Phân tích sâu về hệ sinh thái Token Ethereum: Quy mô và tác động của trò lừa bịp Rug Pull

Giới thiệu

Trong thế giới Web3, các đồng tiền mới liên tục xuất hiện. Bạn có bao giờ tự hỏi, hàng ngày có bao nhiêu đồng tiền mới được phát hành? Những đồng tiền mới này có an toàn không?

Những nghi vấn này không phải là không có lý do. Gần đây, rất nhiều trường hợp giao dịch Rug Pull đã được phát hiện, các Token liên quan đều là những Token mới vừa lên chuỗi.

Nghiên cứu sâu cho thấy, có sự tồn tại của các băng nhóm tổ chức đứng sau những vụ Rug Pull này, và chúng thể hiện các đặc điểm có tính chất mô hình. Phân tích cho thấy, các băng nhóm Rug Pull có thể thu hút người dùng mua các token lừa đảo thông qua chức năng "New Token Tracer" trong các nhóm Telegram và cuối cùng thực hiện Rug Pull.

Thống kê cho thấy, trong khoảng thời gian từ tháng 11 năm 2023 đến tháng 8 năm 2024, các nhóm Telegram liên quan đã推送 tổng cộng 93,930 loại Token mới, trong đó 46,526 loại liên quan đến Rug Pull, chiếm tỷ lệ 49.53%. Các băng nhóm đứng sau các Token Rug Pull này đã đầu tư tổng cộng 149,813.72 Ether, với tỷ suất lợi nhuận 188.7% đạt được 282,699.96 Ether, tương đương khoảng 8 triệu USD.

Trong cùng thời gian, mạng chính Ethereum đã phát hành 100,260 loại Token mới, trong đó Token được gửi qua nhóm Telegram chiếm 89.99%. Trung bình mỗi ngày có khoảng 370 loại Token mới ra đời, vượt xa kỳ vọng hợp lý. Khảo sát sâu cho thấy, ít nhất 48,265 loại Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ 48.14%. Nói cách khác, trên mạng chính Ethereum, gần như mỗi hai loại Token mới thì có một loại liên quan đến lừa đảo.

Các mạng lưới blockchain khác cũng phát hiện thêm nhiều trường hợp Rug Pull. Điều này có nghĩa là tình hình an ninh của toàn bộ hệ sinh thái token mới phát hành trong Web3 nghiêm trọng hơn dự kiến. Báo cáo này nhằm nâng cao nhận thức phòng ngừa của các thành viên Web3, kêu gọi giữ cảnh giác và thực hiện các biện pháp phòng ngừa cần thiết.

ERC-20 Token(Token)

ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain, định nghĩa một tập hợp các quy định cho phép token tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, như chuyển tiền, kiểm tra số dư, ủy quyền quản lý cho bên thứ ba, v.v. Giao thức tiêu chuẩn hóa này đơn giản hóa việc tạo ra và sử dụng token. Bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi nghiệp cho các dự án tài chính thông qua việc bán trước.

USDT, PEPE, DOGE và các loại khác đều thuộc loại ERC-20 Token, người dùng có thể mua thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các Token ERC-20 độc hại có mã cửa sau, đưa chúng lên sàn giao dịch phi tập trung, dụ dỗ người dùng mua.

Trò lừa bịp điển hình của Token Rug Pull

Rug Pull chỉ hành vi gian lận của các bên dự án trong các dự án tài chính phi tập trung khi đột ngột rút tiền hoặc từ bỏ dự án, gây ra tổn thất lớn cho nhà đầu tư. Rug Pull token là các token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.

trường hợp

Kẻ tấn công đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1.5 ETH và 100 triệu TOMMI để tạo ra một bể thanh khoản, và thông qua các địa chỉ khác chủ động mua Token TOMMI để giả mạo khối lượng giao dịch nhằm thu hút người dùng và các bot mua mới. Khi có một số lượng bot mua mới mắc bẫy, kẻ tấn công sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, dùng 38,73 triệu Token TOMMI để đè bẹp bể thanh khoản, đổi lấy khoảng 3,95 ETH. Nguồn Token của Rug Puller đến từ việc cấp phép độc hại trong hợp đồng Token TOMMI, cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.

