Giới thiệu

Trong thế giới của Web3, các token mới được ra mắt mỗi ngày. Bạn có bao giờ tự hỏi có bao nhiêu token mới được tạo hàng ngày không? Và quan trọng hơn, những token này có an toàn không?

Những câu hỏi này không phải là không có lý do. Trong những tháng qua, nhóm an ninh của CertiK đã xác định một số lượng đáng kể các vụ lừa đảo Rug Pull. Đáng chú ý, tất cả các token liên quan đến những trường hợp này đều là những token mới được phát hành vừa được thêm vào blockchain.

Sau đó, CertiK đã mở một cuộc điều tra kỹ lưỡng về các trường hợp Rug Pull này và phát hiện ra rằng chúng được dàn dựng bởi các nhóm có tổ chức. Các nhóm này tuân theo một mô hình lừa đảo cụ thể. Thông qua kiểm tra chi tiết các phương pháp của họ, CertiK đã phát hiện ra một cách tiềm năng mà các băng đảng Rug Pull này quảng bá lừa đảo của họ: các nhóm Telegram. Các nhóm như Banana Gun và Unibot sử dụng tính năng “New Token Tracer” để thu hút người dùng mua token lừa đảo và cuối cùng thu lợi nhuận từ Rug Pull.

CertiK đã theo dõi các tin nhắn khuyến mại token trong nhóm Telegram này từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng 93.930 token mới được đẩy qua các kênh này. Trong số đó, có 46.526 token liên quan đến các vụ lừa đảo Rug Pull, chiếm 49,53% đáng kinh ngạc. Tổng số tiền đầu tư bởi những kẻ lừa đảo đằng sau những token này là 149.813,72 ETH, dẫn đến lợi nhuận 282.699,96 ETH, tương đương khoảng 188,7%, tương đương khoảng 800 triệu đô la.

Để hiểu rõ hơn về tác động của việc quảng cáo nhóm Telegram đối với Ethereum mainnet, CertiK đã so sánh các con số này với tổng số lượng token mới được phát hành trên Ethereum trong cùng một khoảng thời gian. Kết quả cho thấy, trong số 100.260 token mới được phát hành, 89,99% đến từ việc quảng cáo nhóm Telegram. Điều này có nghĩa là, trung bình mỗi ngày đã có 370 token mới được phát hành - nhiều hơn nhiều so với dự đoán. Sau khi tiếp tục điều tra, CertiK phát hiện một sự thật đáng báo động: ít nhất 48.265 trong số các token này liên quan đến các vụ lừa đảo Rug Pull, chiếm 48,14%. Nói cách khác, gần như một trong hai token mới trên Ethereum là một vụ lừa đảo.

Ngoài ra, CertiK đã phát hiện thêm các trường hợp Rug Pull khác trên các mạng blockchain khác. Điều này cho thấy tình hình bảo mật cho các token mới phát hành trên toàn hệ sinh thái Web3 tồi tệ hơn so với dự kiến. Do đó, CertiK đã viết báo cáo nghiên cứu này để giúp nâng cao nhận thức trong cộng đồng Web3, khuyến khích người dùng duy trì sự cảnh giác trước số lượng gian lận ngày càng tăng và thực hiện các biện pháp phòng ngừa phù hợp để bảo vệ tài sản của họ.

ERC-20 Tokens

Trước khi chúng ta bắt đầu báo cáo chính, hãy xem xét một số khái niệm cơ bản trước.

Token ERC-20 hiện đang là một trong những tiêu chuẩn token phổ biến nhất trên blockchain. Nó xác định một tập hợp giao thức cho phép các token tương tác với nhau giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 chỉ định các chức năng cơ bản của các token, chẳng hạn như chuyển giao, truy vấn số dư và ủy quyền bên thứ ba quản lý token. Nhờ giao thức tiêu chuẩn này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, đơn giản hóa việc tạo và sử dụng token. Trên thực tế, bất kỳ ai, cho dù là cá nhân hay tổ chức, đều có thể phát hành token riêng dựa trên tiêu chuẩn ERC-20 và huy động vốn ban đầu cho các dự án tài chính khác nhau thông qua việc bán token trước. Bởi vì ứng dụng rộng rãi của các token ERC-20, chúng đã trở thành nền tảng cho nhiều ICO và dự án tài chính phi tập trung (DeFi).

Các token phổ biến như USDT, PEPE và DOGE đều là token ERC-20, và người dùng có thể mua các token này thông qua các sàn giao dịch phi tập trung. Tuy nhiên, một số nhóm lừa đảo cũng có thể phát hành các token ERC-20 độc hại với mã cửa sau, niêm yết chúng trên các sàn giao dịch phi tập trung, và sau đó lừa người dùng mua chúng.

Trường hợp lừa đảo Token Rug Pull điển hình

Ở đây, chúng tôi phân tích một ví dụ điển hình về lừa đảo token Rug Pull để hiểu rõ hơn về cách hoạt động của những lừa đảo token ác ý này. Rug Pull đề cập đến một hoạt động gian lận trong đó nhóm dự án đột ngột rút tiền hoặc bỏ rơi dự án trong một sáng kiến tài chính phi tập trung (DeFi), gây ra tổn thất đáng kể cho các nhà đầu tư. Một token Rug Pull là một token được tạo ra đặc biệt để thực hiện lừa đảo như vậy.

Các token được gọi là token Rug Pull trong bài viết này đôi khi được gọi là “Honey Pot tokens” hoặc “Exit Scam tokens.” Tuy nhiên, vì sự nhất quán, chúng tôi sẽ gọi chúng là token Rug Pull trong toàn bộ nội dung.

· Case

Trong trường hợp này, nhóm tấn công (băng Rug Pull) triển khai token TOMMI bằng địa chỉ Deployer (0x4bAF). Họ tạo ra một hồ bơi thanh khoản với 1,5 ETH và 100.000.000 token TOMMI, sau đó tạo ra sự phồng lên giá trị giao dịch bằng cách mua token TOMMI từ các địa chỉ khác nhau. Điều này thu hút người dùng và bot mua token TOMMI. Khi đã lừa đủ số lượng bot, nhóm tấn công thực hiện Rug Pull bằng cách sử dụng địa chỉ Rug Puller (0x43a9). Rug Puller đã bán 38.739.354 token TOMMI vào hồ bơi thanh khoản và đổi chúng thành khoảng 3,95 ETH. Các token được Rug Puller sử dụng đến từ sự phê duyệt độc hại được cấp bởi hợp đồng token TOMMI, cho phép Rug Puller rút token trực tiếp từ hồ bơi thanh khoản và thực hiện lừa đảo.

·Địa chỉ liên quan

• Deployer: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• Token TOMMI: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Rug Puller Impersonated User (một trong số họ): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Địa chỉ chuyển tiền Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Địa chỉ lưu trữ Quỹ Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

·Các giao dịch liên quan

• Deployer nhận được vốn khởi nghiệp từ các sàn giao dịch tập trung: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Triển khai mã thông báo TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Tạo hồ bơi thanh khoản: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Địa chỉ chuyển khoản quỹ gửi quỹ cho người dùng mạo danh (một trong số họ): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Người dùng mạo danh mua mã thông báo (một trong số đó): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Puller gửi lợi nhuận đến địa chỉ chuyển: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Địa chỉ chuyển tiền gửi tiền tới địa chỉ giữ lại:
• 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Quy trình Rug Pull

• Chuẩn bị quỹ tấn công

Kẻ tấn công đã nạp 2.47309009 ETH vào Token Deployer (0x4bAF) từ sàn giao dịch tập trung để tài trợ cho Rug Pull.

Hình 1: Người triển khai nhận thông tin giao dịch vốn khởi nghiệp

• Triển khai Backdoor Rug Pull Token

Người triển khai tạo ra mã thông báo TOMMI và khai thác trước 100.000.000 mã thông báo, phân bổ chúng cho chính họ.

