Điều tra chuyên sâu về vụ Rug Pull để tiết lộ sự hỗn loạn sinh thái của token Ethereum

Tác giả: CertiK

Giới thiệu

Trong thế giới Web3, token mới liên tục xuất hiện. Bạn có bao giờ tự hỏi có bao nhiêu token mới được phát hành mỗi ngày không? Token mới này có an toàn không?

Những câu hỏi này không phải không có mục đích. Trong vài tháng qua, đội ngũ bảo mật CertiK đã nắm bắt được lượng lớn giao dịch Rug Pull. Điều đáng chú ý là token liên quan đến những trường hợp này đều là token mới vừa được đưa vào Chuỗi .

Sau đó, CertiK đã tiến hành điều tra chuyên sâu về các vụ Rug Pull này và phát hiện ra rằng có các băng nhóm tội phạm có tổ chức đứng đằng sau chúng, đồng thời tóm tắt các đặc điểm khuôn mẫu của những trò gian lận này. Thông qua phân tích chuyên sâu về phương thức hoạt động của các băng nhóm này, CertiK đã phát hiện ra một phương thức quảng bá gian lận có thể xảy ra của băng nhóm Rug Pull: các nhóm Telegram. Các băng đảng này sử dụng chức năng "New Token Tracer" trong các nhóm như Banana Gun và UniBot để thu hút người dùng mua token lừa đảo và cuối cùng kiếm lợi nhuận thông qua Rug Pull.

CertiK đã thống kê thông tin đẩy token của các nhóm Telegram này từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024 và nhận thấy có tổng cộng 93.930 token mới đã được đẩy, trong đó 46.526 token liên quan đến Rug Pull, chiếm tỷ lệ 49,53%. Theo thống kê, chi phí đầu tư tích lũy của nhóm đằng sau token Rug Pull này là 149.813,72 ETH và họ đã kiếm được lợi nhuận 282.699,96 ETH với tỷ lệ hoàn vốn lên tới 188,7%, tương đương khoảng 800 triệu USD.

Để đánh giá chiếm tỷ lệ token mới được các nhóm Telegram thúc đẩy trong mạng chủ Ethereum , CertiK đã thu thập dữ liệu về token mới được phát hành trên mạng chính ETH trong cùng khoảng thời gian. Dữ liệu cho thấy tổng cộng 100.260 token mới đã được phát hành trong giai đoạn này, trong đó token được đẩy qua các nhóm Telegram chiếm 89,99% mainnet. Trung bình, khoảng 370 token mới được tạo ra mỗi ngày, vượt xa những mong đợi hợp lý. Sau khi tiếp tục điều tra chuyên sâu, chúng tôi đã phát hiện ra sự thật đáng lo ngại - trong đó nhất 48.265 token có liên quan đến các vụ lừa đảo Rug Pull, chiếm tỷ lệ tỷ lệ khổng lồ 48,14%. Nói cách khác, gần như cứ hai token mới trên mạng chính ETH thì có một token có liên quan đến một vụ lừa đảo.

Ngoài ra, CertiK đã phát hiện thêm nhiều trường hợp Rug Pull trong các mạng blockchain khác. Điều này có nghĩa là không chỉ mạng chủ Ethereum mà tình hình bảo mật của toàn bộ hệ sinh thái token mới phát hành Web3 cũng nghiêm trọng hơn nhiều so với dự kiến. Vì vậy, CertiK đã viết báo cáo nghiên cứu này với hy vọng có thể giúp tất cả thành viên Web3 nâng cao nhận thức phòng ngừa, cảnh giác đối diện những hành vi lừa đảo không ngừng nghỉ và thực hiện kịp thời các biện pháp phòng ngừa cần thiết để bảo vệ an toàn cho tài sản của mình.

Token ERC-20 (Mã thông báo)

Trước khi chính thức bắt đầu báo cáo này, trước tiên chúng ta hãy tìm hiểu một số khái niệm cơ bản.

Token ERC-20 hiện là một trong những tiêu chuẩn token phổ biến nhất trên blockchain . Chúng xác định một bộ thông số kỹ thuật cho phép token tương tác giữa các hợp đồng thông minh khác nhau và các ứng dụng phi tập trung(dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, kiểm tra số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ giao thức được tiêu chuẩn hóa này, các nhà phát triển có thể phát hành và quản lý token dễ dàng hơn, đơn giản hóa việc tạo và sử dụng token. Trên thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và gây quỹ khởi nghiệp cho các dự án tài chính khác nhau thông qua việc bán trước token. Do ứng dụng rộng rãi của token ERC-20, nó đã trở thành nền tảng cho nhiều dự án tài chính phi tập trung và ICO.

Các USDT, Pepe và DOGE quen thuộc đều là token ERC-20 và người dùng có thể mua token này thông qua sàn giao dịch phi tập trung . Tuy nhiên, một số nhóm lừa đảo cũng có thể phát hành token ERC-20 độc hại có mã backdoor, liệt kê chúng trên sàn giao dịch phi tập trung và sau đó xúi giục người dùng mua chúng.

Các trường hợp lừa đảo điển hình của Rug Pull token

Ở đây, chúng tôi sử dụng trường hợp gian lận token Rug Pull để hiểu sâu hơn về mô hình hoạt động của gian lận mã token độc hại. Trước hết cần giải thích rằng Rug Pull đề cập đến hành vi lừa đảo trong đó bên dự án đột ngột rút tiền hoặc từ bỏ dự án trong một dự án tài chính phi tập trung , khiến nhà đầu tư chịu tổn thất rất lớn. Token Rug Pull là token được phát hành đặc biệt để thực hiện loại gian lận này.

Token Rug Pull được đề cập trong bài viết này đôi khi còn được gọi là " Token Honey Pot" hoặc "Token Thoát Scam", nhưng sau đây chúng tôi sẽ gọi chúng là token Rug Pull.

· Trường hợp

Kẻ tấn công (Băng đảng Rug Pull) đã triển khai token TOMMI với địa chỉ Người triển khai (0x4bAF), sau đó tạo nhóm thanh khoản với 1,5 ETH và 100.000.000 TOMMI, đồng thời tích cực mua token TOMMI thông qua các địa chỉ khác để ngụy tạo khối lượng giao dịch nhóm thanh khoản nhằm thu hút Người dùng và những người mới. robot trên Chuỗi mua token TOMMI. Khi một số lượng robot mới nhất định bị lừa, Rug tấn công đã sử dụng địa chỉ Rug Puller (0x43a9) để thực hiện Rug Puller đã sử dụng 38.739.354 token TOMMI để đổ vào nhóm thanh khoản và đổi lấy khoảng 3,95 ETH. Token của Rug Puller đến từ ủy quyền phê duyệt độc hại của hợp đồng token TOMMI. Khi hợp đồng token TOMMI được triển khai, nó sẽ cấp cho Rug Puller quyền phê duyệt của nhóm thanh khoản, cho phép Rug Puller chuyển trực tiếp token TOMMI từ nhóm thanh khoản . Sau đó thực hiện kéo Rug .