Quy trình Rug Pull

1. Chuẩn bị vốn tấn công: Kẻ tấn công nạp 2.47ETH vào Token Deployer thông qua sàn giao dịch tập trung làm vốn khởi động.

2. Triển khai Token Rug Pull có lỗ hổng: Deployer tạo ra Token TOMMI, khai thác trước 100 triệu token và phân phối cho chính mình.

3. Tạo bể thanh khoản ban đầu: Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo bể thanh khoản, nhận được khoảng 0.387 LP Token.

4. Hủy bỏ toàn bộ số lượng Token được khai thác trước: Token Deployer sẽ gửi tất cả các LP Token đến địa chỉ 0 để hủy.

5. Khối lượng giao dịch giả mạo: Kẻ tấn công sử dụng nhiều địa chỉ để chủ động mua Token TOMMI từ bể thanh khoản, đẩy khối lượng giao dịch của bể lên cao.

6. Kẻ tấn công khởi xướng Rug Pull thông qua địa chỉ Rug Puller, chuyển 3,873 triệu Token từ bể thanh khoản, sau đó sử dụng những Token này để đập bể, rút ra khoảng 3.95 Ether.

7. Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung gian.

8. Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền.

mã lừa đảo Rug Pull

Kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép khi tạo pool thanh khoản, pool thanh khoản phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp rút Token từ pool thanh khoản.

mô hình phạm tội

1. Deployer thông qua sàn giao dịch tập trung để lấy vốn.

2. Deployer tạo ra bể thanh khoản và tiêu hủy LP Token.

3. Rug Puller dùng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản.

4. Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ tiền.

Những đặc điểm này phổ biến trong các trường hợp bị bắt, cho thấy hành vi Rug Pull có đặc điểm rõ ràng theo mô hình. Sau khi hoàn thành Rug Pull, tiền thường được chuyển đến một địa chỉ giữ tiền, gợi ý rằng những trường hợp tưởng chừng độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí là cùng một băng nhóm.

Băng nhóm lừa đảo Rug Pull

địa chỉ giữ quỹ khai thác

7 địa chỉ giữ tiền hoạt động cao liên quan đến 1,124 trường hợp Rug Pull. Những địa chỉ này sẽ phân tách các quỹ bị đình trệ, dùng để tạo ra các Token mới trong các trò lừa bịp Rug Pull mới, thao túng các bể thanh khoản và các hoạt động khác. Một phần nhỏ quỹ bị đình trệ sẽ được chuyển đổi thành tiền mặt qua các sàn giao dịch tập trung hoặc nền tảng hoán đổi nhanh.

Ba địa chỉ có tỷ lệ lợi nhuận cao nhất lần lượt là 0x1607, 0xDF1a và 0x2836. Địa chỉ 0x1607 đã đạt được lợi nhuận cao nhất, khoảng 2,668.17 Ether, chiếm 27.7% lợi nhuận của tất cả các địa chỉ.

liên kết giữa địa chỉ lưu trữ quỹ khai thác

Theo mối quan hệ chuyển khoản trực tiếp của Ether, các địa chỉ lưu giữ này có thể được phân chia thành 3 tập hợp địa chỉ:

1. 0xDF1a và 0xDEd0
2. 0x1607 và 0x4856
3. 0x2836、0x0573、0xF653和0x7dd9

Các tập địa chỉ có mối quan hệ chuyển tiền trực tiếp bên trong, nhưng giữa các tập không có hành vi chuyển tiền trực tiếp. Tuy nhiên, 3 tập địa chỉ này đều thông qua cùng một hợp đồng cơ sở để phân tách Ether cho các hoạt động Rug Pull tiếp theo, khiến cho 3 tập địa chỉ ban đầu có vẻ lỏng lẻo này liên kết lại với nhau, tạo thành một tổng thể.

Khai thác cơ sở hạ tầng chung

Hai địa chỉ cơ sở hạ tầng chính: 0x1d3970677aa2324E4822b293e500220958d493d0 và 0x634847D6b650B9f442b3B582971f859E6e65eB53.

0x1d39 chủ yếu bao gồm hai chức năng: "multiSendETH" và "0x7a860e7e". "multiSendETH" được sử dụng để phân chia chuyển khoản, địa chỉ giữ lại vốn thông qua chức năng này sẽ phân chia một phần vốn tới nhiều địa chỉ, nhằm làm giả khối lượng giao dịch của Token lừa đảo. Chức năng "0x7a860e7e" được sử dụng để mua Token lừa đảo.