Hình 2: Deployer tạo thông tin giao dịch token TOMMI

• Tạo Hồ bơi thanh khoản Ban đầu

Người triển khai sử dụng 1.5 ETH và các token đã được khai thác trước để tạo một hồ chứa thanh khoản, nhận được khoảng 0.387 token LP.

Hình 3: Người triển khai tạo giao dịch hồi quy và luồng quỹ

• Hủy bỏ toàn bộ nguồn cung Token đã được khai thác trước đó

Người triển khai Token gửi tất cả LP token đến địa chỉ 0 để hủy bỏ. Khi hợp đồng TOMMI không có chức năng Mint, người triển khai Token lý thuyết mất khả năng thực hiện Rug Pull. (Điều này là một trong các điều kiện cần thiết để đánh lừa bot token mới. Một số bot đánh giá rủi ro của Rug Pull khi nhập các token mới vào pool, và người triển khai cũng đặt chủ sở hữu hợp đồng là địa chỉ 0 để đánh lừa các chương trình chống lừa đảo được sử dụng bởi bot).

Hình 4: Thông tin giao dịch của nhà triển khai hủy mã thông báo LP

• Giả mạo khối lượng giao dịch

Các kẻ tấn công sử dụng nhiều địa chỉ để mua TOMMI tokens từ hồ bơi thanh khoản, nhằm tăng giả mạo khối lượng giao dịch để thu hút thêm các bot token mới (lý do người ta xác định các địa chỉ này là giả mạo bởi các kẻ tấn công là vì số tiền trong các địa chỉ này đến từ địa chỉ chuyển tiền lịch sử được sử dụng bởi băng Rug Pull).

Hình 5: Thông tin giao dịch và luồng tiền của địa chỉ khác của kẻ tấn công mua token TOMMI

1. Thực hiện Rug Pull

Kẻ tấn công sử dụng địa chỉ Rug Puller (0x43A9) để khởi đầu Rug Pull, trực tiếp rút 38.739.354 token TOMMI từ hồ bơi thanh khoản và bán sạch chúng, thu được khoảng 3,95 ETH.

Hình 6: Thông tin giao dịch và dòng tiền của Rug Pull

1. Chuyển khoản Kết quả

Kẻ tấn công gửi tiền từ Rug Pull đến địa chỉ chuyển tiền 0xD921.

Hình 7: Rug Puller gửi tiền tấn công đến thông tin giao dịch địa chỉ chuyển tuyến

1. Chuyển tiền vào địa chỉ giữ lại

Địa chỉ chuyển tiền 0xD921 gửi các quỹ đến địa chỉ giữ 0x2836. Từ đó, chúng ta có thể thấy rằng sau khi Rug Pull được hoàn tất, người thực hiện Rug Pull gửi các quỹ đến địa chỉ giữ. Địa chỉ này phục vụ như một điểm thu thập quỹ từ nhiều trường hợp Rug Pull. Địa chỉ giữ chia phần lớn số quỹ để khởi đầu Rug Pulls mới, và số quỹ còn lại được rút ra thông qua các sàn giao dịch tập trung. Chúng tôi đã theo dõi một số địa chỉ giữ, trong đó 0x2836 là một trong số chúng.

Hình 8: Thông tin chuyển địa chỉ quỹ di chuyển

· Mã lệnh Rug Pull Backdoor

Mặc dù những kẻ tấn công đã cố gắng chứng minh với thế giới bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách phá hủy các token LP, nhưng trên thực tế, chúng đã để lại một backdoor phê duyệt độc hại trong chức năng openTrading của hợp đồng token TOMMI. Cửa hậu này cho phép nhóm thanh khoản phê duyệt chuyển mã thông báo đến địa chỉ Rug Puller khi nhóm thanh khoản được tạo, cho phép địa chỉ Rug Puller trực tiếp rút mã thông báo từ nhóm thanh khoản.

Hình 9 chức năng openTrading trong hợp đồng token TOMMI

Hình 10: Hàm onInit trong hợp đồng token TOMMI

Việc triển khai chức năng openTrading được hiển thị trong Hình 9, và mục đích chính của nó là tạo một pool thanh khoản mới. Tuy nhiên, những kẻ tấn công gọi chức năng cửa sau onInit (như được hiển thị trong Hình 10), làm cho uniswapV2Pair phê duyệt chuyển token đến _chefAddress cho toàn bộ nguồn cung token (kiểu uint256). Ở đây, uniswapV2Pair đề cập đến địa chỉ pool thanh khoản, và _chefAddress là địa chỉ Rug Puller, được thiết lập trong quá trình triển khai hợp đồng (như được hiển thị trong Hình 11).

Hình 11: Constructor trong hợp đồng token TOMMI

·Phương pháp lừa đảo theo mô hình

Bằng cách phân tích vụ án TOMMI, chúng ta có thể tóm tắt bốn đặc điểm chính sau đây:

1. Deployer nhận được quỹ từ các sàn giao dịch tập trung: Các kẻ tấn công đầu tiên cung cấp nguồn tài chính cho địa chỉ Deployer thông qua một sàn giao dịch tập trung.
2. Deployer tạo nên hồ bơi thanh khoản và hủy các mã thông báo LP: Sau khi tạo mã thông báo Rug Pull, Deployer ngay lập tức thiết lập hồ bơi thanh khoản và hủy các mã thông báo LP, từ đó tăng độ tin cậy của dự án và thu hút nhiều nhà đầu tư hơn.
3. Rug Puller sử dụng số lượng lớn Token để đổi lấy ETH từ hồ bơi thanh khoản: Rug Puller sử dụng một số lượng đáng kể Token (thường vượt quá tổng cung cấp Token) để đổi lấy ETH từ hồ bơi thanh khoản. Trong một số trường hợp, Rug Puller cũng rút lại thanh khoản để rút ETH từ hồ bơi.

4. Kẻ lừa đảo chuyển ETH thu được từ chiêu trò đến địa chỉ giữ: Kẻ lừa đảo chuyển ETH thu được từ Rug Pull đến địa chỉ giữ, đôi khi thông qua một địa chỉ trung gian.

Những tính năng này thường được quan sát trong các trường hợp chúng tôi đã xác định, nhấn mạnh rằng hoạt động Rug Pull có những mẫu rõ ràng. Ngoài ra, sau khi hoàn thành Rug Pull, các khoản tiền bị đánh cắp thường được tập trung vào một địa chỉ giữ lại. Điều này cho thấy rằng những trường hợp Rug Pull có vẻ cô lập này có thể liên quan đến cùng một nhóm hoặc một mạng lưới gian lận duy nhất.

Dựa trên những mô hình này, chúng tôi đã phát triển một hồ sơ hành vi Rug Pull và đã bắt đầu sử dụng nó để quét và phát hiện các trường hợp liên quan khác, với mục tiêu xây dựng hồ sơ các nhóm lừa đảo tiềm năng.

Nhóm lừa đảo Rug Pull

· Đang điều tra các địa chỉ giữ quỹ

Như đã đề cập trước đó, các trường hợp Rug Pull thường gom quỹ vào các địa chỉ giữ quỹ. Dựa trên mẫu này, chúng tôi đã chọn một số địa chỉ giữ quỹ rất hoạt động với đặc điểm rõ ràng của chiêu trò lừa đảo để phân tích sâu hơn.

Chúng tôi đã xác định được 7 địa chỉ duy trì quỹ, liên quan đến 1.124 trường hợp Rug Pull, được phát hiện thành công bởi hệ thống giám sát tấn công trên chuỗi của chúng tôi (CertiK Alert). Sau khi thực hiện hành vi lừa đảo, băng nhóm Rug Pull thu lợi nhuận bất hợp pháp vào các địa chỉ duy trì quỹ này. Các địa chỉ này sau đó chia tiền, sử dụng chúng để tạo mã thông báo mới cho các trò gian lận Rug Pull trong tương lai, thao túng các nhóm thanh khoản và thực hiện các hoạt động gian lận khác. Ngoài ra, một số tiền giữ lại được rút ra thông qua các sàn giao dịch tập trung hoặc nền tảng trao đổi tức thì.