·Địa chỉ liên quan

• Người triển khai: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• Token TOMMI: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Dụng cụ kéo Rug : 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Người dùng cải trang Rug Puller (một trong đó): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Địa chỉ chuyển quỹ Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
• Địa chỉ giữ quỹ Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

·Giao dịch liên quan

• Người triển khai nhận được vốn khởi nghiệp từ sàn giao dịch tập trung: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Triển khai token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Tạo nhóm thanh khoản: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Địa chỉ chuyển tiền gửi tiền đến người dùng cải trang (một trong đó): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Giả sử người dùng mua token(một trong đó): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug thảm: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull sẽ gửi số tiền thu được đến địa chỉ chuyển: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Địa chỉ chuyển tiền gửi đến địa chỉ giữ tiền: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

· Quá trình kéo Rug

1. Chuẩn bị quỹ tấn công.

Kẻ tấn công nạp tiền 2.47309009ETH vào Token Deployer (0x4bAF) thông qua sàn giao dịch tập trung làm vốn ban đầu cho Rug Pull.

 Hình 1 Người triển khai lấy thông tin giao dịch vốn khởi nghiệp từ sàn giao dịch

2. Triển khai token Rug Pull bằng cửa sau.

Người triển khai tạo token TOMMI, khai thác trước 100.000.000 token và phân bổ chúng cho chính nó.

 Hình 2 Người triển khai tạo thông tin giao dịch token TOMMI

3. Tạo nhóm thanh khoản ban đầu.

Người triển khai đã sử dụng 1,5 ETH và tất cả token được khai thác trước để tạo nhóm thanh khoản và thu được khoảng 0,387 token NHÀ CUNG CẤP THANH KHOẢN .

 Hình 3 Người triển khai tạo nhóm thanh khoản và giao dịch dòng tiền

4. Đốt tất cả lượng cung ứng Token được khai thác trước.

Token Deployer gửi tất cả token NHÀ CUNG CẤP THANH KHOẢN đến địa chỉ 0 đốt. Vì không có chức năng Mint trong hợp đồng TOMMI nên về mặt lý thuyết, Token Deployer đã mất khả năng Rug Pull. (Đây cũng là một trong những điều kiện cần thiết để thu hút các robot mới tham gia thị trường. Một số robot mới sẽ đánh giá xem token vào pool có rủi ro bị kéo Rug hay không. Người triển khai cũng sẽ đặt chủ sở hữu hợp đồng về địa chỉ 0 , tất cả nhằm đánh lừa chương trình Robot mới chống lừa đảo).

 Hình 4 Người triển khai đốt thông tin giao dịch token NHÀ CUNG CẤP THANH KHOẢN

5. Khối lượng giao dịch ngụy tạo .

Kẻ tấn công sử dụng nhiều địa chỉ để tích cực mua token TOMMI từ nhóm thanh khoản , tăng khối lượng giao dịch của nhóm và thu hút thêm các robot mới tham gia vào thị trường (cơ sở để đánh giá rằng những địa chỉ này là sự ngụy trang của kẻ tấn công: số tiền dành cho các hoạt động liên quan địa chỉ đến từ băng đảng Rug Pull) địa chỉ chuyển tiền lịch sử).

 Hình 5 Thông tin giao dịch và dòng vốn của những kẻ tấn công mua token TOMMI từ các địa chỉ khác

6. Kẻ tấn công đã bắt đầu Rug Pull thông qua địa chỉ Rug Puller (0x43A9), chuyển Token trực tiếp từ nhóm thanh khoản thông qua cửa sau của mã thông báo và sau đó sử dụng token này để nhấn chìm nhóm, trích xuất khoảng 3,95 ETH.

 Biểu đồ 6 Thông tin giao dịch Rug Pull và dòng vốn

7. Kẻ tấn công gửi số tiền thu được từ Rug Pull đến địa chỉ chuyển tuyến 0xD921.

 Hình 7 Rug Puller gửi lợi nhuận từ cuộc tấn công tới thông tin giao dịch địa chỉ chuyển tuyến

8. Địa chỉ chuyển 0xD921 gửi tiền đến địa chỉ giữ quỹ 0x2836. Từ đây chúng ta có thể thấy rằng khi Rug Pull hoàn thành, Rug Puller sẽ gửi tiền đến một địa chỉ giữ quỹ nhất định. Địa chỉ giữ lại quỹ là nơi tập trung số tiền cho lượng lớn các trường hợp Rug Pull mà chúng tôi theo dõi. Địa chỉ giữ lại quỹ sẽ chia phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi số tiền nhỏ còn lại sẽ. trải qua sàn giao dịch tập trung. Chúng tôi đã tìm thấy một số địa chỉ giữ tiền và 0x2836 là một trong đó.

 Hình 8 Thông tin chuyển tiền địa chỉ chuyển khoản

· Thảm kéo cửa sau Rug

Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách đốt token NHÀ CUNG CẤP THANH KHOẢN , nhưng trên thực tế, kẻ tấn công đã để lại một cửa hậu phê duyệt độc hại trong chức năng openTrading của hợp đồng token TOMMI. Nhóm thanh khoản được sử dụng, nhóm thanh khoản sẽ phê duyệt quyền chuyển token đến địa chỉ Rug Puller, để địa chỉ Rug Puller có thể chuyển trực tiếp token từ nhóm thanh khoản .

 Hình 9 Hàm openTrading trong hợp đồng TOMMI token 

 Hình 10 hàm onInit trong hợp đồng token TOMMI

Việc triển khai chức năng openTrading được hiển thị trong Hình 9. Chức năng chính của nó là tạo ra một nhóm thanh khoản mới, nhưng kẻ tấn công đã gọi hàm backdoor onInit trong chức năng này (được hiển thị trong Hình 10), cho phép uniswapV2Pair phê duyệt số lượng địa chỉ _chefAddress Quyền chuyển token thuộc loại (uint256). Trong đó, uniswapV2Pair là địa chỉ nhóm thanh khoản, _chefAddress là địa chỉ Rug Puller và _chefAddress được chỉ định khi hợp đồng được triển khai (được hiển thị trong Hình 11).

 Hình 11 Hàm tạo trong hợp đồng token TOMMI

·Mô hình hóa tội phạm

Bằng cách phân tích trường hợp TOMMI, chúng ta có thể tóm tắt bốn đặc điểm sau:

1. Người triển khai nhận được tiền thông qua sàn giao dịch tập trung: Trước tiên, kẻ tấn công cung cấp nguồn tiền cho địa chỉ của người triển khai (Người triển khai) thông qua sàn giao dịch tập trung.

2. Người triển khai tạo nhóm thanh khoản và đốt token NHÀ CUNG CẤP THANH KHOẢN : Sau khi người triển khai tạo token Rug Pull, nó sẽ ngay lập tức tạo nhóm thanh khoản cho nó và đốt token NHÀ CUNG CẤP THANH KHOẢN để tăng độ tin cậy của dự án và thu hút nhiều nhà đầu tư hơn.

3. Rug Puller sử dụng lượng lớn token để đổi lấy ETH trong nhóm thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng lượng lớn token (thường vượt xa tổng lượng cung ứng token ) để đổi lấy ETH trong thanh khoản hồ bơi. Trong các trường hợp khác, Rug Puller cũng đã loại bỏ thanh khoản để lấy ETH trong nhóm.

4. Rug Puller chuyển ETH thu được từ Rug Pull đến địa chỉ giữ quỹ: Rug Puller sẽ chuyển ETH thu được đến địa chỉ giữ quỹ, đôi khi thông qua một địa chỉ trung gian.

