Điều tra sâu về các trường hợp Rug Pull, tiết lộ những hỗn loạn trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi có bao nhiêu token mới được phát hành mỗi ngày? Những token mới này có an toàn không?
Những câu hỏi này không phải là không có lý do. Trong vài tháng qua, một nhóm an ninh đã ghi nhận được một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các loại Token liên quan đến các trường hợp này đều là những Token mới vừa được đưa lên chuỗi.
Sau đó, đội ngũ đã tiến hành điều tra sâu về những trường hợp Rug Pull này, phát hiện có sự tồn tại của các băng nhóm tổ chức đứng sau, và đã tổng kết các đặc điểm mô hình hóa của những trò lừa đảo này. Thông qua việc phân tích sâu về phương pháp hoạt động của những băng nhóm này, đã phát hiện một khả năng về con đường quảng bá lừa đảo của băng nhóm Rug Pull: nhóm Telegram. Những băng nhóm này lợi dụng chức năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng kiếm lợi từ việc Rug Pull.
Nhóm đã thống kê thông tin đẩy token từ các nhóm Telegram này trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng đã đẩy 93,930 loại token mới, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau các token Rug Pull này là 149,813.72 ETH, và đã thu lợi với tỷ suất hoàn vốn lên tới 188.7%, đạt được 282,699.96 ETH, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các đồng token mới được phát hành qua nhóm Telegram trên mạng chính Ethereum, nhóm đã thống kê dữ liệu về các token mới phát hành trên mạng chính Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy trong khoảng thời gian này có tổng cộng 100,260 loại token mới được phát hành, trong đó các token được phát hành qua nhóm Telegram chiếm 89.99% trên mạng chính. Trung bình mỗi ngày có khoảng 370 loại token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện là đáng lo ngại - ít nhất 48,265 loại token liên quan đến gian lận Rug Pull, chiếm tỷ lệ cao tới 48.14%. Nói cách khác, trên mạng chính Ethereum, gần như cứ hai token mới thì có một token liên quan đến gian lận.
Ngoài ra, nhóm cũng đã phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình hình an ninh của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, nhóm đã viết báo cáo nghiên cứu này với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo liên tiếp xuất hiện và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi chính thức bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy tắc để token có thể tương tác giữa các hợp đồng thông minh và các ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, kiểm tra số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về loại ERC-20 Token, người dùng có thể mua những Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các ERC-20 Token độc hại có mã cửa sau, niêm yết chúng trên sàn giao dịch phi tập trung, rồi dụ dỗ người dùng mua.
Các trường hợp lừa đảo điển hình về Rug Pull Token
Tại đây, chúng tôi mượn một trường hợp lừa đảo Token Rug Pull để tìm hiểu sâu về mô hình hoạt động của các lừa đảo Token độc hại. Trước tiên cần lưu ý rằng, Rug Pull chỉ hành vi lừa đảo mà nhóm dự án đột ngột rút tiền hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Còn Token Rug Pull là các Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các Token Rug Pull được đề cập trong bài viết này, đôi khi còn được gọi là "Token Honey Pot" hoặc "Token Exit Scam", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (nhóm Rug Pull) đã sử dụng địa chỉ Deployer (0x4bAF) để triển khai đồng TOMMI, sau đó sử dụng 1.5 ETH và 100,000,000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua đồng TOMMI thông qua các địa chỉ khác để giả mạo khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và các bot giao dịch mới trên chuỗi mua đồng TOMMI. Khi có một số lượng bot giao dịch mới nhất định bị lừa, kẻ tấn công sử dụng địa chỉ Rug Puller (0x43a9) để thực hiện Rug Pull, Rug Puller đã dùng 38,739,354 TOMMI để dìm bể thanh khoản, đổi lấy khoảng 3.95 ETH. Nguồn gốc token của Rug Puller đến từ việc phê duyệt độc hại trên hợp đồng đồng TOMMI, hợp đồng đồng TOMMI khi triển khai sẽ cấp quyền approve cho Rug Puller đối với bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút đồng TOMMI từ bể thanh khoản và thực hiện Rug Pull.
Rug Pull chuyển tiền thu được đến địa chỉ trung gian: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
Địa chỉ trung chuyển sẽ gửi tiền đến địa chỉ giữ tiền: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
Quy trình Rug Pull
Chuẩn bị quỹ tấn công.
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer (0x4bAF) thông qua sàn giao dịch tập trung như vốn khởi động cho Rug Pull.
Triển khai Token Rug Pull có lỗ hổng.
Deployer tạo ra Token TOMMI, khai thác trước 100.000.000 Token và phân phối cho chính mình.
Tạo bể thanh khoản ban đầu.