Dữ liệu cho các địa chỉ giữ quỹ được hiển thị trong Bảng 1::

Bằng cách phân tích các chi phí và doanh thu của mỗi lừa đảo Rug Pull liên quan đến các địa chỉ giữ quỹ này, chúng tôi đã thu thập được dữ liệu được trình bày trong Bảng 1.

Trong một trường hợp lừa đảo Rug Pull điển hình, băng Rug Pull thường sử dụng một địa chỉ làm Đơn vị triển khai cho mã thông báo Rug Pull và thu thập vốn khởi nghiệp thông qua một sàn giao dịch tập trung để tạo ra mã thông báo Rug Pull và hồ bơi thanh khoản tương ứng. Khi đủ người dùng hoặc bot mã thông báo mới được thu hút để mua mã thông báo Rug Pull bằng ETH, băng Rug Pull sẽ sử dụng một địa chỉ khác làm Rug Puller để thực hiện lừa đảo, chuyển fund đến địa chỉ giữ fund.

Trong quá trình này, ETH được Deployer thu được thông qua rút tiền hoặc ETH đầu tư khi tạo pool thanh khoản được coi là chi phí của Rug Pull (phép tính cụ thể phụ thuộc vào hành động của Deployer). ETH được chuyển đến địa chỉ giữ tiền quỹ (hoặc địa chỉ trung gian) sau khi Rug Puller hoàn tất lừa đảo được coi là doanh thu từ Rug Pull. Dữ liệu về thu nhập và chi phí, như đã hiển thị trong Bảng 1, được tính toán dựa trên giá ETH/USD (1 ETH = 2.513,56 USD tính đến ngày 31 tháng 8 năm 2024), với giá cả thời gian thực được sử dụng trong quá trình tích hợp dữ liệu.

Lưu ý rằng trong quá trình lừa đảo, băng Rug Pull có thể mua phiên bản Rug Pull token do chính họ tạo ra bằng ETH, giả lập hoạt động của hồ bơi thanh khoản bình thường để thu hút thêm bot token mới. Tuy nhiên, chi phí này không được tính vào các phép tính, do đó dữ liệu trong Bảng 1 hơi đánh giá cao lợi nhuận thực tế của băng Rug Pull. Lợi nhuận thực tế sẽ thấp hơn một chút.

Hình 12: Biểu đồ trò chia lợi nhuận cho các địa chỉ giữ quỹ

Bằng cách sử dụng dữ liệu lợi nhuận từ Bảng 1 cho mỗi địa chỉ, chúng tôi đã tạo ra biểu đồ tròn chia sẻ lợi nhuận được hiển thị trong Hình 12. Ba địa chỉ có tỷ lệ lợi nhuận cao nhất là 0x1607, 0xDF1a và 0x2836. Địa chỉ 0x1607 kiếm được lợi nhuận nhiều nhất, khoảng 2,668.17 ETH, chiếm 27.7% tổng lợi nhuận trên tất cả các địa chỉ.

Trên thực tế, mặc dù các quỹ cuối cùng được tập trung vào các địa chỉ giữ quỹ khác nhau, nhưng các đặc điểm chung trong các trường hợp liên quan (như triển khai cửa sau và phương pháp rút tiền) khiến chúng tôi nghi ngờ mạnh rằng các địa chỉ giữ quỹ này có thể do cùng một băng nhóm lừa đảo kiểm soát.

Vậy, có kết nối nào giữa các địa chỉ giữ quỹ này không?

· Điều tra mối liên hệ giữa địa chỉ giữ quỹ

Hình 13: Sơ đồ luồng tiền của các địa chỉ giữ tiền quỹ

Một chỉ số quan trọng trong việc xác định xem có mối quan hệ giữa các địa chỉ giữ quỹ là kiểm tra xem có chuyển tiền trực tiếp giữa những địa chỉ này hay không. Để xác minh các kết nối giữa các địa chỉ giữ quỹ này, chúng tôi đã lục qua và phân tích các giao dịch lịch sử của chúng.

Trong hầu hết các trường hợp Rug Pull mà chúng tôi phân tích, tiền thu được từ mỗi vụ lừa đảo thường chảy vào chỉ một địa chỉ giữ tiền quỹ. Do đó, không thể theo dõi tiền để liên kết các địa chỉ giữ quỹ khác nhau trực tiếp. Để giải quyết vấn đề này, chúng tôi đã theo dõi việc chuyển tiền giữa các địa chỉ này để xác định bất kỳ mối quan hệ trực tiếp nào. Kết quả phân tích của chúng tôi được hiển thị trong Hình 13.

Quan trọng là lưu ý rằng 0x1d39 và 0x6348 trong Hình 13 là địa chỉ hợp đồng cơ sở hạ tầng Rug Pull được chia sẻ. Những địa chỉ giữ quỹ này sử dụng hai hợp đồng này để chia quỹ và gửi chúng đến các địa chỉ khác, nơi mà quỹ này được sử dụng để làm giả khối lượng giao dịch của các Token Rug Pull.

Từ các mối quan hệ chuyển ETH trực tiếp được hiển thị trong Hình 13, chúng tôi chia các địa chỉ giữ tiền này thành 3 nhóm:

1. 0xDF1a và 0xDEd0;
2. 0x1607 và 0x4856;
3. 0x2836, 0x0573, 0xF653 và 0x7dd9.

Trong mỗi nhóm, có các chuyển khoản trực tiếp, nhưng không có chuyển khoản nào giữa các nhóm. Điều này cho thấy rằng các địa chỉ giữ quỹ này có thể được coi là thuộc về 3 băng nhóm riêng biệt. Tuy nhiên, tất cả ba nhóm đều sử dụng các hợp đồng cơ sở hạ tầng giống nhau để chia ETH cho các hoạt động Rug Pull, kết nối chúng lại thành một nhóm tổ chức duy nhất. Liệu điều này có cho thấy rằng các địa chỉ giữ quỹ này thực sự được kiểm soát bởi một mạng lưới gian lận đơn lẻ không?

Câu hỏi này đang mở để xem xét.

· Đang điều tra cơ sở hạ tầng chia sẻ

Như đã đề cập trước đó, các địa chỉ hạ tầng chia sẻ là:

0x1d3970677aa2324E4822b293e500220958d493d0 và 0x634847D6b650B9f442b3B582971f859E6e65eB53.

Địa chỉ 0x1d39 chủ yếu có hai chức năng: “multiSendETH” và “0x7a860e7e”. Chức năng chính của multiSendETH là phân chia chuyển khoản. Địa chỉ giữ quỹ sử dụng multiSendETH để phân phối một phần quỹ cho nhiều địa chỉ, làm giả tăng khối lượng giao dịch cho các mã token Rug Pull. Chi tiết giao dịch này được hiển thị trong Hình 14.

Quá trình chia tách này giúp kẻ tấn công mô phỏng hoạt động của Token, khiến cho Token trở nên hấp dẫn hơn, từ đó kích thích thêm người dùng hoặc bot Token mới mua. Thông qua phương pháp này, băng Rug Pull càng tăng cường sự lừa dối và phức tạp của gian lận của họ.

Hình 14: Thông tin giao dịch của việc phân chia quỹ bởi 0x1d39

Hàm 0x7a860e7e được sử dụng để mua các token Rug Pull. Sau khi nhận được quỹ chia tách, các địa chỉ được giả mạo thành người dùng bình thường, hoặc tương tác trực tiếp với bộ định tuyến của Uniswap để mua các token Rug Pull hoặc sử dụng chức năng 0x7a860e7e để thực hiện những giao dịch này, giả mạo hoạt động giao dịch.