Các đặc điểm trên thường thấy trong các trường hợp chúng tôi bắt được, điều này cho thấy hành vi Rug có các đặc điểm khuôn mẫu rõ ràng. Ngoài ra, sau khi Rug Pull hoàn thành, tiền thường được chuyển đến một địa chỉ giữ quỹ, điều này ngụ ý rằng cùng một nhóm hoặc thậm chí cùng một băng nhóm lừa đảo có thể liên quan đến các vụ việc Rug Pull dường như độc lập này.

Dựa trên những đặc điểm này, chúng tôi rút mẫu hành vi Rug Pull và sử dụng mẫu này để quét và phát hiện các trường hợp được giám sát nhằm xây dựng bức chân dung về một băng nhóm lừa đảo có thể xảy ra.

Rug kéo thảm

· Khai thác địa chỉ kho quỹ

Như đã đề cập ở trên, các trường hợp Rug Pull thường chuyển tiền đến địa chỉ giữ tiền ở cuối. Dựa trên mô hình này, chúng tôi đã chọn trong đó địa chỉ giữ tiền có tính tích cực cao với phương thức hoạt động rõ ràng đối với các trường hợp liên quan để phân tích chuyên sâu.

Chúng tôi theo dõi tổng cộng 7 địa chỉ giữ tiền. Có tổng cộng 1.124 trường hợp Rug Pull liên quan đến các địa chỉ này, đã được hệ thống giám sát tấn công Chuỗi của chúng tôi (CertiK Alert) nắm bắt thành công. Sau khi băng đảng Rug Pull thực hiện thành công trò lừa đảo, nó sẽ chuyển lợi nhuận bất hợp pháp đến các địa chỉ giữ quỹ này. Các địa chỉ giữ tiền này sẽ phân chia số tiền lắng đọng và sử dụng chúng cho các hoạt động như tạo token mới và thao túng nhóm thanh khoản trong các trò lừa đảo Rug Pull mới trong tương lai. Ngoài ra, một phần nhỏ số tiền lắng đọng được rút ra thông qua sàn giao dịch tập trung hoặc sàn giao dịch flash.

Thống kê dữ liệu quỹ về địa chỉ giữ quỹ được thể hiện ở Bảng 1:

Bằng cách tính chi phí và thu nhập của tất cả các trò lừa đảo Rug Pull ở mỗi địa chỉ giữ tiền, chúng tôi đã thu được dữ liệu trong Bảng 1.

Trong một vụ lừa đảo Rug Pull hoàn chỉnh, nhóm Rug Pull thường sử dụng một địa chỉ làm người triển khai token Rug Pull và lấy tiền khởi động thông qua việc rút tiền từ sàn giao dịch tập trung để tạo token Rug Pull và nhóm thanh khoản tương ứng. Khi có đủ số lượng người dùng hoặc robot mới bị thu hút sử dụng ETH để mua token Rug Pull, nhóm Rug Pull sẽ sử dụng một địa chỉ khác là người thực thi Rug Pull (Rug Puller) để vận hành và chuyển số tiền thu được đến địa chỉ giữ quỹ.

Trong quy trình trên, chúng tôi coi ETH mà Người triển khai thu được thông qua sàn giao dịch hoặc ETH do Người triển khai đầu tư khi tạo nhóm thanh khoản, là chi phí của Rug Pull (cách tính toán nó tùy thuộc vào hành vi của Người triển khai). ETH mà Rug Puller chuyển đến địa chỉ giữ quỹ (hoặc địa chỉ chuyển khoản khác) sau khi hoàn thành Rug Pull được coi là thu nhập của Lần Rug . Cuối cùng, dữ liệu về thu nhập và chi phí trong Bảng 1 được lấy, trong đó. Trung tâm quy đổi lợi nhuận USD Giá ETH/USD được sử dụng (1 ETH = 2.513,56 USD, thời điểm thu thập giá là ngày 31 tháng 8 năm 2024) được tính dựa trên giá theo thời gian thực tại thời điểm tích hợp dữ liệu.

Cần lưu ý rằng khi thực hiện lừa đảo, nhóm Rug Pull cũng sẽ tích cực sử dụng ETH để mua token Rug Pull mà chúng tạo ra nhằm mô phỏng các hoạt động của nhóm thanh khoản thông thường, từ đó thu hút các robot mới mua hàng. Tuy nhiên, phần chi phí này không được đưa vào tính toán nên dữ liệu trong Bảng 1 đã đánh giá quá cao lợi nhuận thực tế của nhóm Rug Pull và lợi nhuận thực tế sẽ tương đối thấp.

 Hình 12 Biểu đồ chiếm tỷ lệ lợi nhuận của các địa chỉ giữ quỹ

Sử dụng dữ liệu lợi nhuận Rug Pull của từng địa chỉ trong Bảng 1 để tạo biểu đồ chiếm tỷ lệ lợi nhuận, như trong Hình 12. Ba địa chỉ hàng đầu có chiếm tỷ lệ lợi nhuận cao nhất là 0x1607, 0xDF1a và 0x2836. Địa chỉ 0x1607 kiếm được lợi nhuận cao nhất, khoảng 2.668,17 ETH, chiếm 27,7% tổng lợi nhuận của địa chỉ.

Trên thực tế, ngay cả khi số tiền cuối cùng được chuyển đến các địa chỉ giữ tiền khác nhau, chúng tôi vẫn rất nghi ngờ về các địa chỉ giữ tiền này do lượng lớn điểm tương đồng giữa các trường hợp liên quan đến các địa chỉ này (chẳng hạn như việc triển khai cửa sau của Rug Pull, đường dẫn rút tiền, v.v.) Có thể có cùng một nhóm đứng đằng sau nó.

Vì vậy, có thể có mối liên hệ nào đó giữa các địa chỉ giữ tiền này?

· Khai thác mối tương quan giữa các địa chỉ giữ quỹ

 Hình 13 Sơ đồ dòng tiền của địa chỉ giữ quỹ

Một chỉ báo quan trọng để xác định liệu có mối tương quan giữa các địa chỉ giữ tiền hay không là xem liệu có mối quan hệ chuyển tiền trực tiếp giữa các địa chỉ này hay không. Để xác minh mối tương quan giữa các địa chỉ giữ tiền, chúng tôi đã thu thập thông tin và phân tích hồ sơ giao dịch lịch sử của các địa chỉ này.

Trong hầu hết các trường hợp mà chúng tôi đã phân tích trước đây, lợi nhuận từ mỗi vụ lừa đảo Rug Pull sẽ chỉ chảy đến một địa chỉ giữ tiền nhất định. Do đó, chúng tôi cần phải theo dõi hướng đi của lợi nhuận và liên kết các địa chỉ giữ tiền khác nhau. phát hiện dòng tiền giữa các địa chỉ giữ tiền này nhằm thu được mối tương quan trực tiếp giữa các địa chỉ giữ tiền. Kết quả phát hiện được thể hiện trên Hình 13.

