Điều tra sâu về các trường hợp Rug Pull, tiết lộ những hỗn loạn trong hệ sinh thái token Ethereum

Giới thiệu

Trong thế giới Web3, các Token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi, mỗi ngày có bao nhiêu Token mới được phát hành? Những Token mới này có an toàn không?

Những câu hỏi này không phải là không có lý do. Trong vài tháng qua, đội ngũ bảo mật đã phát hiện ra một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các Token liên quan đến những trường hợp này đều là các Token mới vừa được đưa lên chuỗi.

Sau đó, nhóm an ninh đã tiến hành điều tra sâu về các trường hợp Rug Pull này, phát hiện ra rằng có các băng nhóm tổ chức đứng sau và đã tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Thông qua việc phân tích sâu các phương thức hoạt động của những băng nhóm này, đã phát hiện ra một khả năng về con đường quảng bá lừa đảo của băng nhóm Rug Pull: nhóm Telegram. Những băng nhóm này lợi dụng chức năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng kiếm lợi thông qua Rug Pull.

Thống kê cho thấy, trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram này đã推送 tổng cộng 93,930 loại Token mới, trong đó có 46,526 loại Token liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49.53%. Theo thống kê, chi phí đầu tư tích lũy của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, và họ đã kiếm lợi nhuận với tỷ lệ lên tới 188.7%, đạt 282,699.96 Ether, tương đương khoảng 800 triệu USD.

Để đánh giá tỷ lệ của các Token mới được đẩy lên nhóm Telegram trong mạng chính Ethereum, đội ngũ an ninh đã thống kê dữ liệu về các Token mới phát hành trên mạng chính Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy, trong khoảng thời gian này, tổng cộng có 100,260 loại Token mới được phát hành, trong đó các Token được đẩy lên qua nhóm Telegram chiếm 89.99% của mạng chính. Trung bình mỗi ngày có khoảng 370 loại Token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện thật đáng lo ngại - có ít nhất 48,265 loại Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, gần như mỗi hai Token mới trên mạng chính Ethereum thì có một Token liên quan đến lừa đảo.

Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng lưới chính của Ethereum, mà tình trạng an ninh của toàn bộ hệ sinh thái token mới trong Web3 khắc nghiệt hơn nhiều so với dự kiến. Do đó, báo cáo này nhằm giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo liên tiếp và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.

ERC-20 Token

Trước khi bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.

ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy chuẩn cho phép token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.

USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc loại Token ERC-20, người dùng có thể mua những Token này thông qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể phát hành những Token ERC-20 độc hại có mã cửa hậu, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện mua.

Rug Pull Token điển hình vụ lừa đảo

Tại đây, chúng tôi mượn một trường hợp lừa đảo Token Rug Pull để hiểu sâu hơn về mô hình hoạt động của các lừa đảo Token độc hại. Trước tiên, cần lưu ý rằng Rug Pull là hành vi gian lận mà các bên dự án trong các dự án tài chính phi tập trung đột ngột rút tiền hoặc từ bỏ dự án, dẫn đến việc các nhà đầu tư chịu tổn thất lớn. Trong khi đó, Token Rug Pull là các Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.

Các Token Rug Pull được đề cập trong bài viết này đôi khi cũng được gọi là "Token Honey Pot" hoặc "Token Exit Scam", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.

trường hợp

Kẻ tấn công (băng nhóm Rug Pull) đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1.5 ETH và 100.000.000 TOMMI để tạo ra hồ bơi thanh khoản, và chủ động mua Token TOMMI bằng các địa chỉ khác để giả mạo khối lượng giao dịch của hồ bơi thanh khoản nhằm thu hút người dùng và các robot đánh mới trên chuỗi mua Token TOMMI. Khi có một số lượng nhất định robot đánh mới bị mắc bẫy, kẻ tấn công sẽ sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã sử dụng 38.739.354 Token TOMMI để phá vỡ hồ bơi thanh khoản, đổi lấy khoảng 3.95 ETH. Nguồn Token của Rug Puller đến từ việc cấp phép độc hại Approve của hợp đồng Token TOMMI, hợp đồng Token TOMMI khi triển khai sẽ cấp quyền approve cho hồ bơi thanh khoản cho Rug Puller, điều này cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ hồ bơi thanh khoản và sau đó thực hiện Rug Pull.

