Điều tra sâu về các trường hợp Rug Pull, khám phá những bất ổn trong hệ sinh thái Token Ethereum
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn có bao giờ nghĩ đến việc mỗi ngày có bao nhiêu token mới được phát hành? Những token mới này có an toàn không?
Những nghi vấn này không phải là vô cớ. Trong vài tháng qua, đội ngũ an ninh đã ghi nhận được một số lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan trong những trường hợp này đều là các token mới vừa được đưa lên chuỗi.
Sau đó, đội ngũ an ninh đã tiến hành điều tra sâu về những trường hợp Rug Pull này, phát hiện ra có sự tồn tại của các băng nhóm tổ chức đứng sau và tóm tắt những đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu sắc các phương thức hoạt động của những băng nhóm này, đã phát hiện ra một con đường quảng bá lừa đảo khả thi của băng nhóm Rug Pull: Nhóm Telegram. Những băng nhóm này đã lợi dụng chức năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng kiếm lợi từ Rug Pull.
Đội ngũ an ninh đã thống kê thông tin đẩy token từ các nhóm Telegram trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng 93,930 loại token mới được đẩy, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau các token Rug Pull này là 149,813.72 Ether, và họ đã kiếm lợi nhuận 282,699.96 Ether với tỷ suất hoàn vốn lên tới 188.7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ token mới được đẩy lên nhóm Telegram trên mạng chính Ethereum, đội ngũ an ninh đã thống kê dữ liệu về các token mới phát hành trên mạng chính Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy trong khoảng thời gian này có tổng cộng 100,260 token mới được phát hành, trong đó token được đẩy qua nhóm Telegram chiếm 89.99% trên mạng chính. Mỗi ngày trung bình có khoảng 370 token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện là rất đáng lo ngại - trong đó ít nhất 48,265 token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, gần như mỗi hai token mới trên mạng chính Ethereum thì có một token liên quan đến lừa đảo.
Ngoài ra, đội ngũ an ninh còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà toàn bộ tình hình an ninh của hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, đội ngũ an ninh đã viết báo cáo nghiên cứu này với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao ý thức phòng ngừa, giữ cảnh giác khi đối mặt với những trò lừa đảo liên tiếp, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ tài sản của mình.
ERC-20 Token
Trước khi chính thức bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy tắc cho phép token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi nghiệp cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token mà nó đã trở thành nền tảng của nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc loại Token ERC-20, người dùng có thể mua những Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các Token ERC-20 độc hại có mã cửa hậu, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện việc mua.
Rug Pull Token của các vụ lừa đảo điển hình
Tại đây, chúng tôi mượn một trường hợp lừa đảo với Token Rug Pull để đi sâu vào mô hình hoạt động của lừa đảo Token độc hại. Trước tiên cần làm rõ rằng, Rug Pull đề cập đến hành vi gian lận của nhóm dự án trong các dự án tài chính phi tập trung, đột ngột rút tiền hoặc từ bỏ dự án, khiến nhà đầu tư phải chịu tổn thất lớn. Trong khi đó, Token Rug Pull là loại Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Trong bài viết này, các Token Rug Pull được đề cập, đôi khi cũng được gọi là "Token bẫy mật" hoặc "Token lừa đảo thoát", nhưng trong phần dưới đây chúng tôi sẽ thống nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (băng nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó dùng 1.5 ETH và 100,000,000 TOMMI để tạo ra bể thanh khoản, và chủ động mua Token TOMMI bằng các địa chỉ khác để giả mạo khối lượng giao dịch bể thanh khoản nhằm thu hút người dùng và các bot săn coin trên chuỗi mua Token TOMMI. Khi có một số lượng bot săn coin nhất định bị lừa, kẻ tấn công sẽ sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã dùng 38,739,354 TOMMI để tấn công bể thanh khoản, đổi được khoảng 3.95 ETH. Nguồn Token của Rug Puller đến từ việc cấp quyền Approve độc hại trong hợp đồng Token TOMMI, hợp đồng Token TOMMI khi triển khai sẽ cấp quyền approve cho bể thanh khoản cho Rug Puller, điều này cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
Quy trình Rug Pull
Chuẩn bị vốn tấn công.