Deployer sử dụng 1.5 ETH và tất cả các Token được khai thác trước để tạo ra bể thanh khoản, nhận được khoảng 0.387 LP Token.
Hủy bỏ toàn bộ nguồn cung cấp Token đã được khai thác trước.
Token Deployer gửi tất cả LP token đến địa chỉ 0 để hủy, vì hợp đồng TOMMI không có chức năng Mint, nên vào thời điểm này Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút robot tham gia đấu thầu mới, một số robot đấu thầu mới sẽ đánh giá xem token mới vào pool có tồn tại rủi ro Rug Pull hay không, Deployer cũng đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm để lừa qua chương trình chống lừa đảo của robot đấu thầu mới).
Khối lượng giao dịch giả.
Kẻ tấn công sử dụng nhiều địa chỉ để chủ động mua Token TOMMI từ bể thanh khoản, đẩy cao khối lượng giao dịch của bể, từ đó thu hút những con bot mới vào (căn cứ để xác định các địa chỉ này là giả mạo của kẻ tấn công: quỹ của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của nhóm Rug Pull).
Kẻ tấn công đã phát động Rug Pull thông qua địa chỉ Rug Puller (0x43A9), trực tiếp chuyển 38,739,354 Token từ hồ thanh khoản thông qua cửa hậu của token, sau đó sử dụng những token này để phá hủy hồ, rút khoảng 3.95 Ether.
Kẻ tấn công đã gửi tiền thu được từ Rug Pull đến địa chỉ trung gian 0xD921.
Địa chỉ trung gian 0xD921 đã gửi tiền đến địa chỉ lưu giữ quỹ 0x2836. Từ đây, chúng ta có thể thấy rằng, khi Rug Pull hoàn thành, người thực hiện Rug Pull sẽ gửi tiền đến một địa chỉ lưu giữ quỹ nào đó. Địa chỉ lưu giữ quỹ là nơi chúng tôi đã theo dõi được rất nhiều trường hợp Rug Pull, địa chỉ lưu giữ quỹ sẽ phân chia hầu hết số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua sàn giao dịch tập trung. Chúng tôi đã phát hiện ra một số địa chỉ lưu giữ quỹ, 0x2836 là một trong số đó.
Mã sau lưng Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép khi tạo ra nhóm thanh khoản, nhóm thanh khoản sẽ phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp rút Token từ nhóm thanh khoản.
Việc triển khai hàm openTrading được thể hiện trong hình 9, chức năng chính của nó là tạo ra các bể thanh khoản mới, nhưng kẻ tấn công
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
4
Đăng lại
Chia sẻ
Bình luận
0/400
WalletInspector
· 08-12 14:21
Tên lừa đảo lại khóa Ví tiền rồi.
Xem bản gốcTrả lời0
MEVictim
· 08-12 14:12
Thị trường tồi tệ này còn muốn làm coin mới? Rug Pull
Xem bản gốcTrả lời0
MetaMaskVictim
· 08-12 14:08
Được chơi cho Suckers việc này khi nào mới chấm dứt đây?
Xem bản gốcTrả lời0
PebbleHander
· 08-12 13:58
Thật là vô lý, tiền không được kiểm tra sự tuân thủ?
Ethereum Token mới lên đến 48% liên quan đến bẫy Rug Pull và băng nhóm đã rút 800 triệu đô la.
Điều tra sâu về các trường hợp Rug Pull, tiết lộ những hỗn loạn trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi có bao nhiêu token mới được phát hành mỗi ngày? Những token mới này có an toàn không?
Những câu hỏi này không phải là không có lý do. Trong vài tháng qua, một nhóm an ninh đã ghi nhận được một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các loại Token liên quan đến các trường hợp này đều là những Token mới vừa được đưa lên chuỗi.
Sau đó, đội ngũ đã tiến hành điều tra sâu về những trường hợp Rug Pull này, phát hiện có sự tồn tại của các băng nhóm tổ chức đứng sau, và đã tổng kết các đặc điểm mô hình hóa của những trò lừa đảo này. Thông qua việc phân tích sâu về phương pháp hoạt động của những băng nhóm này, đã phát hiện một khả năng về con đường quảng bá lừa đảo của băng nhóm Rug Pull: nhóm Telegram. Những băng nhóm này lợi dụng chức năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng kiếm lợi từ việc Rug Pull.