Quy trình Rug Pull

1. Chuẩn bị vốn tấn công.

Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer thông qua một sàn giao dịch như là vốn khởi động cho Rug Pull.

2. Triển khai Token Rug Pull có cửa hậu.

Deployer tạo ra token TOMMI, khai thác trước 100,000,000 token và phân bổ cho chính mình.

3. Tạo bể thanh khoản ban đầu.

Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo ra một bể thanh khoản, nhận được khoảng 0.387 LP Token.

4. Huỷ bỏ toàn bộ nguồn cung Token đã được đào trước.

Token Deployer sẽ gửi tất cả các LP Token đến địa chỉ 0 để hủy, do hợp đồng TOMMI không có chức năng Mint, vì vậy vào thời điểm này Token Deployer lý thuyết đã mất khả năng Rug Pull. (Đây cũng là một trong những điều kiện cần thiết để thu hút bot tham gia đấu thầu mới, một số bot sẽ đánh giá xem các token mới vào pool có tồn tại rủi ro Rug Pull hay không, Deployer cũng sẽ đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm lừa qua chương trình chống gian lận của bot tham gia đấu thầu mới).

5. Khối lượng giao dịch giả.

Kẻ tấn công sử dụng nhiều địa chỉ để chủ động mua Token TOMMI từ pool thanh khoản, đẩy cao khối lượng giao dịch của pool, từ đó thu hút robot phân phối mới tham gia (căn cứ để xác định các địa chỉ này là giả mạo của kẻ tấn công: nguồn tiền của các địa chỉ liên quan đến từ các địa chỉ chuyển tiền lịch sử của nhóm lừa đảo Rug Pull).

6. Kẻ tấn công bắt đầu Rug Pull thông qua địa chỉ Rug Puller, trực tiếp chuyển 38,739,354 Token từ bể thanh khoản qua cổng sau của token, sau đó dùng những token này để phá bể, thu về khoảng 3.95 ETH.

7. Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.

8. Địa chỉ chuyển tiếp sẽ gửi tiền đến địa chỉ giữ tiền. Từ đây chúng ta có thể thấy, khi việc Rug Pull hoàn thành, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập hợp tiền của nhiều trường hợp Rug Pull mà chúng tôi đã theo dõi, địa chỉ giữ tiền sẽ phân chia phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần tiền còn lại sẽ được rút qua một sàn giao dịch nào đó.

Mã lỗ hổng Rug Pull

Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng approve độc hại trong hàm openTrading của hợp đồng TOMMI Token. Lỗ hổng này sẽ cho phép khi tạo ra hồ thanh khoản, hồ thanh khoản sẽ cấp quyền chuyển Token cho địa chỉ Rug Puller, cho phép địa chỉ Rug Puller có thể trực tiếp rút Token từ hồ thanh khoản.

mô hình tội phạm

Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể tóm tắt 4 đặc điểm sau:

1. Deployer nhận được nguồn vốn từ một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của Deployer thông qua một sàn giao dịch.

2. Deployer tạo ra bể thanh khoản và hủy bỏ Token LP: Nhà triển khai sẽ ngay lập tức tạo ra bể thanh khoản cho đồng Rug Pull sau khi hoàn thành, và hủy bỏ Token LP để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.

3. Rug Puller dùng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường là số lượng vượt xa tổng nguồn cung Token) để đổi lấy ETH trong bể thanh khoản. Trong những trường hợp khác, Rug Puller cũng có tình huống lấy ETH trong bể bằng cách loại bỏ thanh khoản.

4. Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ giữ tiền: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ tiền, đôi khi thông qua địa chỉ trung gian để quá cảnh.

Những đặc điểm trên thường xuất hiện trong các trường hợp bị bắt giữ, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng về mô hình. Hơn nữa, sau khi hoàn thành Rug Pull, số tiền thường được tập trung vào một địa chỉ giữ tiền, điều này gợi ý rằng những trường hợp Rug Pull tưởng chừng như độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí là cùng một băng nhóm.