Cần lưu ý rằng địa chỉ 0x1d39 và 0x6348 trong Hình 13 là địa chỉ hợp đồng cơ sở hạ tầng Rug Pull được chia sẻ bởi từng địa chỉ giữ quỹ. Địa chỉ giữ quỹ sẽ chia số tiền thông qua hai hợp đồng này và gửi chúng đến các địa chỉ khác, và những địa chỉ nhận số tiền chia này sẽ sử dụng số tiền này ngụy tạo khối lượng giao dịch của token Rug Pull.

Theo mối quan hệ chuyển tiền trực tiếp của ETH trong Hình 13, chúng ta có thể chia các địa chỉ giữ tiền này thành ba bộ địa chỉ:

1. 0xDF1a và 0xDEd0;

2. 0x1607 và 0x4856;

3. 0x2836, 0x0573, 0xF653 và 0x7dd9.

Có mối quan hệ chuyển giao trực tiếp trong bộ sưu tập địa chỉ, nhưng không có hành vi chuyển giao trực tiếp giữa các bộ sưu tập. Vì vậy, có vẻ như 7 địa chỉ giữ tiền này có thể được chia thành 3 nhóm khác nhau. Tuy nhiên, ba bộ địa chỉ này đều phân chia ETH thông qua cùng một hợp đồng cơ sở hạ tầng cho các hoạt động Rug Pull tiếp theo, điều này khiến ba bộ địa chỉ ban đầu dường như lỏng lẻo được liên kết với nhau để tạo thành một tổng thể. Vì vậy, điều này có gợi ý rằng cùng một nhóm đứng đằng sau những địa chỉ này không?

Vấn đề này sẽ không được thảo luận sâu ở đây. Bạn có thể tự mình suy nghĩ trong đó các khả năng.

· Khám phá cơ sở hạ tầng dùng chung

Có hai địa chỉ cơ sở hạ tầng chính được chia sẻ bởi các địa chỉ giữ quỹ được đề cập trước đó, đó là

0x1d3970677aa2324E4822b293e500220958d493d0 và 0x634847D6b650B9f442b3B582971f859E6e65eB53.

Trong đó, địa chỉ cơ sở hạ tầng 0x1d39 chủ yếu chứa hai chức năng: "multiSendETH" và "0x7a860e7e". Chức năng chính của "multiSendETH" là thực hiện chuyển khoản chia tách. Địa chỉ giữ quỹ chia một phần tiền thành nhiều địa chỉ thông qua chức năng "Đa gửi ETH" của 0x1d39, được sử dụng để ngụy tạo khối lượng giao dịch của token Rug Pull. thông tin giao dịch được thể hiện trong hình 14 hiển thị.

Hoạt động phân chia này giúp kẻ tấn công ngụy tạo hoạt động của token, làm cho token này trông hấp dẫn hơn, từ đó thu hút nhiều người dùng hoặc bot mới mua hơn. Thông qua phương pháp này, băng nhóm Rug Pull có thể làm tăng thêm mức độ lừa dối và phức tạp của trò lừa đảo.

 Hình 14 Địa chỉ giữ quỹ chia tách thông tin giao dịch quỹ thông qua 0x1d39

Chức năng của "0x7a860e7e" được sử dụng để mua token Rug Pull. Các địa chỉ khác được ngụy trang thành người dùng thông thường sẽ tương tác trực tiếp với Bộ định tuyến của Uniswap để mua token Rug Pull sau khi nhận được tiền chia từ địa chỉ giữ quỹ hoặc thông qua “0x7a860e7e” của 0x1d39. ” chức năng mua token Rug Pull để ngụy tạo khối lượng giao dịch đang hoạt động.

Chức năng chức năng chính của địa chỉ cơ sở hạ tầng 0x6348 tương tự như 0x1d39, ngoại trừ tên chức năng mua token Rug Pull được đổi thành "0x3f8a436c", nội dung này sẽ không được trình bày chi tiết ở đây.

Để hiểu rõ hơn về việc sử dụng các cơ sở hạ tầng này của nhóm Rug Pull, chúng tôi đã thu thập thông tin và phân tích lịch sử giao dịch của 0x1d39 và 0x6348, đồng thời đếm tần suất sử dụng hai chức năng trong 0x1d39 và 0x6348 theo các địa chỉ bên ngoài. như thể hiện trong Bảng 2 và Bảng 2 3 được hiển thị.

Như có thể thấy từ dữ liệu trong Bảng 2 và 3, việc sử dụng địa chỉ cơ sở hạ tầng của Rug Pull có những đặc điểm rõ ràng: chúng chỉ sử dụng một lượng nhỏ địa chỉ giữ tiền hoặc địa chỉ chuyển tiền để chia tiền, nhưng sử dụng lượng lớn các địa chỉ khác. địa chỉ ngụy tạo khối lượng giao dịch token Rug Pull. Ví dụ: thậm chí có tới 6.224 địa chỉ ngụy tạo khối lượng giao dịch thông qua địa chỉ 0x6348. Số lượng địa chỉ lớn như vậy làm tăng đáng kể khó khăn trong việc phân biệt địa chỉ của kẻ tấn công với địa chỉ nạn nhân.

Cần lưu ý rằng phương pháp ngụy tạo khối lượng giao dịch của Rug Pull không chỉ giới hạn ở việc sử dụng các địa chỉ cơ sở hạ tầng này. Một số địa chỉ cũng sẽ trực tiếp trao đổi token thông qua sàn giao dịch để ngụy tạo khối lượng giao dịch.

Ngoài ra, chúng tôi cũng tính việc sử dụng từng chức năng trong hai địa chỉ 0x1d39 và 0x6348 theo bảy địa chỉ giữ tiền được đề cập ở trên, cũng như số lượng ETH liên quan đến từng chức năng. Dữ liệu cuối cùng như được hiển thị trong Bảng 4 và. Bảng 5 được hiển thị.

Như có thể thấy từ dữ liệu trong Bảng 4 và 5, địa chỉ giữ quỹ đã chia tiền tổng cộng 3.616 lần thông qua cơ sở hạ tầng, với tổng số tiền đạt 9.369,98 ETH. Hơn nữa, ngoại trừ địa chỉ 0xDF1a, tất cả các địa chỉ giữ tiền chỉ thực hiện chuyển khoản chia đôi thông qua cơ sở hạ tầng, trong khi việc mua mã token Rug Pull được hoàn thành bởi các địa chỉ nhận số tiền chia nhỏ này. Điều này cho thấy các băng nhóm Rug Pull này có tư tưởng rõ ràng và sự phân công lao động rõ ràng khi phạm tội.

Địa chỉ 0x0573 không phân chia tiền thông qua cơ sở hạ tầng và số tiền được sử dụng để ngụy tạo khối lượng giao dịch trong trường hợp Rug Pull liên quan của nó đến từ các địa chỉ khác, điều này cho thấy có sự khác biệt nhất định trong kiểu tội phạm của các địa chỉ giữ tiền khác nhau.

Bằng cách phân tích mối liên hệ tài chính giữa các địa chỉ giữ tiền khác nhau và việc sử dụng cơ sở hạ tầng của chúng, chúng tôi hiểu biết toàn diện hơn về mối liên hệ giữa các địa chỉ giữ tiền này. Cách các băng nhóm Rug Pull này phạm tội chuyên nghiệp và chuẩn mực hơn chúng ta tưởng tượng, điều này càng chứng tỏ rằng có những nhóm tội phạm đứng sau hậu trường lên kế hoạch và vận hành tất cả những điều này một cách cẩn thận để thực hiện các hoạt động lừa đảo có hệ thống.