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua sàn giao dịch tập trung như là vốn khởi đầu cho Rug Pull.
Triển khai Token Rug Pull có cửa hậu.
Deployer tạo ra Token TOMMI, khai thác trước 100,000,000 Token và phân bổ cho chính mình.
Tạo hồ bơi thanh khoản ban đầu.
Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo ra pool thanh khoản, nhận được khoảng 0.387 LP Token.
Hủy tất cả nguồn cung Token đã được khai thác trước.
Token Deployer gửi tất cả LP token đến địa chỉ 0 để hủy diệt, do trong hợp đồng TOMMI không có chức năng Mint, vì vậy lúc này Token Deployer lý thuyết đã mất khả năng Rug Pull.
Khối lượng giao dịch giả.
Kẻ tấn công chủ động mua TOMMI Token từ bể thanh khoản bằng nhiều địa chỉ, làm tăng khối lượng giao dịch của bể, từ đó thu hút robot đầu tư mới tham gia.
Kẻ tấn công đã khởi xướng Rug Pull thông qua địa chỉ Rug Puller, trực tiếp chuyển 38,739,354 Token từ bể thanh khoản thông qua cửa hậu của token, sau đó dùng những token này để làm giảm giá bể, lấy ra khoảng 3.95 ETH.
Kẻ tấn công chuyển tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung gian sẽ gửi tiền đến địa chỉ lưu giữ tiền. Từ đây, chúng ta có thể thấy rằng khi Rug Pull hoàn thành, người thực hiện Rug Pull sẽ gửi tiền đến một địa chỉ lưu giữ tiền nào đó. Địa chỉ lưu giữ tiền là nơi tập trung của một lượng lớn các trường hợp Rug Pull đã được theo dõi, địa chỉ lưu giữ tiền sẽ chia nhỏ phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua sàn giao dịch tập trung.
Mã lừa đảo Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách hủy bỏ LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI, lỗ hổng này sẽ cho phép hợp đồng khi tạo ra bể thanh khoản phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp chuyển Token từ bể thanh khoản.
mô hình tội phạm hóa
Bằng cách phân tích trường hợp TOMMI, chúng ta có thể tổng kết ra 4 đặc điểm sau:
Deployer thông qua sàn giao dịch tập trung để có được vốn: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua sàn giao dịch tập trung.
Deployer tạo ra bể thanh khoản và hủy LP Token: Người triển khai sau khi tạo ra đồng Rug Pull sẽ ngay lập tức tạo ra bể thanh khoản cho nó và hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường là số lượng vượt xa tổng nguồn cung Token) để đổi lấy ETH trong bể thanh khoản. Trong các trường hợp khác, Rug Puller cũng có trường hợp lấy ETH trong bể bằng cách rút thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ lưu trữ quỹ: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ lưu trữ quỹ, đôi khi thông qua một địa chỉ trung gian để chuyển tiếp.
Những đặc điểm nêu trên thường tồn tại trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng và có tính quy chuẩn. Hơn nữa, sau khi hoàn thành Rug Pull, tiền thường được tập trung vào một địa chỉ lưu giữ quỹ, điều này ám chỉ rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo, thậm chí là cùng một băng nhóm.
Dựa trên những đặc điểm này, đội ngũ an ninh đã trích xuất một mô hình hành vi Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, với hy vọng xây dựng được hình ảnh của những băng nhóm lừa đảo có thể xảy ra.
Nhóm tội phạm Rug Pull
địa chỉ giữ lại quỹ khai thác
Như đã đề cập ở trên, các trường hợp Rug Pull thường sẽ cuối cùng tập hợp tiền vào địa chỉ giữ tiền. Dựa trên mô hình này, nhóm an ninh đã chọn một số địa chỉ giữ tiền rất hoạt động và có đặc điểm rõ ràng trong phương pháp gây án để phân tích sâu.
Có tổng cộng 7 địa chỉ giữ vốn xuất hiện trong tầm nhìn, với 1.124 trường hợp Rug Pull liên quan đến những địa chỉ này đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Các băng nhóm Rug Pull, sau khi thực hiện thành công lừa đảo, sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ giữ vốn này. Những địa chỉ giữ vốn này sẽ phân tách số tiền tích lũy để tạo ra token mới trong các vụ lừa đảo Rug Pull mới trong tương lai, thao túng các pool thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ số tiền tích lũy sẽ được rút tiền thông qua sàn giao dịch tập trung hoặc nền tảng hoán đổi nhanh.
