Thoát khỏi lừa đảo, cái mà chúng ta thường gọi là dự án Rug Pull. Còn được gọi một cách sinh động là "Rug Pull", đây là một phương thức lừa đảo tội phạm trong lĩnh vực Web 3.0.
Phương pháp phổ biến của Rug Pull là tạo khối lượng giao dịch và số lượng người dùng giả sau khi tạo một dự án DeFi có vẻ hợp pháp để cải thiện danh tiếng của dự án và thu hút nhiều nhà đầu tư hơn vào dự án. Sau khi đạt đến một quy mô nhất định, kẻ lừa đảo hoặc nhóm sẽ đột ngột rút một lượng lớn tiền trong dự án và đóng dự án, cuối cùng khiến các mã thông báo do các nhà đầu tư nắm giữ bị mất giá trị.
Mặc dù có rất nhiều số liệu thống kê cho thấy mức độ phổ biến và tác động của các vụ lừa đảo khi thoát lệnh trong những năm qua, nhưng có ít dữ liệu và báo cáo kiểm tra các đặc điểm và thủ phạm của chúng. Và nghiên cứu như thế này có thể cải thiện các nỗ lực chống rửa tiền (AML), tăng cường bảo vệ người tiêu dùng và tính toàn vẹn của toàn bộ thị trường Web 3.0.
Bằng cách nghiên cứu toàn bộ chu trình của các trò gian lận thoát lệnh từ đầu đến cuối, chúng ta có thể phân tích rõ hơn cấu trúc của các trò gian lận và hiểu các yếu tố rủi ro tiềm ẩn cũng như những điểm chung khiến chúng tồn tại. Bằng cách xác định các tín hiệu và chỉ báo này, chúng ta có thể áp dụng các phương pháp và chiến lược bảo mật thông minh hơn để bảo vệ thế giới Web 3.0 hiệu quả hơn.
CertiK đã tiến hành nghiên cứu về 40 dự án Rug Pull để hiểu rõ hơn về những điểm tương đồng và khác biệt dẫn đến việc loại bỏ Thanh khoản cuối cùng của chúng. Bằng cách xác định các đặc điểm của dự án và tiến hành phân tích định tính và định lượng, chúng tôi đã thu được các kết quả sau.
định nghĩa khái niệm
Với mục đích của nghiên cứu này, chúng tôi định nghĩa Rug Pull là: một dự án có kế hoạch và mục đích phạm tội tích cực sử dụng hoạt động tiếp thị và quảng cáo cường điệu để lừa gạt các nhà đầu tư, sau đó để (các) thành viên trong nhóm bòn rút tiền của họ.
Trong nghiên cứu này, chúng tôi chỉ xem xét Hard Rug Pulls, trong đó nhóm của dự án đột ngột rút tiền tài trợ khỏi dự án sau khi nhận được khoản đầu tư đáng kể từ cộng đồng. Soft Rug Pulls là một cách tinh vi hơn để những người sáng lập đạt được mục tiêu lừa đảo của họ. Những người sáng lập không từ bỏ tất cả các mã thông báo nắm giữ của họ ngay lập tức mà từ từ, trong khi vẫn duy trì ảo tưởng rằng họ vẫn đang đầu tư và hỗ trợ dự án.
phương pháp luận
Trong bài báo này, một mẫu gồm 40 lần kéo thảm cứng đã được chọn ngẫu nhiên từ tất cả các lần kéo thảm xảy ra từ năm 2020 đến năm 2023 để nghiên cứu. Mẫu được thu thập có sự khác biệt lớn về tổng số tiền bị đánh cắp, dao động từ khoảng 3.000 đô la đến 12 triệu đô la.
phân tích tội phạm
Hard Rug Pull phải xảy ra cùng với các vấn đề nội bộ trong nhóm dự án. Không khó hiểu nếu đội ngũ chịu trách nhiệm và không có dấu hiệu Rug Pull thì vụ việc sẽ được coi là một vụ hack.
Trong nghiên cứu của chúng tôi về Rug Pull, các dự án Rug Pull được chia thành bốn loại: nhóm dự án Rug Pull, phá hoại của nhà phát triển độc hại, chủ dự án phạm tội và nhân viên hoặc nhóm không xác định phạm tội. Các định nghĩa và kết luận cho từng loại được trình bày chi tiết hơn dưới đây:
Nghiên cứu này nhấn mạnh tầm quan trọng của việc kiểm tra lý lịch khi đánh giá các dự án mới và các rủi ro liên quan của chúng. Vì phần lớn các hoạt động kéo thảm được thực hiện bởi các nhóm dự án nên điều quan trọng là phải xem xét động lực của nhóm và thành tích của họ trước khi đầu tư vào một dự án.