Chức năng chính của 0x6348 tương tự như 0x1d39, chỉ có tên hàm mua token Rug Pull đã được thay đổi thành "0x3f8a436c".

Nhóm Rug Pull có những đặc điểm rõ ràng trong việc sử dụng địa chỉ hạ tầng: chỉ giữ lại một lượng nhỏ vốn trong địa chỉ hoặc địa chỉ trung chuyển để phân tách vốn, nhưng lại sử dụng một lượng lớn địa chỉ khác để giả mạo khối lượng giao dịch của token Rug Pull.

nguồn gốc tài chính của hành vi khai thác

Trong 1,124 trường hợp Rug Pull, số lượng trường hợp nguồn vốn đến từ ví nóng của sàn giao dịch tập trung đạt 1,069 trường hợp, chiếm tỷ lệ 95.11%. Điều này có nghĩa là đối với đa số các trường hợp Rug Pull, có thể truy vết đến chủ tài khoản cụ thể thông qua thông tin KYC và lịch sử rút tiền của tài khoản sàn giao dịch tập trung.

Nhóm Rug Pull thường lấy tiền từ nhiều ví nóng của các sàn giao dịch cùng lúc, và mức độ sử dụng của các ví này tương đối đồng đều. Điều này cho thấy nhóm Rug Pull có ý định tăng cường tính độc lập về dòng tiền của các trường hợp Rug Pull khác nhau, nhằm nâng cao độ khó trong việc truy nguyên từ bên ngoài, tăng độ phức tạp trong việc theo dõi.

Kênh quảng bá Token Rug Pull

Hai kênh quảng cáo có thể của băng nhóm Rug Pull: Twitter và nhóm Telegram. Những nhóm Twitter và Telegram này không phải do băng nhóm Rug Pull cố ý tạo ra, mà tồn tại như những thành phần cơ bản trong hệ sinh thái đấu giá mới. Chúng được duy trì bởi các tổ chức bên thứ ba như đội ngũ vận hành robot săn lùng trên chuỗi hoặc đội ngũ đấu giá chuyên nghiệp, chuyên gửi thông tin về các Token mới ra mắt đến những người tham gia đấu giá.

Twitter quảng cáo

Băng nhóm Rug Pull lợi dụng dịch vụ đẩy tiền mới của các tổ chức bên thứ ba để công khai token Rug Pull của họ, nhằm thu hút thêm nhiều nạn nhân.

Quảng cáo nhóm Telegram

Nhóm robot săn lùng trên chuỗi duy trì một nhóm Telegram chuyên dùng để thông báo các đồng Token mới ra mắt, không chỉ cung cấp thông tin cơ bản về các đồng tiền mới mà còn mang đến cho người dùng một lối vào mua sắm tiện lợi.

Phân tích hệ sinh thái Token Ethereum

Phân tích các Token được gửi trong nhóm Telegram

Trong khoảng thời gian từ tháng 10 năm 2023 đến tháng 8 năm 2024, nhóm Telegram đã gửi tổng cộng 93,930 Token. Sử dụng quy tắc phát hiện Rug Pull để quét các Token này, đã phát hiện được 46,526 Token Rug Pull, chiếm tỷ lệ 49.53%.

41,801 đồng Rug Pull có thời gian hoạt động dưới 72 giờ, chiếm tỷ lệ 89.84%. Số lượng đồng có thời gian hoạt động dưới 3 giờ là 25,622, chiếm tỷ lệ 55.07%.

Số lượng trường hợp Rug Pull mà các băng nhóm thực hiện để rút tiền bằng cách loại bỏ tính thanh khoản là 32,131, chiếm 69.06%. Số lượng trường hợp thực hiện hành động Rug Pull thông qua hợp đồng Router của Uniswap là 40,887, chiếm 76.35% tổng số lần thực hiện.

Tổng lợi nhuận từ 46,526 trường hợp Rug Pull là 282,699.96 Ether, tỷ lệ lợi nhuận lên tới 188.70%, tương đương khoảng 800 triệu USD.

![Điều tra sâu về trường hợp Rug Pull, tiết lộ Ether