Nhóm đã thống kê thông tin đẩy token từ các nhóm Telegram này trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng đã đẩy 93,930 loại token mới, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các băng nhóm đứng sau các token Rug Pull này là 149,813.72 ETH, và đã thu lợi với tỷ suất hoàn vốn lên tới 188.7%, đạt được 282,699.96 ETH, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các đồng token mới được phát hành qua nhóm Telegram trên mạng chính Ethereum, nhóm đã thống kê dữ liệu về các token mới phát hành trên mạng chính Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy trong khoảng thời gian này có tổng cộng 100,260 loại token mới được phát hành, trong đó các token được phát hành qua nhóm Telegram chiếm 89.99% trên mạng chính. Trung bình mỗi ngày có khoảng 370 loại token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra sâu hơn, sự thật được phát hiện là đáng lo ngại - ít nhất 48,265 loại token liên quan đến gian lận Rug Pull, chiếm tỷ lệ cao tới 48.14%. Nói cách khác, trên mạng chính Ethereum, gần như cứ hai token mới thì có một token liên quan đến gian lận.
Ngoài ra, nhóm cũng đã phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình hình an ninh của toàn bộ hệ sinh thái token mới trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, nhóm đã viết báo cáo nghiên cứu này với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác trước những trò lừa đảo liên tiếp xuất hiện và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi chính thức bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy tắc để token có thể tương tác giữa các hợp đồng thông minh và các ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, kiểm tra số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về loại ERC-20 Token, người dùng có thể mua những Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các ERC-20 Token độc hại có mã cửa sau, niêm yết chúng trên sàn giao dịch phi tập trung, rồi dụ dỗ người dùng mua.
Các trường hợp lừa đảo điển hình về Rug Pull Token
Tại đây, chúng tôi mượn một trường hợp lừa đảo Token Rug Pull để tìm hiểu sâu về mô hình hoạt động của các lừa đảo Token độc hại. Trước tiên cần lưu ý rằng, Rug Pull chỉ hành vi lừa đảo mà nhóm dự án đột ngột rút tiền hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Còn Token Rug Pull là các Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các Token Rug Pull được đề cập trong bài viết này, đôi khi còn được gọi là "Token Honey Pot" hoặc "Token Exit Scam", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.
trường hợp
Kẻ tấn công (nhóm Rug Pull) đã sử dụng địa chỉ Deployer (0x4bAF) để triển khai đồng TOMMI, sau đó sử dụng 1.5 ETH và 100,000,000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua đồng TOMMI thông qua các địa chỉ khác để giả mạo khối lượng giao dịch của bể thanh khoản nhằm thu hút người dùng và các bot giao dịch mới trên chuỗi mua đồng TOMMI. Khi có một số lượng bot giao dịch mới nhất định bị lừa, kẻ tấn công sử dụng địa chỉ Rug Puller (0x43a9) để thực hiện Rug Pull, Rug Puller đã dùng 38,739,354 TOMMI để dìm bể thanh khoản, đổi lấy khoảng 3.95 ETH. Nguồn gốc token của Rug Puller đến từ việc phê duyệt độc hại trên hợp đồng đồng TOMMI, hợp đồng đồng TOMMI khi triển khai sẽ cấp quyền approve cho Rug Puller đối với bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút đồng TOMMI từ bể thanh khoản và thực hiện Rug Pull.
địa chỉ liên quan
giao dịch liên quan
Quy trình Rug Pull
Kẻ tấn công đã nạp 2.47309009ETH vào Token Deployer (0x4bAF) thông qua sàn giao dịch tập trung như vốn khởi động cho Rug Pull.
Deployer tạo ra Token TOMMI, khai thác trước 100.000.000 Token và phân phối cho chính mình.
Deployer sử dụng 1.5 ETH và tất cả các Token được khai thác trước để tạo ra bể thanh khoản, nhận được khoảng 0.387 LP Token.
Token Deployer gửi tất cả LP token đến địa chỉ 0 để hủy, vì hợp đồng TOMMI không có chức năng Mint, nên vào thời điểm này Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Điều này cũng là một trong những điều kiện cần thiết để thu hút robot tham gia đấu thầu mới, một số robot đấu thầu mới sẽ đánh giá xem token mới vào pool có tồn tại rủi ro Rug Pull hay không, Deployer cũng đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm để lừa qua chương trình chống lừa đảo của robot đấu thầu mới).
Kẻ tấn công sử dụng nhiều địa chỉ để chủ động mua Token TOMMI từ bể thanh khoản, đẩy cao khối lượng giao dịch của bể, từ đó thu hút những con bot mới vào (căn cứ để xác định các địa chỉ này là giả mạo của kẻ tấn công: quỹ của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của nhóm Rug Pull).
Mã sau lưng Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép khi tạo ra nhóm thanh khoản, nhóm thanh khoản sẽ phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp rút Token từ nhóm thanh khoản.
Việc triển khai hàm openTrading được thể hiện trong hình 9, chức năng chính của nó là tạo ra các bể thanh khoản mới, nhưng kẻ tấn công