Dựa trên những đặc điểm này, một mô hình hành vi Rug Pull đã được rút ra và sử dụng mô hình này để quét phát hiện các trường hợp được giám sát, với hy vọng xây dựng được chân dung của các băng nhóm lừa đảo có khả năng.

Băng nhóm thực hiện Rug Pull

địa chỉ lưu trữ quỹ khai thác

Như đã đề cập trước đó, các trường hợp Rug Pull thường sẽ cuối cùng tập trung vốn vào địa chỉ lưu giữ vốn. Dựa trên mô hình này, đã chọn một số địa chỉ lưu giữ vốn hoạt động mạnh mẽ và có đặc điểm phương pháp gây án rõ ràng để phân tích sâu hơn.

Có 7 địa chỉ giữ vốn được nhìn thấy, và có tổng cộng 1,124 trường hợp Rug Pull liên kết với những địa chỉ này đã được hệ thống giám sát tấn công trên chuỗi phát hiện thành công. Sau khi thực hiện thành công lừa đảo, băng nhóm Rug Pull sẽ tập hợp lợi nhuận bất hợp pháp vào những địa chỉ giữ vốn này. Những địa chỉ giữ vốn này sẽ phân chia số tiền đã tích lũy để tạo ra các token mới trong các trò lừa đảo Rug Pull mới trong tương lai, thao túng các bể thanh khoản và các hoạt động khác. Hơn nữa, một phần nhỏ số tiền tích lũy sẽ được rút tiền qua một số sàn giao dịch hoặc nền tảng hoán đổi tức thời.

Trong một vụ lừa đảo Rug Pull hoàn chỉnh, nhóm Rug Pull thường sử dụng một địa chỉ làm nhà phát triển token Rug Pull (Deployer) và rút tiền từ một sàn giao dịch để có vốn khởi đầu tạo ra token Rug Pull và các bể thanh khoản tương ứng. Khi thu hút đủ số lượng người dùng hoặc bot đánh mới sử dụng ETH để mua token Rug Pull, nhóm Rug Pull sẽ sử dụng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để thực hiện thao tác, chuyển số tiền thu được đến địa chỉ giữ tiền.

Cần lưu ý rằng, băng nhóm Rug Pull khi thực hiện lừa đảo cũng sẽ chủ động sử dụng ETH để mua token Rug Pull mà họ tự tạo ra, nhằm mô phỏng hoạt động của một bể thanh khoản bình thường, từ đó thu hút các bot mới mua vào. Tuy nhiên, phần chi phí này không được tính vào, do đó lợi nhuận thực tế sẽ tương đối thấp.

Trên thực tế, ngay cả khi cuối cùng các quỹ được tập trung vào các địa chỉ lưu trữ quỹ khác nhau, nhưng do có rất nhiều điểm chung giữa các trường hợp liên quan đến những địa chỉ này (như cách thực hiện backdoor của Rug Pull, lộ trình rút tiền, v.v.), vẫn có sự nghi ngờ cao rằng các địa chỉ lưu trữ quỹ này có thể thuộc về cùng một băng nhóm.

Mối liên hệ giữa địa chỉ giữ lại quỹ khai thác

Một chỉ số quan trọng để xác định mối liên hệ giữa các địa chỉ giữ vốn là xem có mối quan hệ chuyển tiền trực tiếp nào giữa các địa chỉ này hay không. Để xác minh mối liên hệ giữa các địa chỉ giữ vốn, đã thu thập và phân tích lịch sử giao dịch của các địa chỉ này.

Trong hầu hết các trường hợp phân tích trong quá khứ, lợi nhuận từ mỗi lần lừa đảo Rug Pull cuối cùng sẽ chỉ chảy về một địa chỉ giữ tiền cụ thể, việc theo dõi hướng đi của các quỹ lợi nhuận để liên kết các địa chỉ giữ tiền khác nhau là không thể thực hiện được, do đó, cần phải kiểm tra tình hình lưu chuyển quỹ giữa các địa chỉ giữ tiền này để có thể có được sự liên kết trực tiếp giữa các địa chỉ giữ tiền.

Cần lưu ý rằng, một số địa chỉ là các quỹ giữ lại.