể so với cách thực hiện tiêu chuẩn. Mỗi quyết định chuyển đổi liên quan đến việc xác định xem có áp dụng thuế dựa trên điều kiện hiện tại hay không. Thuế giao dịch này hạn chế cả mua và bán, làm tăng khả năng rất cao rằng token này là một lừa đảo.

Trong các trường hợp như vậy, người dùng có thể đơn giản kiểm tra mã nguồn của token để xác định các vấn đề tiềm ẩn và tránh rơi vào bẫy.

Mã hóa mờ

Trong bài viết của TenArmor, Đánh giá về các Sự kiện Rút lông mới và lớn: Làm thế nào Nhà đầu tư và Người dùng nên Phản ứng, được đề cập rằng một số kẻ lừa đảo cố ý làm mờ mã nguồn để làm cho nó ít đọc được hơn và che giấu ý đồ thực sự của họ. Khi gặp phải mã nguồn bị làm mờ như vậy, tốt nhất là tránh nó ngay lập tức.

Openly Malicious rugApproved

Trong số rất nhiều sự cố Rugpull được TenArmor phát hiện, có những trường hợp những kẻ lừa đảo rõ ràng về ý định của họ. Ví dụ, giao dịch này nêu rõ ý định của nó.

Thông thường, có một khoảng thời gian giữa khi kẻ lừa đảo triển khai hợp đồng được sử dụng cho Rugpull và khi Rugpull được thực hiện. Trong trường hợp cụ thể này, cửa sổ thời gian là gần ba giờ. Để ngăn chặn các loại lừa đảo như vậy, bạn có thể làm theo TenArmor’s XTài khoản. Chúng tôi sẽ ngay lập tức gửi cảnh báo về việc triển khai các hợp đồng rủi ro như vậy, nhắc nhở người dùng rút vốn đúng lúc.

Ngoài ra, các chức năng như rescueEth/recoverStuckETH thường được sử dụng trong các hợp đồng Rugpull. Tất nhiên, sự tồn tại của các chức năng như vậy không nhất thiết có nghĩa là đó là một Rugpull; vẫn cần xem xét các chỉ số khác để xác nhận.

Tập trung của chủ sở hữu

Trong các sự cố Rugpull gần đây được phát hiện bởi TenArmor, sự phân bố của chủ sở hữu đã cho thấy những đặc điểm riêng biệt. Chúng tôi đã chọn ngẫu nhiên ba sự cố Rugpull để phân tích phân phối chủ sở hữu của các mã thông báo liên quan. Kết quả như sau.

0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a

0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115

0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Trong 3 trường hợp này, dễ dàng nhận thấy rằng cặp Uniswap V2 là người nắm giữ lớn nhất, nắm giữ đa số áp đảo số lượng token. TenArmor khuyên người dùng rằng nếu người nắm giữ token tập trung chủ yếu tại một địa chỉ duy nhất, như là cặp Uniswap V2, rất có khả năng rằng token đó là một chiêu trò.

Nguồn Gốc Tài Chính

Chúng tôi đã ngẫu nhiên chọn 3 sự cố Rugpull được phát hiện bởi TenArmor để phân tích nguồn tiền của chúng.

Case 1​

tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291

Sau khi truy tìm 6 bước quay lại, chúng tôi đã tìm thấy một dòng tiền vào từ FixedFloat.

FixedFloat là một sàn giao dịch tiền điện tử tự động mà không yêu cầu đăng ký người dùng hoặc xác minh “Biết Khách Hàng” (KYC). Kẻ lừa đảo chọn nguồn tiền từ FixedFloat để che giấu danh tính của họ.

Trường hợp 2

tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725

Sau khi truy tìm 5 bước nhảy trở lại, chúng tôi đã xác định được dòng tiền từ gate 1.

Vào ngày 15 tháng 3 năm 2024, Ủy ban Chứng khoán và Hợp đồng Tương lai Hồng Kông (SFC) đã ban hành một cảnh báo về nền tảng MEXC. Bài viết đã đề cập đến việc MEXC đã tích cực quảng bá dịch vụ của mình đến nhà đầu tư Hồng Kông mà không có giấy phép từ SFC hoặc không xin giấy phép. Vào ngày 15 tháng 3, 2024, SFC đã bao gồm MEXC và trang web của họ vào danh sách các nền tảng giao dịch tài sản ảo đáng ngờ.

Trường hợp 3

tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23

Sau khi truy tìm 5 bước nhảy trở lại, chúng tôi đã tìm thấy một dòng chảy của những người sáng lập từ Disperse.app.

Disperse.app được sử dụng để phân phối ether hoặc token cho nhiều địa chỉ khác nhau.

Phân tích giao dịch cho thấy người gọi của Disperse.app trong trường hợp này là 0x511E04C8f3F88541d0D7DFB662d71790A419a039. Theo dõi lại 2 bước, chúng tôi cũng tìm thấy một dòng tiền từ Disperse.app.