· Truy tìm nguồn tiền để phạm tội

Khi các nhóm Rug Pull tiến hành Rug Pull, họ thường sử dụng một địa chỉ tài khoản bên ngoài (EOA) mới làm Người triển khai để triển khai token Rug Pull và những địa chỉ Người triển khai này thường nhận được tiền khởi động thông qua sàn giao dịch tập trung hoặc nền tảng hoán đổi nhanh. Để đạt được mục đích này, chúng tôi đã tiến hành phân tích nguồn tiền trong vụ Rug Pull liên quan đến địa chỉ giữ tiền nêu trên, nhằm thu được thông tin chi tiết hơn về nguồn tiền dành cho tội phạm.

Bảng 6 cho thấy sự phân bổ số lượng thẻ nguồn quỹ của Người triển khai được liên kết với các trường hợp Rug Pull trong mỗi địa chỉ giữ quỹ.

Có thể thấy từ dữ liệu trong Bảng 6 rằng trong các trường hợp Rug Pull được liên kết với từng địa chỉ giữ tiền, hầu hết số tiền của Người triển khai cho token Rug Pull đều đến từ sàn giao dịch tập trung(CEX). Trong số 1.124 trường hợp Rug Pull mà chúng tôi đã phân tích, số trường hợp có tiền đến từ ví nóng sàn giao dịch tập trung lên tới 1.069, chiếm tỷ lệ 95,11%. Điều này có nghĩa là đối với phần lớn các trường hợp Rug Pull, chúng tôi có thể theo dõi thông tin KYC của tài khoản và lịch sử rút tiền của sàn giao dịch tập trung chủ tài khoản cụ thể, từ đó thu được manh mối chính để giải quyết vụ việc.

Với nghiên cứu chuyên sâu, chúng tôi nhận thấy rằng các băng đảng Rug Pull này thường lấy tiền cho tội phạm từ nhiều ví nóng sàn giao dịch cùng lúc và mức độ sử dụng (số lần sử dụng, chiếm tỷ lệ) của mỗi ví là gần như nhau. Điều này cho thấy băng Rug Pull có ý định tăng cường tính độc lập của từng trường hợp Rug Pull về mặt dòng vốn, nhằm gây khó khăn hơn cho người ngoài trong việc truy tìm nguồn gốc và tăng độ phức tạp của việc theo dõi.

Qua phân tích chi tiết các địa chỉ giữ quỹ và các vụ án Rug Pull này, chúng ta có thể vẽ ra bức chân dung của các băng nhóm Rug Pull này: chúng được đào tạo bài bản, có sự phân công lao động rõ ràng, có tính toán trước và có tổ chức tốt. Những đặc điểm này thể hiện mức độ chuyên nghiệp cao của băng đảng và tính chất có hệ thống của các hoạt động lừa đảo của nó.

Đối diện những tên tội phạm có tổ chức chặt chẽ như vậy, chúng tôi không khỏi thắc mắc và tò mò về phương thức quảng cáo của chúng: Làm thế nào mà các băng nhóm Rug Pull này cho phép người dùng khám phá và mua token Rug Pull này? Để trả lời câu hỏi này, chúng tôi bắt đầu tập trung vào địa chỉ của nạn nhân trong các vụ Rug Pull này và cố gắng tiết lộ cách các băng đảng này dụ dỗ người dùng tham gia vào các vụ lừa đảo của chúng.

· Địa chỉ nạn nhân khai thác

Thông qua phân tích mối tương quan giữa các quỹ, chúng tôi đã duy trì một danh sách các địa chỉ của nhóm Rug Pull và sử dụng nó làm danh sách đen để sàng lọc tập hợp địa chỉ nạn nhân khỏi hồ sơ giao dịch của nhóm thanh khoản tương ứng với token Rug Pull.

Sau khi phân tích các địa chỉ nạn nhân này, chúng tôi đã thu được thông tin địa chỉ nạn nhân liên quan đến địa chỉ giữ tiền (Bảng 7) và thông tin cuộc gọi hợp đồng của địa chỉ nạn nhân (Bảng 8).

Như có thể thấy từ dữ liệu trong Bảng 7, trong số các trường hợp Rug Pull được hệ thống giám sát Chuỗi (CertiK Alert) ghi lại mà chúng tôi đã phân tích, số địa chỉ nạn nhân trung bình cho mỗi trường hợp là 26,82. Con số này thực sự cao hơn chúng tôi mong đợi ban đầu, điều đó cũng có nghĩa là những chiếc hộp kéo Rug này gây ra nhiều tác hại hơn chúng tôi nghĩ trước đây.

Có thể thấy từ dữ liệu trong Bảng 8 rằng trong các cuộc gọi hợp đồng của địa chỉ nạn nhân để mua token Rug Pull, ngoài các phương thức mua thông thường hơn như Uniswap và MetaMask Swap , 30,40% token Rug Pull đã được mua thông qua Maestro Đã mua từ các nền tảng robot bắn tỉa trên Chuỗi có tiếng như Banana Gun .

Phát hiện này nhắc nhở chúng ta rằng robot bắn tỉa Chuỗi có thể là một trong những kênh quảng bá quan trọng cho băng đảng Rug Pull. Thông qua những robot bắn tỉa này, băng đảng Rug Pull có thể nhanh chóng thu hút người tham gia, đặc biệt là những người tập trung vào việc săn token. Do đó, chúng tôi tập trung sự chú ý vào các bot bắn tỉa trên Chuỗi này để hiểu rõ hơn vai trò của chúng trong các trò gian lận Rug Pull và cơ chế quảng bá của chúng.

Kênh quảng cáo Rug Pull Token

Chúng tôi đã điều tra hệ sinh thái mới Web3 hiện tại, nghiên cứu chế độ hoạt động của robot bắn tỉa Chuỗi và kết hợp với một số phương pháp kỹ thuật xã hội nhất định, cuối cùng đã khóa được hai kênh quảng cáo có thể có của băng đảng Rug Pull: nhóm Twitter và Telegram.

Cần nhấn mạnh rằng các nhóm Twitter và Telegram này không phải do nhóm Rug Pull tạo ra đặc biệt mà tồn tại như những thành phần cơ bản trong hệ sinh thái mới. Chúng được duy trì bởi các tổ chức bên thứ ba như đội ngũ vận hành robot bắn tỉa trên Chuỗi hoặc đội ngũ nhà đổi mới chuyên nghiệp và được dành riêng để đẩy token mới ra mắt cho các nhà đổi mới. Các nhóm này đã trở thành kênh quảng cáo tự nhiên cho băng đảng Rug Pull, thu hút người dùng mua token độc hại bằng cách đẩy token mới, từ đó thực hiện hành vi lừa đảo.

· Quảng cáo trên Twitter

 Hình 15 Quảng cáo trên Twitter về token TOMMI

Hình 15 hiển thị quảng cáo token TOMMI được đề cập ở trên trên Twitter. Có thể thấy, băng đảng Rug Pull đã sử dụng dịch vụ đẩy tiền tệ mới của Dexed.com để tung token Rug Pull của mình ra thế giới bên ngoài nhằm thu hút nhiều nạn nhân hơn. Trong nghiên cứu thực tế, chúng tôi nhận thấy rằng một số lượng đáng kể token Rug Pull có thể tìm thấy quảng cáo tương ứng của chúng trên Twitter và những quảng cáo này thường đến từ tài khoản Twitter của các tổ chức bên thứ ba khác nhau.