Các chức năng chính trong 0x6348 tương tự như trong 0x1d39, chỉ khác biệt duy nhất là chức năng mua mã Rug Pull được gọi là 0x3f8a436c.

Để hiểu rõ hơn về cáchBăng Rug Pullsử dụng những cơ sở hạ tầng này, chúng tôi đã crawl và phân tích lịch sử giao dịch của cả hai 0x1d39và0x6348, và theo dõi tần suất các địa chỉ bên ngoài sử dụng các chức năng này. Kết quả được hiển thị trong Tables 2 và 3.

Từ Bảng 2 và 3, rõ ràng nhóm Rug Pull tuân theo một chiến lược rõ ràng khi sử dụng các địa chỉ cơ sở hạ tầng này. Họ chỉ sử dụng một số ít địa chỉ giữ tiền hoặc địa chỉ trung gian để chia tách tiền, nhưng sử dụng một số lượng lớn địa chỉ khác để giả mạo khối lượng giao dịch của các Token Rug Pull. Ví dụ, có 6.224 địa chỉ tham gia giả mạo khối lượng giao dịch thông qua 0x6348, làm phức tạp đáng kể nhiệm vụ phân biệt giữa địa chỉ của kẻ tấn công và nạn nhân.

Đáng chú ý rằngBăng nhóm Rug PullKhông chỉ dựa vào địa chỉ cơ sở hạ tầng để làm giả khối lượng giao dịch - một số địa chỉ trực tiếp hoán đổi token trên sàn giao dịch để làm giả khối lượng cũng.

Ngoài ra, chúng tôi đã theo dõi việc sử dụng của hai địa chỉ cơ sở hạ tầng này bởi 7địa chỉ giữ quỹ và tính toán tổng số ETH tham gia trong mỗi chức năng. Kết quả được hiển thị trong Bảng 4 và 5.

Từ Bảng 4 và Bảng 5, chúng ta thấy rằng các địa chỉ giữ quỹ đã sử dụng cơ sở hạ tầng để chia tách quỹ 3.616 lần, tổng cộng 9.369,98 ETH. Ngoại trừ 0xDF1a, tất cả các địa chỉ giữ quỹ chỉ sử dụng cơ sở hạ tầng để chia tách quỹ, trong khi việc mua các mã thông báo Rug Pull đã được hoàn thành bởi các địa chỉ nhận. Điều này cho thấy phương pháp lừa đảo rõ ràng và có tổ chức của băng nhóm Rug Pull.

0x0573 không sử dụng cơ sở hạ tầng để chia tách quỹ, mà thay vào đó, các quỹ được sử dụng để làm giả khối lượng giao dịch đến từ các địa chỉ khác, cho thấy một số biến thiên trong cách các địa chỉ giữ quỹ khác nhau hoạt động.

Thông qua việc phân tích các liên kết giữa các địa chỉ duy trì quỹ này và việc sử dụng cơ sở hạ tầng của chúng, giờ đây chúng ta có một bức tranh hoàn chỉnh hơn về cách các địa chỉ này được kết nối. Các hoạt động của băng đảng Rug Pull chuyên nghiệp và có tổ chức hơn nhiều so với chúng ta tưởng tượng ban đầu, tiếp tục cho thấy rằng một nhóm tội phạm phối hợp tốt đứng sau những trò gian lận này, thực hiện chúng một cách có hệ thống.

· Điều tra Nguồn Gốc Của Quỹ Lừa Đảo

Khi thực hiện Rug Pull, băng đảng Rug Pull thường sử dụng Tài khoản thuộc sở hữu bên ngoài (EOA) mới làm Người triển khai để khởi chạy mã thông báo Rug Pull, với các địa chỉ Deployer này thường nhận được tiền ban đầu thông qua các sàn giao dịch tập trung (CEX) hoặc các nền tảng trao đổi tức thì. Để hiểu rõ hơn về nguồn tiền, chúng tôi đã phân tích các trường hợp Rug Pull liên quan đến các địa chỉ duy trì quỹ được đề cập trước đó, nhằm thu thập thông tin chi tiết hơn về cách các quỹ lừa đảo có nguồn gốc.

Bảng 6 hiển thị phân phối nhãn nguồn vốn của Deployer cho mỗi địa chỉ giữ vốn liên quan đến các trường hợp Rug Pull.

Nhìn vào dữ liệu trong Bảng 6, chúng ta có thể thấy rằng phần lớn tiền cho người triển khai mã thông báo Rug Pull trong các trường hợp Rug Pull này đến từ các sàn giao dịch tập trung (CEX). Trong số 1.124 trường hợp Rug Pull mà chúng tôi đã phân tích, 1,069 (95,11%) có tiền có nguồn gốc từ ví nóng trao đổi tập trung. Điều này có nghĩa là đối với hầu hết các trường hợp Rug Pull này, chúng tôi có thể theo dõi các chủ tài khoản cụ thể bằng cách kiểm tra thông tin KYC và lịch sử rút tiền từ các sàn giao dịch tập trung, có thể cung cấp manh mối quan trọng để giải quyết vụ việc. Điều tra sâu hơn cho thấy các băng đảng Rug Pull này thường nhận tiền từ nhiều ví nóng trao đổi và tần suất và phân phối sử dụng trên các ví này gần như bằng nhau. Điều này cho thấy băng đảng Rug Pull cố tình làm tăng tính độc lập của dòng tiền của từng vụ án Rug Pull, khiến việc theo dõi trở nên khó khăn hơn và làm phức tạp bất kỳ nỗ lực điều tra nào.

Thông qua một phân tích chi tiết về các địa chỉ giữ quỹ và các trường hợp Rug Pull, chúng tôi đã xây dựng một hồ sơ của những băng Rug Pull này: họ được đào tạo kỹ lưỡng, có vai trò và trách nhiệm rõ ràng, được lập kế hoạch cẩn thận và tổ chức rất chuẩn. Những đặc điểm này làm nổi bật mức độ chuyên nghiệp cao và tính hệ thống của hoạt động gian lận của họ.

Với mức độ tổ chức của những băng đảng này, chúng tôi bắt đầu đặt câu hỏi: làm thế nào những băng đảng Rug Pull này thuyết phục người dùng tìm và mua các token Rug Pull của họ? Để trả lời câu hỏi này, chúng tôi tập trung vào địa chỉ nạn nhân trong những trường hợp Rug Pull này và bắt đầu điều tra cách mà những băng đảng này lôi kéo người dùng tham gia vào các chiêu trò của họ.

· Địa chỉ điều tra nạn nhân

Bằng cách phân tích các hiệp hội quỹ, chúng tôi đã biên soạn một danh sách các địa chỉ băng đảng Rug Pull, mà chúng tôi duy trì như một danh sách đen. Sau đó, chúng tôi trích xuất địa chỉ nạn nhân từ giao dịch.

Sau khi phân tích các địa chỉ nạn nhân này, chúng tôi thu được thông tin địa chỉ nạn nhân liên quan được liên kết đến các địa chỉ giữ quỹ (Bảng 7) và dữ liệu tương tác hợp đồng của chúng (Bảng 8).

Từ dữ liệu trong Bảng 7, chúng ta có thể thấy rằng, trung bình có 26,82 địa chỉ nạn nhân trên mỗi trường hợp Rug Pull trong các trường hợp Rug Pull được ghi lại bởi hệ thống theo dõi on-chain của chúng tôi (CertiK Alert). Số này cao hơn so với dự định ban đầu, cho thấy tác động của những trường hợp Rug Pull này lớn hơn so với những gì chúng ta nghĩ ban đầu.

Trong Bảng 8, chúng ta có thể quan sát thấy rằng, trong số các tương tác hợp đồng cho các địa chỉ nạn nhân mua mã thông báo Rug Pull, ngoài các phương thức mua thông thường hơn thông qua các nền tảng như Uniswap và MetaMask Swap, 30,40% mã thông báo Rug Pull đã được mua thông qua các nền tảng bot bắn tỉa trên chuỗi nổi tiếng như Maestro và Banana Gun.