Bằng cách thống kê chi phí và doanh thu từ tất cả các vụ lừa đảo Rug Pull trong mỗi địa chỉ giữ tiền, đội ngũ an ninh đã thu thập được dữ liệu liên quan.
Trong một vụ lừa đảo Rug Pull hoàn chỉnh, nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) của token Rug Pull, và rút tiền từ sàn giao dịch tập trung để lấy vốn khởi động nhằm tạo ra token Rug Pull và hồ thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot đánh mới sử dụng ETH để mua token Rug Pull, nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để tiến hành, chuyển tiền thu được vào địa chỉ giữ tiền.
Trong quá trình trên, ETH mà Deployer nhận được từ sàn giao dịch, hoặc ETH mà Deployer đã đầu tư khi tạo pool thanh khoản, được coi là chi phí của Rug Pull (cách tính cụ thể phụ thuộc vào hành vi của Deployer). Trong khi đó, ETH mà Rug Puller chuyển đến địa chỉ giữ tiền (hoặc địa chỉ trung gian khác) sau khi hoàn thành Rug Pull được coi là doanh thu của lần Rug Pull đó.
Cần lưu ý rằng, khi thực hiện lừa đảo, nhóm Rug Pull cũng sẽ chủ động sử dụng ETH để mua các token Rug Pull do chính họ tạo ra, nhằm mô phỏng hoạt động của một bể thanh khoản bình thường, từ đó thu hút các bot đầu tư mới mua vào. Nhưng phần chi phí này không được tính vào, do đó dữ liệu đã đánh giá quá cao lợi nhuận thực tế của nhóm Rug Pull, lợi nhuận thực sự sẽ tương đối thấp.
Trên thực tế, ngay cả khi cuối cùng tiền được tập hợp vào các nơi lưu giữ quỹ khác nhau.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
3
Chia sẻ
Bình luận
0/400
ApeWithNoFear
· 08-02 03:22
Chỉ có chút năng lực này mà còn muốn cướp tiền trong ngõ hẻm?
Hệ sinh thái Ethereum gần 50% token mới bị nghi ngờ lừa đảo, băng nhóm Rug Pull phơi bày hoạt động ngầm 800 triệu đô la.
Điều tra sâu về các trường hợp Rug Pull, khám phá những bất ổn trong hệ sinh thái Token Ethereum
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn có bao giờ nghĩ đến việc mỗi ngày có bao nhiêu token mới được phát hành? Những token mới này có an toàn không?
Những nghi vấn này không phải là vô cớ. Trong vài tháng qua, đội ngũ an ninh đã ghi nhận được một số lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan trong những trường hợp này đều là các token mới vừa được đưa lên chuỗi.
Sau đó, đội ngũ an ninh đã tiến hành điều tra sâu về những trường hợp Rug Pull này, phát hiện ra có sự tồn tại của các băng nhóm tổ chức đứng sau và tóm tắt những đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu sắc các phương thức hoạt động của những băng nhóm này, đã phát hiện ra một con đường quảng bá lừa đảo khả thi của băng nhóm Rug Pull: Nhóm Telegram. Những băng nhóm này đã lợi dụng chức năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng kiếm lợi từ Rug Pull.
Đội ngũ an ninh đã thống kê thông tin đẩy token từ các nhóm Telegram trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng 93,930 loại token mới được đẩy, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau các token Rug Pull này là 149,813.72 Ether, và họ đã kiếm lợi nhuận 282,699.96 Ether với tỷ suất hoàn vốn lên tới 188.7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ token mới được đẩy lên nhóm Telegram trên mạng chính Ethereum, đội ngũ an ninh đã thống kê dữ liệu về các token mới phát hành trên mạng chính Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy trong khoảng thời gian này có tổng cộng 100,260 token mới được phát hành, trong đó token được đẩy qua nhóm Telegram chiếm 89.99% trên mạng chính. Mỗi ngày trung bình có khoảng 370 token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện là rất đáng lo ngại - trong đó ít nhất 48,265 token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, gần như mỗi hai token mới trên mạng chính Ethereum thì có một token liên quan đến lừa đảo.