Rug Pull đã hoạt động trung bình 93 ngày trước khi vụ lừa Rug Pull cuối cùng xảy ra. Chúng ta cần cảnh giác với các dự án mới được triển khai mà các nhà phát triển cố tình ẩn danh hoặc hoàn toàn không được biết đến, không có cam kết về tính minh bạch hoặc phân cấp.
Để chống lại những trò gian lận như vậy, giảm thiểu rủi ro và giúp người dùng đưa ra quyết định sáng suốt, CertiK đã phát triển chương trình huy hiệu KYC . Chương trình tập trung vào việc xác minh và kiểm tra các nhóm đứng sau các dự án, chỉ trao huy hiệu cho những nhóm đồng ý trải qua quá trình kiểm tra lý lịch kỹ lưỡng. CertiK KYC giúp phân biệt một nhóm đã được xác minh, minh bạch, có trách nhiệm với các dự án khác.
trường hợp
Trường hợp dự án ①: Đội lừa đảo
Các điều tra viên của CertiK đã phỏng vấn trưởng dự án của một dự án ẩn danh (chúng tôi sẽ gọi dự án này đơn giản là dự án ① trong phần sau). Trong cuộc phỏng vấn với trưởng chương trình, chúng tôi nhận thấy một số điểm đáng chú ý, bao gồm sự do dự của ứng viên và khó nhớ tên của các thành viên khác trong nhóm chương trình. Họ cũng tuyên bố có ít kiến thức về dự án và cấu trúc của nó.
Ngoài ra, trưởng dự án và các thành viên trong nhóm không có kinh nghiệm trước đó với Web 3.0 và không thể đưa ra bất kỳ lời giải thích nào cho mục đích của dự án. Họ nói rằng mục tiêu của dự án là quyên góp cho các tổ chức từ thiện cụ thể, nhưng họ không có kế hoạch hỗ trợ các sáng kiến từ thiện và không thể nêu tên các tổ chức từ thiện cụ thể. Tuyên bố từ thiện dường như chỉ là một mánh khóe tiếp thị hoặc thậm chí là mồi nhử để thu hút các nhà đầu tư.
Ba tháng sau cuộc trò chuyện ban đầu này, dự án Rug Pull. Phân tích trên chuỗi của chúng tôi cho thấy rằng nhóm dự án hoàn toàn chịu trách nhiệm về sự cố Rug Pull.
Mục ②: Lừa đảo của nhà phát triển độc hại
Không giống như dự án ① nơi cả nhóm đều tham gia lừa đảo, người chịu trách nhiệm về vụ lừa đảo trong dự án ② là một nhà phát triển ẩn danh đã một mình đánh cắp tất cả tiền của dự án. Cuộc trò chuyện giữa CertiK và người phụ trách dự án ② diễn ra chỉ vài ngày trước Rug Pull.
Ngoại trừ nhà phát triển, tất cả các thành viên khác của dự án ② đều có mối quan hệ công khai với dự án. Với sự hiểu biết sâu rộng của trưởng dự án, tên và danh tính của tất cả các thành viên trong nhóm đã được tiết lộ, nhưng ngay cả bản thân trưởng dự án cũng không biết gì về các nhà phát triển.
Nhà phát triển hoàn toàn ẩn danh và sử dụng bút danh, chưa bao giờ tham gia vào bất kỳ cuộc gọi thoại hoặc video nào giữa các nhóm và chưa bao giờ tiết lộ bất kỳ thông tin cá nhân nào. Bởi vì nhà phát triển tuyên bố rằng anh ta có nhiều kinh nghiệm trong Web3 .Một rủi ro và một vấn đề.
Các nhà điều tra của CertiK nhận thấy rằng Dự án ② thực sự không có yếu tố rủi ro nào khác ngoài các nhà phát triển ẩn danh. Tuy nhiên, rủi ro của các nhà phát triển ẩn danh cũng rất quan trọng: bởi vì các nhà phát triển ẩn danh có nhiều quyền đối với hợp đồng thông minh , điều này làm tăng đáng kể rủi ro của Rug Pull. Vài ngày sau cuộc trò chuyện này với những người sáng lập, nhà phát triển ẩn danh Rug đã rút dự án.
