Điều tra sâu về các trường hợp Rug Pull, khám phá những bất thường trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các Token mới liên tục xuất hiện. Bạn có bao giờ tự hỏi, mỗi ngày có bao nhiêu Token mới được phát hành? Những Token mới này có an toàn không?
Những câu hỏi này không phải là không có lý do. Trong vài tháng qua, đội ngũ an ninh đã phát hiện ra một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan đến những trường hợp này đều là những token mới vừa được đưa lên chuỗi.
Sau đó, một cuộc điều tra sâu rộng về các trường hợp Rug Pull đã được thực hiện, phát hiện có sự tồn tại của các băng nhóm tổ chức đứng sau, và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu sắc các phương thức hành động của những băng nhóm này, một con đường quảng bá lừa đảo khả thi của băng nhóm Rug Pull đã được phát hiện: các nhóm Telegram. Những băng nhóm này đã lợi dụng tính năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua token lừa đảo và cuối cùng thu lợi từ Rug Pull.
Thống kê thông tin đẩy token từ các nhóm Telegram này trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng đã đẩy 93,930 loại token mới, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau những token Rug Pull này là 149,813.72 ETH, và đã kiếm lời 282,699.96 ETH với tỷ suất lợi nhuận lên tới 188.7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token mới được đẩy trên nhóm Telegram trong mạng chính Ethereum, dữ liệu của các Token mới phát hành trên mạng chính Ethereum trong cùng khoảng thời gian đã được thống kê. Dữ liệu cho thấy, trong khoảng thời gian này, có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được đẩy qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa dự đoán hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện thật đáng lo ngại------trong số đó có ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ cao tới 48.14%. Nói cách khác, gần như mỗi hai Token mới trên mạng chính Ethereum thì có một Token liên quan đến lừa đảo.
Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình trạng an toàn của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, báo cáo nghiên cứu này đã được viết ra với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo không ngừng xuất hiện và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
Token ERC-20 là một trong những tiêu chuẩn token phổ biến nhất hiện nay trên blockchain, nó định nghĩa một tập hợp các quy chuẩn cho phép token có thể tương tác giữa các hợp đồng thông minh khác nhau và các ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hay tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi nghiệp cho các dự án tài chính thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của Token ERC-20, nó đã trở thành nền tảng cho nhiều ICO và các dự án tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về Token ERC-20, người dùng có thể mua các Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các Token ERC-20 độc hại có mã backdoor, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện việc mua.
Rug Pull Token的典型诈骗案例
Tại đây, chúng tôi mượn một trường hợp lừa đảo bằng token Rug Pull để hiểu sâu về mô hình hoạt động của lừa đảo token độc hại. Trước tiên, cần phải làm rõ rằng, Rug Pull là hành vi lừa đảo mà nhóm dự án trong các dự án tài chính phi tập trung đột ngột rút tiền hoặc từ bỏ dự án, dẫn đến việc các nhà đầu tư chịu thiệt hại lớn. Trong khi đó, token Rug Pull là token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các Token Rug Pull được đề cập trong bài viết này đôi khi còn được gọi là "Token Bẫy Mật (Honey Pot)" hoặc "Token Lừa Đảo (Exit Scam)", nhưng trong phần dưới đây, chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1,5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và thông qua các địa chỉ khác chủ động mua Token TOMMI để giả mạo khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và các bot mua mới trên chuỗi để mua Token TOMMI. Khi có một số lượng nhất định các bot mua mới bị lừa, kẻ tấn công sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã sử dụng 38.739.354 Token TOMMI để đập bể thanh khoản, đổi ra khoảng 3,95 ETH. Nguồn Token của Rug Puller đến từ việc ủy quyền Approve độc hại của hợp đồng Token TOMMI, khi hợp đồng Token TOMMI được triển khai sẽ cấp quyền approve cho bể thanh khoản cho Rug Puller, điều này cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
Quy trình Rug Pull
Chuẩn bị quỹ tấn công.
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua một sàn giao dịch như một khoản vốn khởi động cho Rug Pull.
Triển khai Token Rug Pull có cửa hậu.
Deployer tạo ra mã thông báo TOMMI, khai thác trước 100.000.000 mã thông báo và phân phối cho chính mình.
Tạo bể thanh khoản ban đầu.
Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo ra một bể thanh khoản, nhận được khoảng 0.387 LP Token.
Hủy bỏ toàn bộ nguồn cung cấp Token đã được khai thác trước.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy, vì hợp đồng TOMMI không có chức năng Mint, nên lúc này Token Deployer lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút robot đánh mới vào sân, một số robot đánh mới sẽ đánh giá xem các Token mới vào hồ bơi có tồn tại rủi ro Rug Pull hay không, Deployer cũng đã đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm qua mặt chương trình chống lừa đảo của robot đánh mới).
Khối lượng giao dịch giả.
Kẻ tấn công chủ động sử dụng nhiều địa chỉ để mua Token TOMMI từ bể thanh khoản, đẩy cao khối lượng giao dịch của bể, từ đó thu hút robot đầu tư mới tham gia (căn cứ để xác định những địa chỉ này là của kẻ tấn công: nguồn vốn của các địa chỉ liên quan đến từ các địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công thực hiện Rug Pull thông qua địa chỉ Rug Puller, chuyển trực tiếp 38,739,354 Token từ bể thanh khoản thông qua cửa sau của token, sau đó dùng những Token này để làm vỡ bể, rút ra khoảng 3.95 Ether.
Kẻ tấn công chuyển tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây, chúng ta có thể thấy rằng, khi Rug Pull hoàn thành, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập trung tiền của nhiều trường hợp Rug Pull đã được phát hiện, địa chỉ giữ tiền sẽ phân chia phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi một lượng nhỏ tiền còn lại sẽ được rút qua một sàn giao dịch nào đó.
mã kéo thảm cửa sau
Mặc dù kẻ tấn công đã cố gắng chứng minh với bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng approve độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép việc tạo ra bể thanh khoản phê duyệt quyền chuyển Token sang địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp chuyển Token từ bể thanh khoản.
mô hình tội phạm
Bằng cách phân tích trường hợp TOMMI, chúng ta có thể tóm tắt 4 đặc điểm sau:
Deployer nhận được vốn thông qua một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua một sàn giao dịch.
Deployer tạo ra bể thanh khoản và hủy LP Token: Người triển khai sau khi tạo ra Token Rug Pull sẽ ngay lập tức tạo ra bể thanh khoản cho nó và hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường là số lượng vượt quá tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong một số trường hợp khác, Rug Puller cũng đã lấy được ETH trong bể bằng cách loại bỏ thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ giữ vốn: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ vốn, đôi khi thông qua địa chỉ trung gian để chuyển tiếp.
Những đặc điểm trên đều phổ biến trong các trường hợp mà chúng tôi đã thu thập, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng. Hơn nữa, sau khi hoàn thành Rug Pull, thường thì tiền sẽ được tập trung vào một địa chỉ giữ tiền, điều này gợi ý rằng có thể có cùng một nhóm lừa đảo đứng sau những trường hợp Rug Pull dường như độc lập này.
Dựa trên những đặc điểm này, chúng tôi đã rút ra một mô hình hành vi của Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, với hy vọng xây dựng chân dung của các băng nhóm lừa đảo có thể.
Băng nhóm thực hiện Rug Pull
địa chỉ lưu giữ quỹ khai thác
Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ cuối cùng tập trung quỹ về một địa chỉ giữ quỹ. Dựa trên mô hình này, chúng tôi đã chọn một số địa chỉ giữ quỹ có hoạt động cao và có đặc điểm phương thức gây án rõ ràng để phân tích sâu.
Có tổng cộng 7 địa chỉ lưu trữ quỹ mà chúng tôi đã phát hiện, những địa chỉ này liên quan đến 1.124 vụ Rug Pull đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Sau khi thực hiện lừa đảo thành công, băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ lưu trữ quỹ này. Những địa chỉ lưu trữ quỹ này sẽ chia nhỏ quỹ đã lưu trữ để tạo ra Token mới cho các vụ lừa đảo Rug Pull trong tương lai, thao túng các bể thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ đã lưu trữ sẽ được quy đổi thông qua một sàn giao dịch hoặc nền tảng hoán đổi nhanh.