Ngoài ra, đội ngũ an ninh còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà toàn bộ tình hình an ninh của hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, đội ngũ an ninh đã viết báo cáo nghiên cứu này với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao ý thức phòng ngừa, giữ cảnh giác khi đối mặt với những trò lừa đảo liên tiếp, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ tài sản của mình.
ERC-20 Token
Trước khi chính thức bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy tắc cho phép token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi nghiệp cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token mà nó đã trở thành nền tảng của nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc loại Token ERC-20, người dùng có thể mua những Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các Token ERC-20 độc hại có mã cửa hậu, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện việc mua.
Rug Pull Token của các vụ lừa đảo điển hình
Tại đây, chúng tôi mượn một trường hợp lừa đảo với Token Rug Pull để đi sâu vào mô hình hoạt động của lừa đảo Token độc hại. Trước tiên cần làm rõ rằng, Rug Pull đề cập đến hành vi gian lận của nhóm dự án trong các dự án tài chính phi tập trung, đột ngột rút tiền hoặc từ bỏ dự án, khiến nhà đầu tư phải chịu tổn thất lớn. Trong khi đó, Token Rug Pull là loại Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Trong bài viết này, các Token Rug Pull được đề cập, đôi khi cũng được gọi là "Token bẫy mật" hoặc "Token lừa đảo thoát", nhưng trong phần dưới đây chúng tôi sẽ thống nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (băng nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó dùng 1.5 ETH và 100,000,000 TOMMI để tạo ra bể thanh khoản, và chủ động mua Token TOMMI bằng các địa chỉ khác để giả mạo khối lượng giao dịch bể thanh khoản nhằm thu hút người dùng và các bot săn coin trên chuỗi mua Token TOMMI. Khi có một số lượng bot săn coin nhất định bị lừa, kẻ tấn công sẽ sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã dùng 38,739,354 TOMMI để tấn công bể thanh khoản, đổi được khoảng 3.95 ETH. Nguồn Token của Rug Puller đến từ việc cấp quyền Approve độc hại trong hợp đồng Token TOMMI, hợp đồng Token TOMMI khi triển khai sẽ cấp quyền approve cho bể thanh khoản cho Rug Puller, điều này cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
Quy trình Rug Pull
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua sàn giao dịch tập trung như là vốn khởi đầu cho Rug Pull.
Deployer tạo ra Token TOMMI, khai thác trước 100,000,000 Token và phân bổ cho chính mình.
Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo ra pool thanh khoản, nhận được khoảng 0.387 LP Token.
Token Deployer gửi tất cả LP token đến địa chỉ 0 để hủy diệt, do trong hợp đồng TOMMI không có chức năng Mint, vì vậy lúc này Token Deployer lý thuyết đã mất khả năng Rug Pull.
Kẻ tấn công chủ động mua TOMMI Token từ bể thanh khoản bằng nhiều địa chỉ, làm tăng khối lượng giao dịch của bể, từ đó thu hút robot đầu tư mới tham gia.
Kẻ tấn công đã khởi xướng Rug Pull thông qua địa chỉ Rug Puller, trực tiếp chuyển 38,739,354 Token từ bể thanh khoản thông qua cửa hậu của token, sau đó dùng những token này để làm giảm giá bể, lấy ra khoảng 3.95 ETH.
Kẻ tấn công chuyển tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung gian sẽ gửi tiền đến địa chỉ lưu giữ tiền. Từ đây, chúng ta có thể thấy rằng khi Rug Pull hoàn thành, người thực hiện Rug Pull sẽ gửi tiền đến một địa chỉ lưu giữ tiền nào đó. Địa chỉ lưu giữ tiền là nơi tập trung của một lượng lớn các trường hợp Rug Pull đã được theo dõi, địa chỉ lưu giữ tiền sẽ chia nhỏ phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua sàn giao dịch tập trung.