Phân tích chi tiết cho thấy người gọi của Disperse.app trong trường hợp này là 0x97e8B942e91275E0f9a841962865cE0B889F83ac. Theo dõi trở về 2 bước, chúng tôi xác định một lượng tiền vào từ MEXC 1.

Từ phân tích của 3 trường hợp này, rõ ràng rằng các kẻ lừa đảo đã sử dụng các sàn giao dịch không yêu cầu KYC và các sàn giao dịch không có giấy phép để tài trợ hoạt động của họ. TenArmor nhắc nhở người dùng rằng khi đầu tư vào mã thông báo mới, việc xác minh nguồn tiền từ người triển khai hợp đồng có từ các sàn giao dịch đáng ngờ là rất quan trọng.

Phương pháp phòng ngừa

Dựa trên các bộ dữ liệu kết hợp từ TenArmor và GoPlus, bài viết này cung cấp một cái nhìn tổng quan về các đặc điểm kỹ thuật của Rugpulls và trình bày các trường hợp đại diện. Để đáp ứng các đặc điểm Rugpull này, chúng tôi đã tóm tắt các biện pháp phòng ngừa sau đây.

1. Đừng mù quáng theo xu hướng: Khi mua các token phổ biến, hãy xác minh xem địa chỉ token có hợp lệ không. Điều này giúp ngăn chặn việc mua các token giả mạo và rơi vào bẫy lừa đảo.
2. Tiến hành kiểm tra cẩn thận khi phát hành mã thông báo mới: Kiểm tra xem lưu lượng ban đầu có đến từ địa chỉ liên quan đến người triển khai hợp đồng không. Nếu có, có thể cho thấy một cạm bẫy lừa đảo, vì vậy tốt nhất là tránh nó.
3. Xem lại mã nguồn hợp đồng: Chú ý đặc biệt đến việc thực hiện các chức năng chuyển/ chuyển từ để đảm bảo việc mua bán có thể diễn ra bình thường. Tránh các dự án có mã nguồn được che giấu.
4. Phân tích phân phối người nắm giữ trước khi đầu tư: Nếu người nắm giữ tập trung mạnh vào một địa chỉ cụ thể, khuyến nghị tránh token đó.
5. Xác minh nguồn vốn của người triển khai hợp đồng: Theo dõi lại lên đến 10 bước để xác định xem nguồn vốn của người triển khai hợp đồng có xuất phát từ các sàn giao dịch đáng ngờ hay không.
6. Theo dõi các cập nhật cảnh báo của TenArmor để giảm thiểu thiệt hại: TenArmor có khả năng phát hiện Token Lừa Đảo trước. Theo dõi tài khoản X của TenArmor (trước đây là Twitter) để nhận cảnh báo kịp thời.

Các địa chỉ độc hại liên quan đến những sự cố Rugpull này được tích hợp vào hệ thống TenTrace theo thời gian thực. TenTrace là một hệ thống chống rửa tiền (AML) được phát triển độc lập bởi TenArmor, được thiết kế cho nhiều trường hợp sử dụng, bao gồm chống rửa tiền, chống gian lận và theo dõi nhận dạng kẻ tấn công. TenTrace đã tích luỹ dữ liệu địa chỉ từ nhiều nền tảng liên quan đến Scam/Phishing/Exploit, hiệu quả trong việc xác định dòng tiền đổ vào các địa chỉ trong danh sách đen và giám sát chính xác dòng tiền rút ra từ những địa chỉ này. TenArmor cam kết cải thiện sự an toàn của cộng đồng và chào đón đối tác quan tâm đến hợp tác.

Về TenArmor

TenArmor là tuyến phòng thủ đầu tiên của bạn trong thế giới Web3. Chúng tôi cung cấp các giải pháp bảo mật tiên tiến nhằm giải quyết những thách thức độc đáo của công nghệ blockchain. Với các sản phẩm sáng tạo của chúng tôi, ArgusAlert và VulcanShield, chúng tôi đảm bảo bảo vệ theo thời gian thực và phản ứng nhanh với các mối đe dọa tiềm ẩn. Đội ngũ chuyên gia của chúng tôi chuyên về mọi thứ, từ kiểm toán hợp đồng thông minh đến truy tìm tiền điện tử, khiến TenArmor trở thành đối tác phù hợp cho bất kỳ tổ chức nào muốn đảm bảo sự hiện diện kỹ thuật số của mình trong không gian phi tập trung.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được in lại từ [trung bình]. Tất cả bản quyền thuộc về tác giả gốc [GoPlus Bảo mật]. Nếu có ý kiến ​​phản đối về việc tái bản này, vui lòng liên hệ Cổng Họcnhóm và họ sẽ xử lý nhanh chóng.
2. Tuyên bố từ chối trách nhiệm: Các quan điểm và ý kiến được trình bày trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài báo đã dịch đều bị cấm.