Phát hiện này làm nổi bật rằng các bot bắn tỉa trên chuỗi có thể là một kênh quảng cáo quan trọng cho băng Rug Pull. Các bot bắn tỉa này cho phép băng Rug Pull thu hút nhanh chóng các thành viên tham gia, đặc biệt là những người tập trung vào đầu tư token mới. Kết quả là, chúng tôi đã chuyển sự chú ý của mình đến những bot bắn tỉa trên chuỗi này để hiểu rõ hơn vai trò của chúng trong các vụ lừa đảo Rug Pull và cách chúng đóng góp vào việc quảng bá các kế hoạch gian lận này.

Các Kênh Khuyến Mãi Rug Pull Token

Chúng tôi đã tiến hành nghiên cứu về hệ sinh thái token mới Web3 hiện tại, xem xét các mô hình hoạt động của các bot sniper trên chuỗi và kết hợp một số kỹ thuật kỹ thuật xã hội để xác định hai kênh quảng cáo tiềm năng của băng Rug Pull: Twitter và các nhóm Telegram.

Điều quan trọng cần lưu ý là các tài khoản Twitter và nhóm Telegram này không được tạo riêng bởi băng đảng Rug Pull, mà thay vào đó là các thành phần cơ bản của hệ sinh thái mã thông báo mới. Chúng được vận hành và duy trì bởi các thực thể bên thứ ba như các nhóm bot bắn tỉa trên chuỗi hoặc các nhóm đầu tư mã thông báo mới chuyên nghiệp, với mục đích quảng bá các mã thông báo mới ra mắt cho các nhà đầu tư. Các nhóm này đã trở thành con đường quảng cáo tự nhiên cho băng đảng Rug Pull, những người sử dụng chúng để thu hút người dùng mua mã thông báo độc hại, do đó thực hiện các trò gian lận của họ.

· Quảng cáo trên Twitter

Hình 15 quảng cáo Twitter của token TOMMI

Hình 15 cho thấy một quảng cáo Twitter cho token TOMMI. Như chúng ta có thể thấy, băng Rug Pull đã sử dụng dịch vụ quảng cáo token mới của Dexed.com để quảng bá token Rug Pull của họ, thu hút được một đối tượng khán giả tiềm năng rộng hơn. Trong quá trình điều tra, chúng tôi phát hiện rằng nhiều token Rug Pull đã có quảng cáo xuất hiện trên Twitter, thường từ các tài khoản Twitter do các tổ chức bên thứ ba khác nhau điều hành.

· Quảng cáo nhóm Telegram

Hình 16: Nhóm Khuyến mãi Token mới của Súng Chuối

Hình 16 minh họa một nhóm Telegram được điều hành bởi nhóm bot bắn tỉa trên chuỗi Banana Gun, chuyên quảng bá các mã thông báo mới ra mắt. Nhóm này không chỉ chia sẻ thông tin cơ bản về mã thông báo mới mà còn cung cấp cho người dùng quyền truy cập dễ dàng để mua chúng. Sau khi thiết lập Banana Gun Sniper Bot, người dùng có thể nhanh chóng mua token bằng cách nhấp vào nút “Snipe” (được tô sáng màu đỏ trong Hình 16) bên cạnh quảng cáo token trong nhóm.

Chúng tôi đã lấy mẫu thủ công các mã thông báo được quảng cáo trong nhóm này và phát hiện ra rằng một tỷ lệ lớn trong số chúng thực sự là mã thông báo Rug Pull. Phát hiện này củng cố niềm tin của chúng tôi rằng các nhóm Telegram có khả năng là một kênh quảng cáo chính cho băng đảng Rug Pull.

Câu hỏi tiếp theo là: tỷ lệ phần trăm các token mới được quảng cáo bởi các tổ chức bên thứ ba là các token Rug Pull là bao nhiêu? Qui mô của những băng nhóm Rug Pull này là lớn đến đâu? Để trả lời những câu hỏi này, chúng tôi quyết định tiến hành quét và phân tích hệ thống dữ liệu token mới được quảng cáo trong các nhóm Telegram, nhằm khám phá qui mô của các rủi ro liên quan và mức độ của hoạt động gian lận.

Phân tích hệ sinh thái Ethereum Token

· Phân tích các Token được quảng bá trong các nhóm Telegram

Để đánh giá tỷ lệ các token Rug Pull trong số các token mới được quảng bá trong các nhóm Telegram, chúng tôi đã thu thập dữ liệu của các token Ethereum mới được đưa ra bởi Banana Gun, Unibot và các nhóm tin nhắn token của bên thứ ba khác trong khoảng thời gian từ tháng 10 năm 2023 đến tháng 8 năm 2024 bằng cách sử dụng API của Telegram. Chúng tôi đã phát hiện rằng trong thời gian này, các nhóm này đã đưa ra tổng cộng 93.930 token.

Dựa trên phân tích của chúng tôi về các trường hợp Rug Pull, các băng nhóm Rug Pull thường tạo ra các liquidity pool cho các token Rug Pull trên Uniswap V2 và tiêm ETH. Khi người dùng hoặc bot token mới mua các token Rug Pull, những kẻ tấn công sẽ kiếm lời bằng cách bán hoặc loại bỏ tính thanh khoản, thường hoàn thành quá trình trong vòng 24 giờ.

Do đó, chúng tôi đã tạo ra các quy tắc phát hiện sau cho các Token Rug Pull và áp dụng chúng để quét 93,930 token để xác định tỷ lệ các Token Rug Pull trong số các token mới được quảng cáo trong các nhóm Telegram:

1. Không chuyển khoản trong 24 giờ qua đối với mã thông báo mục tiêu: Mã thông báo Rug Pull thường ngừng hoạt động sau khi kết xuất;
2. Nhóm thanh khoản tồn tại giữa target token và ETH trong Uniswap V2: Các băng nhóm Rug Pull tạo ra các nhóm thanh khoản giữa token và ETH trong Uniswap V2;
3. Tổng số sự kiện chuyển khoản từ khi tạo token không vượt quá 1.000: Rug Pull tokens thường có ít giao dịch hơn, vì vậy số lượng chuyển khoản thường là nhỏ;
4. Rút hoặc bán phá giá thanh khoản lớn có mặt trong 5 giao dịch gần nhất: Mã thông báo Rug Pull thường kết thúc bằng việc rút hoặc bán phá giá thanh khoản lớn.

Chúng tôi đã áp dụng các quy tắc này cho các mã thông báo được quảng bá trong các nhóm Telegram và kết quả được hiển thị trong Bảng 10.

Như được hiển thị trong Bảng 9, trong tổng số 93.930 token được quảng cáo trong nhóm Telegram, có 46.526 token được xác định là token Rug Pull, chiếm 49,53% tổng số. Điều này có nghĩa là gần một nửa số token được quảng cáo trong nhóm Telegram đều là token Rug Pull.

Xét đến việc một số nhóm dự án cũng có thể rút tiền thanh khoản sau khi dự án thất bại, hành vi này không nên tự động được phân loại là gian lận Rug Pull. Do đó, chúng tôi đã xem xét tác động tiềm năng của các kết quả dương giả trong quá trình phân tích. Mặc dù Quy tắc 3 giúp lọc ra phần lớn các trường hợp tương tự, nhưng vẫn có thể xảy ra một số sai lầm trong đánh giá.

Để hiểu rõ hơn về tác động của kết quả dương tính sai, chúng tôi đã phân tích thời gian hoạt động của 46.526 mã Rug Pull và kết quả được hiển thị trong Bảng 10. Bằng cách phân tích thời gian hoạt động, chúng tôi có thể phân biệt rõ hơn giữa hành vi Rug Pull đích thực và rút tiền thanh khoản do thất bại dự án, từ đó đánh giá chính xác hơn quy mô thực sự của các hoạt động Rug Pull.