· Quảng cáo nhóm Telegram

 Hình 16 Nhóm đẩy tiền tệ mới Banana Gun

Hình 16 cho thấy nhóm Telegram được duy trì bởi đội ngũ robot bắn tỉa trên Chuỗi Banana Gun, đặc biệt để đẩy token mới ra mắt . Nhóm này không chỉ cung cấp thông tin cơ bản về token mới mà còn cung cấp cho người dùng lối vào mua hàng thuận tiện. Sau khi người dùng cấu hình các thiết lập cơ bản của Banana Gun Sniper Bot, nhấn nút “Snipe” tương ứng với thông tin push token trong nhóm (ô màu đỏ trong hình 16) để mua nhanh token.

Chúng tôi đã tiến hành kiểm tra thủ công token được đẩy trong nhóm này và nhận thấy trong đó một tỷ lệ lớn token là token Rug Pull. Phát hiện này càng làm sâu sắc thêm suy đoán của chúng tôi rằng các nhóm Telegram có thể sẽ là một kênh quảng cáo quan trọng cho băng đảng Rug Pull.

Câu hỏi bây giờ là, chiếm tỷ lệ token mới do các tổ chức bên thứ ba phát hành là token Rug Pull là bao nhiêu? Quy mô tội ác của các băng nhóm Rug Pull này là gì? Để làm rõ những vấn đề này, chúng tôi đã quyết định tiến hành quét và phân tích có hệ thống dữ liệu token mới được đưa vào nhóm Telegram để tiết lộ quy mô rủi ro đằng sau nó và ảnh hưởng của gian lận.

Phân tích sinh thái mã token Ethereum

· Phân tích token được đẩy trong nhóm Telegram

Để nghiên cứu chiếm tỷ lệ Rug Pull của token mới được đẩy trong các nhóm Telegram này, chúng tôi đã thu thập dữ liệu của Banana Gun, UniBot và các nhóm tin nhắn Token của bên thứ ba khác thông qua API của Telegram trong khoảng thời gian từ tháng 10 năm 2023 đến tháng 8 năm 2024. Thông tin token mới Ethereum đã được tìm thấy. rằng các nhóm này đã đẩy tổng cộng 93.930 token trong thời gian này.

Theo phân tích của chúng tôi về trường hợp Rug Pull, nhóm Rug Pull thường sử dụng token Rug Pull để tạo ra một pool thanh khoản trong Uniswap V2 và đầu tư một lượng ETH nhất định khi phạm tội. Sau khi người dùng hoặc robot mới mua token Rug Pull trong nhóm, kẻ tấn công sẽ kiếm lợi nhuận bằng cách phá hủy thị trường hoặc loại bỏ thanh khoản . Toàn bộ quá trình thường kết thúc trong vòng 24 giờ.

Do đó, chúng tôi đã tóm tắt các quy tắc phát hiện sau đây đối với token Rug Pull và sử dụng các quy tắc này để quét 93.930 token này với mục đích xác định tỷ lệ token Rug Pull trong số token mới được đẩy trong các nhóm Telegram này:

1. Không có chuyển nhượng mã token mục tiêu trong 24 giờ qua: Token Rug Pull thường không còn hoạt động nào sau khi quá trình bán tháo hoàn tất;

2. Có nhóm thanh khoản cho token mục tiêu và ETH trong Uniswap V2: Nhóm Rug Pull sẽ tạo nhóm thanh khoản token và ETH trong Uniswap V2;

3. Tổng số sự kiện Chuyển khoản kể từ khi token được tạo đến thời điểm phát hiện không vượt quá 1.000: Token Rug Pull thường có ít giao dịch hơn nên số lượng chuyển khoản tương đối ít;

4. Đã xảy ra hoạt động rút hoặc thanh lý nhóm thanh khoản số lượng lớn trong 5 giao dịch gần đây nhất liên quan đến token : Token Rug Pull sẽ trải qua hoạt thanh khoản rút hoặc thanh lý số lượng lớn khi kết thúc vụ lừa đảo.

Các quy tắc này được sử dụng để phát hiện token do nhóm Telegram đưa ra và kết quả được hiển thị trong Bảng 10.

Như được hiển thị trong Bảng 9, trong số 93.930 token do nhóm Telegram đẩy, có tổng cộng 46.526 token Rug Pull đã được phát hiện, chiếm tỷ lệ 49,53%. Điều này có nghĩa là gần một nửa số token được đẩy trong nhóm Telegram là token Rug Pull.

Xét rằng một số bên tham gia dự án cũng sẽ rút thanh khoản sau khi dự án thất bại, hành vi này không nên được phân loại đơn giản là gian lận Rug Pull được đề cập trong bài viết này. Vì vậy, chúng ta cần xem xét tác động của kết quả dương tính giả mà tình huống này có thể gây ra đối với kết quả phân tích của bài viết này. Mặc dù Điều 3 trong quy tắc phát hiện của chúng tôi đã có thể lọc ra hầu hết các tình huống tương tự nhưng vẫn có thể tồn tại những phán đoán sai lầm.

Để hiểu rõ hơn về tác động của những kết quả dương tính giả tiềm ẩn này, chúng tôi đã tiến hành thống kê về thời gian hoạt động của 46.526 token được phát hiện dưới dạng Rug Pull. Kết quả được hiển thị trong Bảng 10. Bằng cách phân tích thời gian hoạt động của token này, chúng ta có thể phân biệt rõ hơn giữa hành vi Rug Pull thực sự và hành vi rút thanh khoản do dự án thất bại, từ đó đưa ra đánh giá chính xác hơn về quy mô thực tế của Rug Pull.

Qua thống kê về thời gian hoạt động, chúng tôi nhận thấy thời gian hoạt động của 41.801 token Rug Pull (thời gian từ khi tạo token đến khi thực hiện cuối cùng Rug Pull) là dưới 72 giờ, chiếm tỷ lệ 89,84%. Trong trường hợp bình thường, 72 giờ là không đủ thời gian để đánh giá liệu một dự án có thất bại hay không. Do đó, bài viết này cho rằng rằng hành vi Rug Pull hoạt động trong thời gian dưới 72 giờ không phải là hành vi rút tiền bình thường của bên dự án.

Do đó, ngay cả trong tình huống kém lý tưởng nhất, 4.725 token Rug Pull còn lại có thời gian hoạt động lớn hơn 72 giờ cũng không thuộc các trường hợp gian lận Rug Pull được xác định trong bài viết này, phân tích của chúng tôi vẫn có giá trị tham khảo cao, vì vẫn còn 89,84 % trường hợp đạt yêu cầu. Trên thực tế, cài đặt thời gian 72 giờ vẫn tương đối thận trọng, bởi vì trong thử nghiệm lấy mẫu thực tế, một phần đáng kể token đã hoạt động trong hơn 72 giờ vẫn rơi vào danh mục gian lận Rug Pull được đề cập trong bài viết này.