Trong một vụ lừa đảo Rug Pull đầy đủ, băng nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) của token Rug Pull, và rút tiền từ một sàn giao dịch để lấy vốn khởi động tạo ra token Rug Pull và bể thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot mua mới sử dụng ETH để mua token Rug Pull, băng nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển số tiền thu được đến địa chỉ giữ tiền.
Trong quá trình trên, chúng tôi coi ETH mà Deployer nhận được từ sàn giao dịch, hoặc ETH mà Deployer đầu tư khi tạo ra pool thanh khoản, là chi phí cho Rug Pull (cách tính cụ thể phụ thuộc vào hành vi của Deployer). Còn ETH được Rug Puller chuyển đến địa chỉ giữ lại tài chính (hoặc địa chỉ trung chuyển khác) sau khi hoàn thành Rug Pull được coi là thu nhập từ Rug Pull đó.
Cần lưu ý rằng, băng nhóm Rug Pull trong quá trình thực hiện lừa đảo cũng sẽ chủ động sử dụng ETH để mua các Token Rug Pull mà họ tạo ra, nhằm mô phỏng các hoạt động của pool thanh khoản bình thường, từ đó thu hút các bot mới mua vào. Tuy nhiên, phần chi phí này không được tính vào, do đó dữ liệu đã đánh giá quá cao lợi nhuận thực tế của băng nhóm Rug Pull, lợi nhuận thực sự sẽ tương đối thấp.
Trên thực tế, ngay cả khi cuối cùng các quỹ được tập hợp vào các địa chỉ lưu giữ quỹ khác nhau, nhưng do có rất nhiều điểm chung giữa các trường hợp liên quan đến những địa chỉ này (như cách thực hiện backdoor của Rug Pull, con đường rút tiền, v.v.), chúng tôi vẫn nghi ngờ cao rằng các địa chỉ lưu giữ quỹ này có thể thuộc về cùng một băng nhóm.
liên kết giữa địa chỉ lưu giữ quỹ khai thác
Một chỉ số quan trọng để xác định xem có mối quan hệ nào giữa các địa chỉ lưu giữ quỹ hay không là xem có mối quan hệ chuyển tiền trực tiếp giữa các địa chỉ này hay không. Để xác minh mối quan hệ giữa các địa chỉ lưu giữ quỹ,
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Khảo sát lớn về hệ sinh thái token mới của Ethereum: 48% liên quan đến gian lận Rug Pull, thiệt hại lên đến 800 triệu USD
Điều tra sâu về các trường hợp Rug Pull, khám phá những bất thường trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các Token mới liên tục xuất hiện. Bạn có bao giờ tự hỏi, mỗi ngày có bao nhiêu Token mới được phát hành? Những Token mới này có an toàn không?
Những câu hỏi này không phải là không có lý do. Trong vài tháng qua, đội ngũ an ninh đã phát hiện ra một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan đến những trường hợp này đều là những token mới vừa được đưa lên chuỗi.
Sau đó, một cuộc điều tra sâu rộng về các trường hợp Rug Pull đã được thực hiện, phát hiện có sự tồn tại của các băng nhóm tổ chức đứng sau, và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu sắc các phương thức hành động của những băng nhóm này, một con đường quảng bá lừa đảo khả thi của băng nhóm Rug Pull đã được phát hiện: các nhóm Telegram. Những băng nhóm này đã lợi dụng tính năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua token lừa đảo và cuối cùng thu lợi từ Rug Pull.
Thống kê thông tin đẩy token từ các nhóm Telegram này trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng đã đẩy 93,930 loại token mới, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau những token Rug Pull này là 149,813.72 ETH, và đã kiếm lời 282,699.96 ETH với tỷ suất lợi nhuận lên tới 188.7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các Token mới được đẩy trên nhóm Telegram trong mạng chính Ethereum, dữ liệu của các Token mới phát hành trên mạng chính Ethereum trong cùng khoảng thời gian đã được thống kê. Dữ liệu cho thấy, trong khoảng thời gian này, có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được đẩy qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa dự đoán hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện thật đáng lo ngại------trong số đó có ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ cao tới 48.14%. Nói cách khác, gần như mỗi hai Token mới trên mạng chính Ethereum thì có một Token liên quan đến lừa đảo.
Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình trạng an toàn của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, báo cáo nghiên cứu này đã được viết ra với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo không ngừng xuất hiện và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
Token ERC-20 là một trong những tiêu chuẩn token phổ biến nhất hiện nay trên blockchain, nó định nghĩa một tập hợp các quy chuẩn cho phép token có thể tương tác giữa các hợp đồng thông minh khác nhau và các ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hay tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi nghiệp cho các dự án tài chính thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của Token ERC-20, nó đã trở thành nền tảng cho nhiều ICO và các dự án tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về Token ERC-20, người dùng có thể mua các Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các Token ERC-20 độc hại có mã backdoor, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện việc mua.
Rug Pull Token的典型诈骗案例
Tại đây, chúng tôi mượn một trường hợp lừa đảo bằng token Rug Pull để hiểu sâu về mô hình hoạt động của lừa đảo token độc hại. Trước tiên, cần phải làm rõ rằng, Rug Pull là hành vi lừa đảo mà nhóm dự án trong các dự án tài chính phi tập trung đột ngột rút tiền hoặc từ bỏ dự án, dẫn đến việc các nhà đầu tư chịu thiệt hại lớn. Trong khi đó, token Rug Pull là token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các Token Rug Pull được đề cập trong bài viết này đôi khi còn được gọi là "Token Bẫy Mật (Honey Pot)" hoặc "Token Lừa Đảo (Exit Scam)", nhưng trong phần dưới đây, chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1,5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và thông qua các địa chỉ khác chủ động mua Token TOMMI để giả mạo khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và các bot mua mới trên chuỗi để mua Token TOMMI. Khi có một số lượng nhất định các bot mua mới bị lừa, kẻ tấn công sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã sử dụng 38.739.354 Token TOMMI để đập bể thanh khoản, đổi ra khoảng 3,95 ETH. Nguồn Token của Rug Puller đến từ việc ủy quyền Approve độc hại của hợp đồng Token TOMMI, khi hợp đồng Token TOMMI được triển khai sẽ cấp quyền approve cho bể thanh khoản cho Rug Puller, điều này cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
Quy trình Rug Pull
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua một sàn giao dịch như một khoản vốn khởi động cho Rug Pull.
Deployer tạo ra mã thông báo TOMMI, khai thác trước 100.000.000 mã thông báo và phân phối cho chính mình.
Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo ra một bể thanh khoản, nhận được khoảng 0.387 LP Token.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy, vì hợp đồng TOMMI không có chức năng Mint, nên lúc này Token Deployer lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút robot đánh mới vào sân, một số robot đánh mới sẽ đánh giá xem các Token mới vào hồ bơi có tồn tại rủi ro Rug Pull hay không, Deployer cũng đã đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm qua mặt chương trình chống lừa đảo của robot đánh mới).
Kẻ tấn công chủ động sử dụng nhiều địa chỉ để mua Token TOMMI từ bể thanh khoản, đẩy cao khối lượng giao dịch của bể, từ đó thu hút robot đầu tư mới tham gia (căn cứ để xác định những địa chỉ này là của kẻ tấn công: nguồn vốn của các địa chỉ liên quan đến từ các địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công thực hiện Rug Pull thông qua địa chỉ Rug Puller, chuyển trực tiếp 38,739,354 Token từ bể thanh khoản thông qua cửa sau của token, sau đó dùng những Token này để làm vỡ bể, rút ra khoảng 3.95 Ether.
Kẻ tấn công chuyển tiền thu được từ Rug Pull đến địa chỉ trung gian.
Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây, chúng ta có thể thấy rằng, khi Rug Pull hoàn thành, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập trung tiền của nhiều trường hợp Rug Pull đã được phát hiện, địa chỉ giữ tiền sẽ phân chia phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi một lượng nhỏ tiền còn lại sẽ được rút qua một sàn giao dịch nào đó.
mã kéo thảm cửa sau
Mặc dù kẻ tấn công đã cố gắng chứng minh với bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng approve độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép việc tạo ra bể thanh khoản phê duyệt quyền chuyển Token sang địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp chuyển Token từ bể thanh khoản.
mô hình tội phạm
Bằng cách phân tích trường hợp TOMMI, chúng ta có thể tóm tắt 4 đặc điểm sau:
Deployer nhận được vốn thông qua một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua một sàn giao dịch.