Thông qua phân tích các thời điểm hoạt động, chúng tôi đã phát hiện ra rằng có 41.801 đồng tiền Rug Pull có thời gian hoạt động (từ khi tạo token đến khi cuối cùng bị Rug Pull) ít hơn 72 giờ, chiếm 89,84%. Trong các trường hợp bình thường, 72 giờ sẽ không đủ để xác định xem một dự án đã thất bại hay chưa, vì vậy chúng tôi coi hành vi Rug Pull với thời gian hoạt động dưới 72 giờ là hành vi rút tiền bất thường, không phải là hành vi của các nhóm dự án hợp pháp.

Do đó, ngay cả trong trường hợp xấu nhất, 4.725 mã thông báo Rug Pull còn lại có thời gian hoạt động lớn hơn 72 giờ không phù hợp với định nghĩa về gian lận Rug Pull trong bài báo này. Tuy nhiên, phân tích của chúng tôi vẫn có giá trị đáng kể, vì 89,84% các trường hợp phù hợp với kỳ vọng. Hơn nữa, ngưỡng 72 giờ vẫn còn tương đối thận trọng, vì trong lấy mẫu thực tế, nhiều mã thông báo có thời gian hoạt động lớn hơn 72 giờ vẫn rơi vào danh mục gian lận Rug Pull.

Thú vị là, 25.622 Token đã có thời gian hoạt động dưới 3 giờ, chiếm 55,07%. Điều này cho thấy băng nhóm Rug Pull hoạt động với hiệu suất rất cao, với phương pháp “ngắn và nhanh” và tỷ lệ quay vòng vốn cực kỳ cao.

Chúng tôi cũng đã đánh giá các phương pháp rút tiền mặt và mẫu gọi hợp đồng cho 46.526 Rug Pull tokens để xác nhận xu hướng của các băng Rug Pull.

Đánh giá về các phương pháp rút tiền mặt chủ yếu tập trung vào cách mà các băng Rug Pull rút ETH từ các hồ bơi thanh khoản. Các phương pháp chính là:

1. Dumping tokens: Nhóm Rug Pull sử dụng TOKEN nhận được thông qua việc phân bổ trước hoặc mã lối vào để đổi tất cả ETH trong hồ bơi thanh khoản.
2. Băng Rug Pull rút hết tất cả các quỹ của họ đã thêm vào hồ bơi thanh khoản.

Đánh giá các mô hình gọi hợp đồng đã xem xét các đối tượng hợp đồng mục tiêu mà các băng Rug Pull tương tác với trong quá trình Rug Pull. Các đối tượng chính là:

1. Các hợp đồng định tuyến sàn giao dịch phi tập trung: được sử dụng để trực tiếp điều khiển tính thanh khoản.
2. Hợp đồng tấn công tùy chỉnh: Các hợp đồng tự xây dựng được sử dụng để thực hiện các hoạt động gian lận phức tạp.

Bằng cách đánh giá các phương thức rút tiền và mẫu gọi hợp đồng, chúng ta có thể hiểu rõ hơn về phương pháp hoạt động và đặc điểm của băng Rug Pull, điều này sẽ giúp chúng ta ngăn chặn và xác định các vụ lừa đảo tương tự một cách tốt hơn.

Dữ liệu đánh giá liên quan cho phương pháp rút tiền mặt được hiển thị trong Bảng 11.

Từ số liệu đánh giá, chúng ta có thể thấy số vụ băng nhóm Rug Pull sử dụng thanh khoản để rút tiền mặt là 32.131, chiếm 69,06%. Điều này chỉ ra rằng các băng đảng Rug Pull này thích loại bỏ thanh khoản để rút tiền mặt, có thể vì nó đơn giản và trực tiếp hơn, mà không cần tạo hợp đồng phức tạp hoặc các bước bổ sung. Ngược lại, rút tiền mặt bằng cách bán phá giá mã thông báo yêu cầu băng đảng Rug Pull thiết lập một cửa hậu trong mã hợp đồng của mã thông báo, cho phép họ có được các mã thông báo cần thiết cho việc bán phá giá với chi phí bằng không. Quá trình này phức tạp và rủi ro hơn, vì vậy có ít trường hợp liên quan đến nó hơn.

Dữ liệu đánh giá liên quan đến các mẫu gọi hợp đồng được hiển thị trong Bảng 12.

Từ Bảng 12, chúng ta có thể thấy rõ rằng bọn Rug Pull thích sử dụng hợp đồng Uniswap router để thực hiện các hoạt động Rug Pull, đã làm như vậy 40.887 lần, chiếm 76,35% tổng số hoạt động. Tổng số lần thực hiện Rug Pull là 53.552, cao hơn số lượng Token Rug Pull (46.526). Điều này cho thấy trong một số trường hợp, bọn Rug Pull thực hiện nhiều hoạt động Rug Pull khác nhau, có thể để tối đa hóa lợi nhuận hoặc rút tiền ra theo từng đợt nhắm vào các nạn nhân khác nhau.

Tiếp theo, chúng tôi đã thực hiện phân tích thống kê về dữ liệu chi phí và doanh thu cho 46.526 mã thông báo Rug Pull. Cần lưu ý rằng chúng tôi coi ETH mà băng đảng Rug Pull thu được từ các sàn giao dịch tập trung hoặc dịch vụ trao đổi tức thì trước khi triển khai mã thông báo là chi phí và ETH được thu hồi tại Rug Pull cuối cùng là doanh thu cho mục đích thống kê. Dữ liệu chi phí thực tế có thể cao hơn, vì chúng tôi chưa tính đến ETH được đầu tư bởi các băng đảng Rug Pull để giả mạo các giao dịch nhóm thanh khoản.

Dữ liệu về giá và doanh thu được hiển thị trong Bảng 13.

Trong phân tích thống kê về 46.526 Token Rug Pull, tổng lợi nhuận cuối cùng là 282.699,96 ETH, với tỷ suất lợi nhuận là 188,70%, tương đương khoảng 800 triệu đô la. Mặc dù lợi nhuận thực tế có thể thấp hơn một chút so với các con số trên, quy mô tổng thể của quỹ vẫn rất ấn tượng, chứng tỏ những băng nhóm Rug Pull này đã tạo ra lợi nhuận đáng kể thông qua gian lận.

Dựa trên phân tích dữ liệu token toàn bộ từ các nhóm Telegram, hệ sinh thái Ethereum đã bị ngập tràn bởi một số lượng lớn token Rug Pull. Tuy nhiên, chúng tôi vẫn cần xác nhận một câu hỏi quan trọng: những token này được quảng cáo trong các nhóm Telegram có đại diện cho tất cả các token được ra mắt trên Ethereum mainnet không? Nếu không, tỷ lệ token này chiếm bao nhiêu trong số các token được ra mắt trên Ethereum mainnet?
Trả lời câu hỏi này sẽ cho chúng ta hiểu biết toàn diện về hệ sinh thái token Ethereum hiện tại. Do đó, chúng tôi đã bắt đầu tiến hành phân tích chuyên sâu về các mã thông báo mainnet Ethereum để đánh giá mức độ bao phủ của các mã thông báo được đẩy trong các nhóm Telegram. Phân tích này sẽ cho phép chúng tôi làm rõ thêm mức độ nghiêm trọng của vấn đề Rug Pull trong hệ sinh thái Ethereum rộng lớn hơn và ảnh hưởng của các nhóm Telegram trong việc quảng bá mã thông báo.

· Phân tích Ethereum Mainnet Tokens

Chúng tôi đã thu thập dữ liệu khối từ các nút RPC trong cùng khoảng thời gian (tháng 10/2023 đến tháng 8/2024) dưới dạng phân tích mã thông báo nhóm Telegram. Từ các khối này, chúng tôi đã truy xuất các mã thông báo mới được triển khai (không bao gồm các mã thông báo được triển khai proxy, vì có rất ít trường hợp Rug Pull liên quan đến chúng). Chúng tôi đã thu được tổng cộng 154.500 mã thông báo, với 54.240 trong số đó là mã thông báo nhóm thanh khoản Uniswap V2 (LP), được loại trừ khỏi phạm vi của bài báo này.