Mã lừa đảo Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách hủy bỏ LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI, lỗ hổng này sẽ cho phép hợp đồng khi tạo ra bể thanh khoản phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp chuyển Token từ bể thanh khoản.
mô hình tội phạm hóa
Bằng cách phân tích trường hợp TOMMI, chúng ta có thể tổng kết ra 4 đặc điểm sau:
Deployer thông qua sàn giao dịch tập trung để có được vốn: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua sàn giao dịch tập trung.
Deployer tạo ra bể thanh khoản và hủy LP Token: Người triển khai sau khi tạo ra đồng Rug Pull sẽ ngay lập tức tạo ra bể thanh khoản cho nó và hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường là số lượng vượt xa tổng nguồn cung Token) để đổi lấy ETH trong bể thanh khoản. Trong các trường hợp khác, Rug Puller cũng có trường hợp lấy ETH trong bể bằng cách rút thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ lưu trữ quỹ: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ lưu trữ quỹ, đôi khi thông qua một địa chỉ trung gian để chuyển tiếp.
Những đặc điểm nêu trên thường tồn tại trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng và có tính quy chuẩn. Hơn nữa, sau khi hoàn thành Rug Pull, tiền thường được tập trung vào một địa chỉ lưu giữ quỹ, điều này ám chỉ rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo, thậm chí là cùng một băng nhóm.
Dựa trên những đặc điểm này, đội ngũ an ninh đã trích xuất một mô hình hành vi Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, với hy vọng xây dựng được hình ảnh của những băng nhóm lừa đảo có thể xảy ra.
Nhóm tội phạm Rug Pull
địa chỉ giữ lại quỹ khai thác
Như đã đề cập ở trên, các trường hợp Rug Pull thường sẽ cuối cùng tập hợp tiền vào địa chỉ giữ tiền. Dựa trên mô hình này, nhóm an ninh đã chọn một số địa chỉ giữ tiền rất hoạt động và có đặc điểm rõ ràng trong phương pháp gây án để phân tích sâu.
Có tổng cộng 7 địa chỉ giữ vốn xuất hiện trong tầm nhìn, với 1.124 trường hợp Rug Pull liên quan đến những địa chỉ này đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Các băng nhóm Rug Pull, sau khi thực hiện thành công lừa đảo, sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ giữ vốn này. Những địa chỉ giữ vốn này sẽ phân tách số tiền tích lũy để tạo ra token mới trong các vụ lừa đảo Rug Pull mới trong tương lai, thao túng các pool thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ số tiền tích lũy sẽ được rút tiền thông qua sàn giao dịch tập trung hoặc nền tảng hoán đổi nhanh.
Bằng cách thống kê chi phí và doanh thu từ tất cả các vụ lừa đảo Rug Pull trong mỗi địa chỉ giữ tiền, đội ngũ an ninh đã thu thập được dữ liệu liên quan.
Trong một vụ lừa đảo Rug Pull hoàn chỉnh, nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) của token Rug Pull, và rút tiền từ sàn giao dịch tập trung để lấy vốn khởi động nhằm tạo ra token Rug Pull và hồ thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot đánh mới sử dụng ETH để mua token Rug Pull, nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để tiến hành, chuyển tiền thu được vào địa chỉ giữ tiền.
Trong quá trình trên, ETH mà Deployer nhận được từ sàn giao dịch, hoặc ETH mà Deployer đã đầu tư khi tạo pool thanh khoản, được coi là chi phí của Rug Pull (cách tính cụ thể phụ thuộc vào hành vi của Deployer). Trong khi đó, ETH mà Rug Puller chuyển đến địa chỉ giữ tiền (hoặc địa chỉ trung gian khác) sau khi hoàn thành Rug Pull được coi là doanh thu của lần Rug Pull đó.
Cần lưu ý rằng, khi thực hiện lừa đảo, nhóm Rug Pull cũng sẽ chủ động sử dụng ETH để mua các token Rug Pull do chính họ tạo ra, nhằm mô phỏng hoạt động của một bể thanh khoản bình thường, từ đó thu hút các bot đầu tư mới mua vào. Nhưng phần chi phí này không được tính vào, do đó dữ liệu đã đánh giá quá cao lợi nhuận thực tế của nhóm Rug Pull, lợi nhuận thực sự sẽ tương đối thấp.
Trên thực tế, ngay cả khi cuối cùng tiền được tập hợp vào các nơi lưu giữ quỹ khác nhau.