Cảnh báo đèn đỏ! Đừng chạm vào nó!
Tín hiệu đèn đỏ Một: Đăng ký trang web
Trong số 40 dự án được phân tích trong bài viết này, 37,5% (15) đã sử dụng Namecheap làm công ty đăng ký tên miền của họ. Namecheap là nhà cung cấp quyền riêng tư tên miền cho phép bạn đăng ký tên miền mà không cần bất kỳ thông tin cá nhân nào. Các dịch vụ này có thể sử dụng thông tin dịch vụ riêng tư và email được tạo ngẫu nhiên thay cho thông tin liên hệ thực tế được liên kết với tên miền. Việc không yêu cầu thông tin cá nhân hoặc thông tin nhận dạng để đăng ký với trang web có thể cực kỳ hấp dẫn đối với những kẻ lừa đảo Rug Pull.
Điều đáng chú ý là 4 trong số 40 dự án không có tên miền website rõ ràng hoặc không có dữ liệu về tên miền website liên quan. Các dự án được đăng ký thông qua Namecheap và các dự án không xác định cộng lại chiếm 45% toàn bộ mẫu.
Ngoài ra, không có sự cố nào trong số 4 sự cố Rug Pull do các nhà phát triển độc hại thực hiện đã sử dụng Namecheap, điều này cho thấy thêm rằng các dự án bắt đầu một cách vô tội khó có thể cố ý sử dụng tên miền riêng nhằm cố gắng che giấu thông tin cá nhân.
Tín hiệu đèn đỏ thứ hai: Tuổi thọ dự án
Một biến số quan trọng khác cần xem xét khi nghiên cứu Rug Pulls là tuổi thọ của dự án. Trong bối cảnh của nghiên cứu này, tuổi thọ của dự án được định nghĩa là số ngày kể từ ngày bắt đầu dự án đến ngày Rug Pull (tức là thời gian Rug Pull). Ngày bắt đầu của dự án được tính từ ngày tạo phương tiện truyền thông xã hội, ngày tạo ví trên chuỗi và ngày trang web (thường lấy giá trị trung bình của các ngày có sẵn).
Trong nghiên cứu của chúng tôi về 40 dự án này, ngày ra mắt đã được xác định cho 36 dự án trong số đó. Ngày bắt đầu và thời gian Rug Pull được thu thập để tính tuổi thọ trung bình và trung bình của các dự án: các dự án có tuổi thọ trung bình là 92 ngày và trung bình là 57 ngày.
Mặc dù tuổi thọ điển hình của hầu hết các dự án Rug Pull là ba tháng hoặc ít hơn, nhưng điều quan trọng cần lưu ý là có những điểm khác biệt trong dữ liệu. Ví dụ: có bốn mục trong mẫu có thời gian tồn tại khoảng 300 ngày trở lên. Mặc dù dữ liệu cho thấy xu hướng và đặc điểm của Rug Pull, nhưng dữ liệu này không thể khái quát hóa.
Tín Hiệu Đèn Đỏ #3: Chiến Thuật Đánh Lừa
CertiK đã tiến hành phân tích nội dung của mẫu tổng thể để xác định các chiến thuật tiếp thị lừa đảo phổ biến này được sử dụng để thu hút các nhà đầu tư tiềm năng. Vì vòng đời trung bình của một dự án Rug Pull chỉ là 93 ngày, các dự án độc hại sẽ tập trung nhiều hơn vào “sự tồn tại” sau khi dự án được thành lập để kiếm thêm tiền trước khi Rug Pull. CertiK nhận thấy rằng các dự án có xu hướng sử dụng nhiều chiến lược trong phần trình bày dự án của họ.
Tín hiệu đèn đỏ thứ tư: Lộ trình và Whitepaper
Trong số 31 dự án có thể đăng nhập vào trang web và thu thập dữ liệu thông tin dự án, CertiK nhận thấy rằng hầu hết trong số họ không cung cấp lộ trình hoặc Whitepaper trên cơ sở liên tục. Ngay cả khi có lộ trình hoặc Whitepaper, chất lượng có thể kém (nhiều lỗi ngữ pháp, thiếu thông tin) và thông tin lừa đảo thường được sử dụng trong các tài liệu này. Các dự án tương đối chín muồi với lộ trình và Whitepaper tập trung vào các tài liệu tiếp thị thúc đẩy tính hợp pháp sai lầm.