Sau khi lọc bỏ các token LP, chúng tôi đã có tổng cộng 100.260 token. Thông tin liên quan được hiển thị trong Bảng 14.

Chúng tôi đã áp dụng các quy tắc phát hiện Rug Pull cho 100.260 token này và kết quả được hiển thị trong Bảng 15.

Trong số 100.260 token phát hiện, chúng tôi xác định được 48.265 token Rug Pull, chiếm 48,14% tổng số - tỷ lệ này gần như tương đồng với tỷ lệ token Rug Pull trong các token được thúc đẩy bởi nhóm Telegram.

Để phân tích sự trùng lặp giữa các mã thông báo được đẩy trong nhóm Telegram và những mã thông báo được triển khai trên mạng chính Ethereum, chúng tôi đã so sánh dữ liệu cho cả hai tập hợp mã thông báo. Kết quả được hiển thị trong Bảng 16.

Từ Bảng 16, chúng ta có thể thấy rằng sự trùng lắp giữa các token được đẩy trong nhóm Telegram và các token trên mạng chính Ethereum chứa 90.228 token, chiếm 89,99% số lượng token trên mạng chính. Có 3.703 token được quảng bá trong các nhóm Telegram nhưng không được tìm thấy trên mạng chính. Những token này được triển khai thông qua proxy và không được bao gồm trong quá trình thu thập các token trên mạng chính của chúng tôi.

Có 10.032 token trên mainnet mà không được đẩy trong các nhóm Telegram, có lẽ vì chúng đã bị lọc bởi các quy tắc khuyến mãi do thiếu sự hấp dẫn đủ hoặc không đáp ứng các tiêu chí nhất định.

Chúng tôi sau đó thực hiện việc phát hiện Rug Pull trên 3.703 mã thông báo được triển khai qua proxy và chỉ tìm thấy 10 mã thông báo Rug Pull. Điều này cho thấy mã thông báo được triển khai qua proxy gây ít tác động đến kết quả phát hiện Rug Pull trong các nhóm Telegram và kết quả phát hiện rất nhất quán với các mã thông báo trên mainnet.

Các địa chỉ token Rug Pull được triển khai thông qua proxy số 10 được liệt kê trong Bảng 17. Nếu bạn quan tâm, bạn có thể khám phá những địa chỉ này chi tiết hơn. Chúng tôi sẽ không đi sâu vào vấn đề này ở đây.

Phân tích này xác nhận tỷ lệ token Rug Pull trong các token được đẩy bởi nhóm Telegram tương đồng với tỷ lệ trên mạng chính Ethereum, làm nổi bật hơn nữa tầm quan trọng và ảnh hưởng của các kênh quảng cáo này trong hệ sinh thái Rug Pull hiện tại.

Bây giờ chúng ta có thể trả lời câu hỏi, đó là, liệu các token được đẩy trong nhóm Telegram có bao gồm tất cả các token được phát hành trên Ethereum mainnet không, và nếu không, tỷ lệ chúng chiếm bao nhiêu?

Câu trả lời là các token được đẩy bởi nhóm Telegram chiếm khoảng 90% mạng chính, và kết quả kiểm tra Rug Pull của nó có tính nhất quán cao với kết quả kiểm tra Rug Pull của các token mạng chính. Do đó, việc phát hiện Rug Pull trước đó và phân tích dữ liệu của các token được đẩy bởi nhóm Telegram có thể phản ánh khá chính xác tình trạng hiện tại của hệ sinh thái token trên mạng chính Ethereum.

Như đã đề cập trước đó, các token Rug Pull trên mạng chính Ethereum chiếm khoảng 48,14%, nhưng chúng tôi cũng quan tâm đến 51,86% còn lại của các token không phải Rug Pull. Ngay cả khi loại bỏ các token Rug Pull, vẫn còn 51.995 token ở trạng thái không rõ, đó là nhiều hơn nhiều so với số lượng token hợp lý. Do đó, chúng tôi thống kê thời gian từ khi tạo đến khi hoạt động kết thúc cho tất cả các token trên mạng chính, và kết quả được hiển thị trong Bảng 18.

Theo dữ liệu từ Bảng 18, khi chúng tôi kiểm tra toàn bộ mạng chính Ethereum, có 78.018 mã thông báo tồn tại dưới 72 giờ, chiếm 77,82% tổng số. Con số này vượt quá đáng kể số lượng mã thông báo Rug Pull mà chúng tôi đã xác định, cho thấy các quy tắc phát hiện của chúng tôi không bao gồm tất cả các trường hợp Rug Pulls. Thật vậy, các thử nghiệm lấy mẫu ngẫu nhiên của chúng tôi đã tiết lộ một số mã thông báo Rug Pull ban đầu không bị phát hiện. Ngoài ra, điều này có thể cho thấy sự hiện diện của các loại gian lận khác, chẳng hạn như các cuộc tấn công lừa đảo hoặc kế hoạch Ponzi, đòi hỏi phải điều tra thêm.

Hơn nữa, có 22.242 mã thông báo với vòng đời vượt quá 72 giờ. Tuy nhiên, những mã thông báo này không phải là trọng tâm chính của nghiên cứu của chúng tôi, ngụ ý rằng các chi tiết bổ sung vẫn chưa được khám phá. Trong số này, một số mã thông báo có thể thuộc về các dự án thất bại hoặc có cơ sở người dùng nhưng thiếu hỗ trợ phát triển bền vững. Các câu chuyện và lý do đằng sau các mã thông báo này có thể khám phá ra động lực thị trường phức tạp.

Hệ sinh thái token trên mainnet Ethereum phức tạp hơn đáng kể so với dự đoán, chứa đầy các dự án ngắn hạn và lâu dài, bên cạnh những rủi ro luôn hiện hữu của các hoạt động gian lận. Mục đích chính của bài viết này là thu hút sự chú ý đến những vấn đề này, với hy vọng rằng nó sẽ làm cho mọi người nhận thức được các hoạt động bí mật đang diễn ra của bọn tội phạm. Bằng cách chia sẻ phân tích này, chúng tôi mong muốn thu hút thêm sự quan tâm và nghiên cứu về những vấn đề này, cuối cùng cải thiện tính bảo mật của toàn bộ hệ sinh thái blockchain.

Phản ánh

Thực tế là việc các token Rug Pull chiếm 48,14% tổng số token mới được phát hành trên mạng chính Ethereum là đáng báo động và quan trọng. Tỷ lệ này cho thấy rằng mỗi hai token được ra mắt trên Ethereum, có một token có khả năng là lừa đảo, phản ánh một phần tình trạng hỗn loạn và không có trật tự của hệ sinh thái Ethereum. Tuy nhiên, những lo ngại thực sự không chỉ giới hạn trong hệ sinh thái token Ethereum. Chúng tôi đã nhận thấy số lượng các trường hợp Rug Pull trên các mạng blockchain khác vượt qua số lượng trên Ethereum, cho thấy hệ sinh thái token trên những mạng này cũng đáng được điều tra kỹ lưỡng.

Mặc dù tỷ lệ Token Rug Pull rất cao, khoảng 140 Token mới vẫn được ra mắt hàng ngày trên Ethereum, vượt xa những gì có thể được coi là một phạm vi bình thường. Những bí mật chưa được tiết lộ nào mà những Token khác, không gian lận này giữ? Đây là những câu hỏi quan trọng đáng xem xét cẩn thận và nghiên cứu sâu hơn.