Điều đáng nói là số lượng token hoạt động dưới 3 giờ là 25.622, chiếm tỷ lệ 55,07%. Điều này cho thấy băng nhóm Rug Pull đang phạm tội theo chu kỳ với hiệu quả rất cao. Thủ đoạn phạm tội có xu hướng “ngắn, gọn, nhanh” và tốc độ quay vốn cực cao.

Chúng tôi cũng đánh giá phương pháp rút tiền và phương thức gọi hợp đồng của 46.526 trường hợp token Rug Pull này để xác nhận hành vi phạm tội của các nhóm Rug Pull này.

Đánh giá phương pháp rút tiền chủ yếu tính số trường hợp tương ứng với phương pháp khác nhau được nhóm Rug Pull sử dụng để lấy ETH từ nhóm thanh khoản . Phương pháp chính là:

1. Smash: Nhóm Rug Pull sử dụng token thu được thông qua việc phân bổ trước hoặc mã backdoor để đổi tất cả ETH trong nhóm thanh khoản.

2. Loại bỏ thanh khoản: Nhóm Rug Pull rút tất cả số tiền mà họ đã thêm ban đầu vào nhóm thanh khoản.

Đánh giá phương pháp gọi hợp đồng là để kiểm tra đối tượng hợp đồng đích được nhóm Rug Pull gọi khi thực hiện Rug Pull. Các đối tượng chính là:

1. Hợp đồng Router sàn giao dịch phi tập trung: được sử dụng để trực tiếp vận hành thanh khoản.

2. Hợp đồng tấn công được xây dựng bởi băng đảng Rug Pull: một hợp đồng tùy chỉnh được sử dụng để thực hiện các hoạt động lừa đảo phức tạp.

Bằng cách đánh giá phương pháp rút tiền và phương thức gọi điện theo hợp đồng, chúng tôi có thể hiểu rõ hơn về phương thức và đặc điểm hoạt động của nhóm Rug Pull, để ngăn chặn và xác định tốt hơn các hành vi gian lận tương tự.

Dữ liệu đánh giá liên quan của phương pháp rút tiền được thể hiện trong Bảng 11.

Qua dữ liệu đánh giá có thể thấy số trường hợp nhóm Rug Pull rút tiền bằng cách loại bỏ thanh khoản là 32.131 chiếm tỷ lệ tỷ lệ 69,06%. Điều này cho thấy các nhóm Rug Pull này có xu hướng rút tiền nhiều hơn bằng cách loại bỏ thanh khoản. Lý do có thể là phương pháp này đơn giản, trực tiếp hơn và không yêu cầu viết hợp đồng phức tạp hoặc các thao tác bổ sung. Ngược lại, phương thức rút tiền thông qua việc bán yêu cầu nhóm Rug Pull phải đặt trước một cửa sau trong mã hợp đồng của token, cho phép họ nhận được token cần thiết để bán với chi phí bằng 0. Quá trình hoạt động này rất phức tạp và có thể tăng thêm. rủi ro nên có khá ít trường hợp lựa chọn phương pháp này.

Dữ liệu đánh giá có liên quan của phương thức gọi hợp đồng được thể hiện trong Bảng 12.

Có thể thấy rõ từ dữ liệu trong Bảng 12 rằng nhóm Rug Pull thích thực hiện các hoạt động Rug Pull thông qua hợp đồng Router của Uniswap và đã thực hiện tổng cộng 40.887 lần, chiếm 76,35% tổng số lần thực thi. Tổng số lần thực hiện Rug Pull là 53.552, cao hơn số lượng token Rug Pull là 46.526. Điều này cho thấy trong một số trường hợp, nhóm Rug Pull sẽ thực hiện lần hoạt động Rug Pull, có thể để tối đa hóa lợi nhuận hoặc nhắm vào các nạn nhân khác nhau. Rút tiền theo đợt.

Tiếp theo, chúng tôi tiến hành phân tích thống kê dữ liệu chi phí và lợi nhuận của 46.526 trường hợp Rug Thảm. Cần lưu ý rằng chúng tôi coi ETH mà nhóm Rug Pull thu được từ sàn giao dịch tập trung hoặc dịch vụ trao đổi flash trước khi triển khai token là một khoản chi phí và ETH được thu hồi trong lần kéo Rug cuối cùng được coi là thu nhập cho các số liệu thống kê có liên quan. Do ETH do chính một số nhóm Rug Pull đầu tư khi ngụy tạo khối lượng giao dịch nhóm thanh khoản không được tính đến nên dữ liệu chi phí thực tế có thể cao hơn.

Dữ liệu chi phí và lợi nhuận được trình bày trong Bảng 13.

Trong số liệu thống kê của 46.526 token Rug Pull này, tổng lợi nhuận cuối cùng là 282.699,96 ETH, với hệ số biên lợi nhuận cao tới 188,70%, tương đương khoảng 800 triệu USD. Mặc dù lợi nhuận thực tế có thể thấp hơn một chút so với dữ liệu trên nhưng quy mô tổng thể của quỹ vẫn rất đáng kinh ngạc, cho thấy các băng nhóm Rug Pull này đã thu được lợi nhuận khổng lồ thông qua lừa đảo.

Đánh giá từ phân tích dữ liệu token của toàn bộ nhóm Telegram, hệ sinh thái Ethereum hiện tại đã chứa đầy lượng lớn token Rug Pull. Tuy nhiên, chúng tôi vẫn cần xác nhận một câu hỏi quan trọng: Token được đẩy trong các nhóm Telegram này có bao gồm tất cả token được tung ra trên mạng chính ETH không? Nếu không, chúng chiếm tỷ lệ bao nhiêu phần trăm trong số token được tung ra trên mạng chính ETH ?

Trả lời câu hỏi này sẽ giúp chúng ta hiểu biết toàn diện về hệ sinh thái token Ethereum . Do đó, chúng tôi bắt đầu tiến hành phân tích chuyên sâu về token trên mạng chủ Ethereum để xác định mức độ bao phủ của token do nhóm Telegram thúc đẩy trong số toàn bộ token mainnet . Thông qua phân tích này, chúng ta có thể làm rõ hơn mức độ nghiêm trọng của vấn đề Rug Pull trong toàn bộ hệ sinh thái Ethereum, cũng như ảnh hưởng của các nhóm Telegram này trong việc thúc đẩy và quảng bá token .

· Phân tích token do mạng chủ Ethereum phát hành

Chúng tôi đã thu thập dữ liệu khối thông qua nút RPC trong cùng khoảng thời gian (tháng 10 năm 2023 đến tháng 8 năm 2024) như phân tích ở trên về thông tin token của nhóm Telegram và thu được token mới được triển khai (không bao gồm) từ các khối này. Các mã thông báo triển khai logic việc kinh doanh thông qua proxy, bởi vì token được triển khai thông qua proxy liên quan đến rất ít trường hợp Rug Pull). Số lượng token thu được cuối cùng là 154.500, trong đó số lượng token nhóm thanh khoản(NHÀ CUNG CẤP THANH KHOẢN ) của Uniswap V2 là 54.240 và token NHÀ CUNG CẤP THANH KHOẢN không nằm trong phạm vi quan sát của bài viết này.