Trong số 31 dự án này, chỉ có 7 dự án có lộ trình và 4 dự án đã công bố Whitepaper. Đối với những dự án không có lộ trình và Whitepaper, một câu nói chủ yếu được sử dụng: lộ trình hoặc Whitepaper sẽ sớm được phát hành.
Red Light Five: Giới thiệu nhóm đáng ngờ
Một biến quan trọng khác trong nghiên cứu này là việc giới thiệu nhóm trong dự án và liệu nhóm có ẩn danh, bán ẩn danh hay có thể nhận dạng công khai hay không. Trong mẫu của chúng tôi, chúng tôi đã thu thập hồ sơ nhóm cho 31 dự án, nhưng không có nhóm nào được tiết lộ đầy đủ.
Hầu hết các dự án đều ẩn danh hoàn toàn, chiếm 24 trong tổng số 31 dự án (77,4%). 7 dự án còn lại được xác định là bán ẩn danh (22,6% mẫu)—không có thông tin nhận dạng nào khác ngoài việc liệt kê tên của các thành viên trong nhóm dự án. Ảnh và tên do các nhóm khác sử dụng đã được xác định là tài liệu giả sau khi được các điều tra viên của chúng tôi xác nhận.
Ngoài ra, chúng tôi nhận thấy rằng một số sự cố Rug Pull đã sử dụng hình đại diện “thành viên nhóm” do AI tạo với tên và thông tin sai.
Sử dụng phân tích chữ ký tội phạm, phát hiện và ngăn chặn
CertiK đã xác định và phân tích 7 biến số quan trọng liên quan đến đặc điểm và xu hướng của các dự án Rug Pull, những biến số này có nhiều điểm tương đồng, cho thấy Rug Pulls hoạt động gần như giống nhau.
Tuy nhiên, dù có nhiều điểm chung nhưng dự án Rug Pull cũng không ngừng cập nhật công nghệ , chiến lược để thích ứng với thị trường và “tiến cùng thời đại” trong sự thay đổi của môi trường.
Dưới đây là tóm tắt các kết quả nghiên cứu trên: Hầu hết các dự án Rug Pull đều có thời gian tồn tại ngắn, hầu hết chúng được thực hiện bởi cả nhóm dự án và hầu hết chúng sử dụng các công ty đăng ký tên miền không lưu giữ thông tin cá nhân của người đăng ký trong quá trình thực hiện. quá trình thành lập. Tất nhiên, một số trường hợp ngoại lệ cũng được tìm thấy trong cuộc khảo sát, vì vậy các đặc điểm trên có thể được sử dụng làm tài liệu tham khảo, nhưng không phải là tiêu chuẩn tuyệt đối để đánh giá.
Những kẻ lừa đảo dự án sử dụng nhiều chiến thuật nhất có thể để thu hút các nhà đầu tư tiềm năng, vì vậy, điều quan trọng là bạn phải tự mình thẩm định và tham khảo thông tin có thẩm quyền từ các chuyên gia có kiến thức chuyên môn về bảo mật Web 3.0 trước khi đầu tư.
Sử dụng kiểm toán viên bảo mật bên thứ ba để tiến hành kiểm tra lý lịch có thể tăng hiệu quả và hiệu quả của các biện pháp bảo mật. Nhóm KYC của CertiK bao gồm các chuyên gia điều tra. Ngoài việc kiểm tra lý lịch kỹ lưỡng và đánh giá rủi ro, CertiK duy trì một cơ sở dữ liệu duy nhất về những kẻ lừa đảo trên Web 3.0 và các công cụ định tính và định lượng thông qua các chỉ số rủi ro để giúp phát hiện gian lận.
Thảm kéo là mối đe dọa thường xuyên đối với hệ sinh thái Web 3.0. Mặc dù chúng tôi đã xác định được một số yếu tố rủi ro cao từ 40 mẫu và KYC của chúng tôi sẽ giúp các dự án chất lượng cao trở nên nổi bật, nhưng không thể loại bỏ hoàn toàn những mối đe dọa này.
Bằng cách nâng cao tiêu chuẩn về tính an toàn và minh bạch, CertiK hy vọng sẽ cung cấp bằng chứng đáng tin cậy cho những dự án thực sự có lý tưởng, đồng thời giúp người dùng đưa ra quyết định sáng suốt và đúng đắn, đồng thời ngăn chặn nhiều người trở thành nạn nhân của Rug Pull .