Deployer tạo ra bể thanh khoản và hủy LP Token: Người triển khai sau khi tạo ra Token Rug Pull sẽ ngay lập tức tạo ra bể thanh khoản cho nó và hủy LP Token để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường là số lượng vượt quá tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong một số trường hợp khác, Rug Puller cũng đã lấy được ETH trong bể bằng cách loại bỏ thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ giữ vốn: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ vốn, đôi khi thông qua địa chỉ trung gian để chuyển tiếp.
Những đặc điểm trên đều phổ biến trong các trường hợp mà chúng tôi đã thu thập, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng. Hơn nữa, sau khi hoàn thành Rug Pull, thường thì tiền sẽ được tập trung vào một địa chỉ giữ tiền, điều này gợi ý rằng có thể có cùng một nhóm lừa đảo đứng sau những trường hợp Rug Pull dường như độc lập này.
Dựa trên những đặc điểm này, chúng tôi đã rút ra một mô hình hành vi của Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, với hy vọng xây dựng chân dung của các băng nhóm lừa đảo có thể.
Băng nhóm thực hiện Rug Pull
địa chỉ lưu giữ quỹ khai thác
Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ cuối cùng tập trung quỹ về một địa chỉ giữ quỹ. Dựa trên mô hình này, chúng tôi đã chọn một số địa chỉ giữ quỹ có hoạt động cao và có đặc điểm phương thức gây án rõ ràng để phân tích sâu.
Có tổng cộng 7 địa chỉ lưu trữ quỹ mà chúng tôi đã phát hiện, những địa chỉ này liên quan đến 1.124 vụ Rug Pull đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Sau khi thực hiện lừa đảo thành công, băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ lưu trữ quỹ này. Những địa chỉ lưu trữ quỹ này sẽ chia nhỏ quỹ đã lưu trữ để tạo ra Token mới cho các vụ lừa đảo Rug Pull trong tương lai, thao túng các bể thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ đã lưu trữ sẽ được quy đổi thông qua một sàn giao dịch hoặc nền tảng hoán đổi nhanh.
Trong một vụ lừa đảo Rug Pull đầy đủ, băng nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển (Deployer) của token Rug Pull, và rút tiền từ một sàn giao dịch để lấy vốn khởi động tạo ra token Rug Pull và bể thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot mua mới sử dụng ETH để mua token Rug Pull, băng nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển số tiền thu được đến địa chỉ giữ tiền.
Trong quá trình trên, chúng tôi coi ETH mà Deployer nhận được từ sàn giao dịch, hoặc ETH mà Deployer đầu tư khi tạo ra pool thanh khoản, là chi phí cho Rug Pull (cách tính cụ thể phụ thuộc vào hành vi của Deployer). Còn ETH được Rug Puller chuyển đến địa chỉ giữ lại tài chính (hoặc địa chỉ trung chuyển khác) sau khi hoàn thành Rug Pull được coi là thu nhập từ Rug Pull đó.
Cần lưu ý rằng, băng nhóm Rug Pull trong quá trình thực hiện lừa đảo cũng sẽ chủ động sử dụng ETH để mua các Token Rug Pull mà họ tạo ra, nhằm mô phỏng các hoạt động của pool thanh khoản bình thường, từ đó thu hút các bot mới mua vào. Tuy nhiên, phần chi phí này không được tính vào, do đó dữ liệu đã đánh giá quá cao lợi nhuận thực tế của băng nhóm Rug Pull, lợi nhuận thực sự sẽ tương đối thấp.
Trên thực tế, ngay cả khi cuối cùng các quỹ được tập hợp vào các địa chỉ lưu giữ quỹ khác nhau, nhưng do có rất nhiều điểm chung giữa các trường hợp liên quan đến những địa chỉ này (như cách thực hiện backdoor của Rug Pull, con đường rút tiền, v.v.), chúng tôi vẫn nghi ngờ cao rằng các địa chỉ lưu giữ quỹ này có thể thuộc về cùng một băng nhóm.
liên kết giữa địa chỉ lưu giữ quỹ khai thác
Một chỉ số quan trọng để xác định xem có mối quan hệ nào giữa các địa chỉ lưu giữ quỹ hay không là xem có mối quan hệ chuyển tiền trực tiếp giữa các địa chỉ này hay không. Để xác minh mối quan hệ giữa các địa chỉ lưu giữ quỹ,