Bên cạnh đó, bài viết này nhấn mạnh một số vấn đề quan trọng khác cần được khám phá sâu hơn:

1. Xác định các băng đảng Rug Pull: Với số lượng lớn các trường hợp Rug Pull được phát hiện, làm thế nào chúng ta có thể xác định hiệu quả số lượng các băng đảng Rug Pull riêng biệt đằng sau những trường hợp này và xác định xem có mối liên hệ nào giữa chúng hay không? Phân tích dòng tài chính và địa chỉ dùng chung có thể rất quan trọng.
2. Phân biệt nạn nhân và kẻ tấn công: Phân biệt nạn nhân và kẻ tấn công là rất quan trọng để xác định gian lận. Tuy nhiên, đường ranh giới giữa địa chỉ nạn nhân và kẻ tấn công thường mờ nhạt, đòi hỏi phải có phương pháp chính xác hơn.
3. Nâng cao việc phát hiện Rug Pull: Hiện tại, việc phát hiện Rug Pull chủ yếu dựa vào phân tích sau sự kiện. Liệu chúng ta có thể phát triển các phương pháp phát hiện thời gian thực hoặc thậm chí tiên phong để xác định nguy cơ Rug Pull tiềm năng trong các token hoạt động sớm hơn không? Khả năng này có thể giúp giảm thiểu thiệt hại và tạo điều kiện cho các biện pháp can thiệp kịp thời.
4. Chiến lược lợi nhuận của băng Rug Pull: Dưới điều kiện nào băng Rug Pull quyết định rút tiền? Hiểu rõ chiến lược lợi nhuận của họ có thể giúp dự đoán và ngăn chặn các sự cố Rug Pull.
5. Khám phá các kênh quảng cáo khác: Trong khi Twitter và Telegram được biết đến với các kênh quảng bá mã thông báo gian lận, các nền tảng khác cũng đang bị khai thác? Những rủi ro tiềm ẩn liên quan đến các diễn đàn, phương tiện truyền thông xã hội khác và các nền tảng quảng cáo cũng đáng được xem xét kỹ lưỡng.

Đây là những vấn đề phức tạp đòi hỏi thảo luận và nghiên cứu tiếp theo, chúng tôi để lại cho nghiên cứu và tranh luận tiếp diễn. Sự phát triển nhanh chóng của hệ sinh thái Web3 đòi hỏi không chỉ sự tiến bộ về công nghệ mà còn sự giám sát rộng rãi và nghiên cứu sâu hơn để đối phó với các rủi ro và thách thức đang tiến triển.

Gợi ý

Với sự phổ biến của các vụ lừa đảo trong hệ sinh thái token phát hành, nhà đầu tư Web3 cần phải cực kỳ thận trọng. Khi các tổ chức lừa đảo Rug Pull và các đội chống gian lận nâng cao chiến thuật của mình, việc nhận biết các token hoặc dự án gian lận ngày càng trở nên khó khăn hơn đối với nhà đầu tư.

Đối với nhà đầu tư quan tâm đến thị trường token mới, các chuyên gia bảo mật của chúng tôi đề xuất như sau:

1. Sử dụng các sàn giao dịch tập trung có uy tín: Ưu tiên mua mã thông báo mới thông qua các sàn giao dịch tập trung nổi tiếng, thường có sàng lọc dự án chặt chẽ hơn và cung cấp bảo mật cao hơn.
2. Xác minh nguồn thông tin chính thức trên các sàn giao dịch phi tập trung: Đảm bảo rằng các token được mua từ địa chỉ hợp đồng chính thức và tránh các token được quảng bá thông qua các kênh không chính thức hoặc đáng ngờ.
3. Nghiên cứu trang web và cộng đồng của dự án: Thiếu trang web chính thức hoặc cộng đồng hoạt động thường cho thấy mức độ rủi ro cao hơn. Đặc biệt cẩn trọng với các token được quảng cáo thông qua các nhóm Twitter và Telegram của bên thứ ba, có thể chưa trải qua xác minh bảo mật.
4. Kiểm tra Thời gian Tạo Token: Tránh các token được tạo ra ít hơn ba ngày trước đây vì các token Rug Pull thường có thời gian hoạt động rất ngắn.
5. Sử dụng Dịch vụ Bảo mật Bên Thứ Ba: Nếu có thể, hãy sử dụng dịch vụ quét token được cung cấp bởi các tổ chức bảo mật bên thứ ba để đánh giá mức độ an toàn của các token mục tiêu.

Hành động

Ngoài các băng nhóm lừa đảo Rug Pull là tâm điểm của bài viết này, có một số tội phạm tương tự đang lợi dụng cơ sở hạ tầng và cơ chế của các ngành hoặc nền tảng khác nhau trong ngành công nghệ Web3 để thu lợi bất hợp pháp, làm tăng đáng kể tình hình bảo mật của hệ sinh thái Web3 hiện tại. Chúng ta cần bắt đầu chú ý đến các vấn đề thường được bỏ qua để ngăn chặn tội phạm tìm kiếm cơ hội.

Như đã đề cập trước đó, dòng tiền từ các kế hoạch Rug Pull cuối cùng sẽ thông qua các sàn giao dịch lớn, nhưng chúng tôi tin rằng dòng tiền liên quan đến các chiêu trò Rug Pull chỉ là phần nổi của tảng băng. Quy mô của dòng tiền độc hại thông qua các sàn giao dịch có thể xa xa vượt xa sức tưởng tượng của chúng ta. Do đó, chúng tôi mạnh mẽ kêu gọi các sàn giao dịch lớn áp dụng các biện pháp quản lý nghiêm ngặt hơn đối với các dòng tiền độc hại này, chủ động chiến đấu chống lại các hoạt động bất hợp pháp và gian lận, và đảm bảo an toàn cho quỹ của người dùng.

Các nhà cung cấp dịch vụ như quảng bá dự án và các bot bắn tỉa trên chuỗi, cơ sở hạ tầng của họ đã trở thành công cụ để các băng nhóm lừa đảo tạo lợi. Do đó, chúng tôi kêu gọi tất cả các nhà cung cấp dịch vụ bên thứ ba nâng cao việc xem xét bảo mật của sản phẩm hoặc nội dung của họ để ngăn chặn việc lạm dụng bởi các tội phạm.

Hơn nữa, chúng tôi kêu gọi tất cả nạn nhân, bao gồm các nhà giao dịch MEV (Arbitrageurs) và người dùng thông thường, nên tích cực sử dụng các công cụ quét bảo mật để đánh giá các dự án không rõ trước khi đầu tư, tham khảo các xếp hạng dự án từ các tổ chức bảo mật uy tín, và tích cực tiết lộ các hành vi độc hại của tội phạm để phơi bày các hiện tượng vi phạm pháp luật trong ngành.

Là một đội ngũ bảo mật chuyên nghiệp, chúng tôi cũng kêu gọi tất cả những người thực hành bảo mật cần tiên phong trong việc khám phá, xác định và chống lại các hoạt động bất hợp pháp, thể hiện rõ ý kiến của mình và bảo vệ an toàn tài chính cho người dùng.

Trong lĩnh vực Web3, người dùng, nhà phát triển dự án, sàn giao dịch, nhà giao dịch MEV arbitrageurs và các nhà cung cấp dịch vụ bên thứ ba khác đều đóng vai trò quan trọng. Chúng tôi hy vọng mỗi người tham gia có thể đóng góp vào sự phát triển bền vững của hệ sinh thái Web3 và cùng nhau tạo ra một môi trường blockchain an toàn, minh bạch hơn.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được sao chép từ [Panewslab]. Bản quyền thuộc về tác giả gốc [SomeK]. Nếu bạn có bất kỳ ý kiến ​​phản đối về việc sao chép, vui lòng liên hệ Gate Họcđội, đội sẽ xử lý nó càng sớm càng tốt theo các quy trình liên quan.
2. Thông báo miễn trừ trách nhiệm: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
3. Nhóm Gate Learn dịch các phiên bản bài viết bằng ngôn ngữ khác. Trừ khi được nêu rõ, bài viết đã được dịch có thể không được sao chép, phân phối hoặc đạo văn.