Do đó, chúng tôi đã lọc mã token NHÀ CUNG CẤP THANH KHOẢN và số lượng token cuối cùng là 100.260. Thông tin liên quan được thể hiện trong Bảng 14.

Chúng tôi đã tiến hành thử nghiệm quy tắc Rug Pull trên 100.260 token này và kết quả được hiển thị trong Bảng 15.

Trong số 100.260 token đã được thử nghiệm cho Rug Pull, chúng tôi nhận thấy rằng 48.265 token là token Rug Pull, chiếm 48,14% trong tổng số. Tỷ lệ này phù hợp với tỷ lệ token Rug Pull trong số token được đẩy trong nhóm Telegram. như nhau.

Để phân tích sâu hơn mối quan hệ bao gồm giữa token do nhóm Telegram thúc đẩy và tất cả token được tung ra trên mạng chính ETH , chúng tôi đã tiến hành so sánh chi tiết thông tin của hai token này và kết quả được hiển thị trong Bảng 16.

Như có thể thấy từ dữ liệu trong Bảng 16, có 90.228 điểm giao nhau giữa token do nhóm Telegram đẩy và token được mainnet nắm bắt, chiếm 89,99% token của mainnet . Có 3.703 token trong nhóm Telegram không được bao gồm trong token được mainnet thu giữ. Sau khi kiểm tra lấy mẫu, token này đều là token triển khai các đại lý hợp đồng và chúng tôi đã không đưa chúng vào khi chúng tôi thu được mã token token mainnet triển khai. hãng.

Đối với token token mainnet chưa được nhóm Telegram đẩy lên, nguyên nhân có thể là do token này bị lọc ra theo quy tắc đẩy của nhóm Telegram. Nguyên nhân bị lọc có thể là do không đủ sức hấp dẫn hoặc chắc chắn. tiêu chí đẩy không được đáp ứng.

Để phân tích sâu hơn, chúng tôi đã tiến hành phát hiện riêng biệt Rug Pull trên 3.703 token đã triển khai đại lý hợp đồng này và cuối cùng chỉ tìm thấy 10 token Rug Pull. Do đó, token báo proxy hợp đồng này sẽ không gây ra nhiều ảnh hưởng đến kết quả phát hiện Rug Pull của token trong nhóm Telegram, điều này cho thấy kết quả phát hiện Rug Pull của token do nhóm Telegram đẩy rất phù hợp với kết quả phát hiện Rug Pull của token mainnet .

10 địa chỉ token Rug Pull triển khai proxy này được liệt kê trong Bảng 17. Nếu quan tâm, bạn có thể tự mình kiểm tra chi tiết liên quan của các địa chỉ này. Bài viết này sẽ không đi sâu vào chi tiết hơn tại đây.

Thông qua phân tích này, chúng tôi xác nhận rằng token do nhóm Telegram thúc đẩy có mức độ trùng lặp cao với token mainnet trong tỷ lệ token Rug Pull, xác minh thêm tầm quan trọng và ảnh hưởng của các kênh đẩy này trong lực lượng hệ sinh thái Rug Pull hiện tại.

Bây giờ chúng ta có thể trả lời câu hỏi, token được đẩy trong nhóm Telegram có bao gồm tất cả token được tung ra trên mạng chính ETH không và nếu không thì chúng chiếm tỷ lệ bao nhiêu?

Câu trả lời là token do nhóm Telegram đẩy chiếm khoảng 90% mainnet và kết quả thử nghiệm Rug Pull của nó rất phù hợp với kết quả thử nghiệm Rug Pull của token mainnet . Do đó, việc phát hiện Rug Pull và phân tích dữ liệu trước đây về token do các nhóm Telegram thúc đẩy về cơ bản có thể phản ánh trạng thái hiện tại của hệ sinh thái token của mạng chủ Ethereum .

Như đã đề cập trước đó, token Rug Pull trên mạng chính ETH chiếm tỷ lệ khoảng 48,14%, nhưng chúng tôi cũng quan tâm đến 51,86% còn lại của token không phải Rug Pull. Ngay cả khi loại trừ token Rug Pull, vẫn còn 51.995 token ở trạng thái không xác định, nhiều hơn những gì chúng tôi mong đợi đối với số lượng token hợp lý. Do đó, chúng tôi đã thực hiện thống kê về thời gian từ khi tạo đến khi ngừng hoạt động cuối cùng cho tất cả token trên mạng chính và kết quả được hiển thị trong Bảng 18.

Như có thể thấy từ dữ liệu trong Bảng 18, khi chúng tôi mở rộng tầm nhìn của mình sang toàn bộ mạng chủ Ethereum , số lượng token có vòng đời token dưới 72 giờ sẽ là 78.018, chiếm 77,82% tổng số. Con số này cao hơn đáng kể so với số lượng token Rug Pull mà chúng tôi phát hiện được, điều này cho thấy các quy tắc phát hiện Rug Pull được đề cập trong bài viết này không thể bao trùm đầy đủ tất cả các trường hợp Rug Pull. Trên thực tế, thông qua thử nghiệm lấy mẫu, chúng tôi phát hiện ra rằng có token Rug Pull không bị phát hiện. Đồng thời, điều này cũng có thể có nghĩa là có một số hình thức lừa đảo khác chưa được đề cập, chẳng hạn như tấn công Phishing, đĩa Tỳ Hưu, v.v., vẫn cần phải đào sâu và khám phá thêm.

Ngoài ra, số lượng token có vòng đời lớn hơn 72 giờ cũng lên tới 22.242. Tuy nhiên, phần token này không phải là trọng tâm của bài viết này, vì vậy có thể vẫn còn những chi tiết khác đang chờ được khám phá. Có lẽ một trong đó token đại diện cho các dự án thất bại hoặc các dự án có cơ sở người dùng nhất định nhưng không nhận được sự hỗ trợ phát triển lâu dài. Những câu chuyện và lý do đằng sau token này có thể ẩn giấu động thái thị trường phức tạp hơn.

Hệ sinh thái token của mạng chủ Ethereum phức tạp hơn nhiều so với chúng tôi mong đợi, với nhiều dự án ngắn hạn và dài hạn khác nhau đan xen và các gian lận tiềm ẩn xuất hiện không ngừng. Bài viết này chủ yếu nhằm khơi dậy sự chú ý của mọi người. Tôi hy vọng mọi người có thể nhận ra rằng ở những góc khuất chưa biết của chúng ta, bọn tội phạm đã hành động một cách âm thầm. Chúng tôi hy vọng rằng thông qua phân tích như vậy, thúc đẩy nhiều người chú ý và nghiên cứu hơn để cải thiện tính bảo mật của toàn bộ hệ sinh thái blockchain .

nghĩ

Trong số token mới được phát hành trên mạng chính ETH , token Rug Pull chiếm tỷ lệ tới 48,14%, đây là một con số rất đáng cảnh báo. Điều đó có nghĩa là trung bình trong đó hai token ra mắt trên Ethereum thì có một token được sử dụng để lừa đảo, điều này phản ánh sự hỗn loạn và rối loạn của hệ sinh thái Ethereum hiện tại ở một mức độ nhất định. Tuy nhiên, mối quan tâm thực sự vượt xa tình trạng hiện tại của hệ sinh thái token Ethereum . Chúng tôi nhận thấy rằng trong số các trường hợp Rug Pull