Khám Phá Những Thực Trạng Rối Ren Trong Hệ Sinh Thái Token Ethereum: Điều Tra Sâu Về Các Trường Hợp Rug Pull

Giới thiệu

Trong thế giới Web3, các Token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi, mỗi ngày thực sự có bao nhiêu Token mới được phát hành? Những Token mới này có an toàn không?

Những nghi vấn này không phải là vô lý. Trong vài tháng qua, đội ngũ an ninh đã phát hiện ra một lượng lớn các trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các token liên quan đến các trường hợp này đều là những token mới vừa được đưa lên chuỗi.

Sau khi tiến hành điều tra sâu về các trường hợp Rug Pull này, phát hiện có sự tồn tại của các băng nhóm tổ chức đứng sau, và tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Bằng cách phân tích phương thức hoạt động của các băng nhóm này, đã phát hiện một phương thức quảng bá lừa đảo khả thi của nhóm Rug Pull: Nhóm Telegram. Các băng nhóm này tận dụng tính năng "theo dõi token mới" trong nhóm để thu hút người dùng mua token lừa đảo và cuối cùng kiếm lợi từ việc Rug Pull.

Thống kê cho thấy, từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram này đã đẩy mạnh 93,930 loại Token mới, trong đó có 46,526 loại Token liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49.53%. Tổng chi phí đầu tư của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, và họ đã thu lợi với tỷ suất hoàn vốn lên tới 188.7%, tương đương 282,699.96 Ether, khoảng 800 triệu USD.

Để đánh giá tỷ lệ của các Token mới được推送 từ nhóm Telegram trên mạng chính Ethereum, đã thống kê dữ liệu về các Token mới phát hành trên mạng chính Ethereum trong cùng một khoảng thời gian. Dữ liệu cho thấy, trong thời gian này, có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được推送 từ nhóm Telegram chiếm 89.99% trên mạng chính. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra kỹ lưỡng, phát hiện ra rằng ít nhất 48,265 Token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ cao tới 48.14%. Nói cách khác, trên mạng chính Ethereum, gần như cứ hai Token mới thì có một Token liên quan đến lừa đảo.

Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà tình trạng an ninh của toàn bộ hệ sinh thái token mới phát sinh của Web3 còn nghiêm trọng hơn nhiều so với dự kiến. Hy vọng báo cáo này có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ vững tinh thần cảnh giác khi đối mặt với những trò lừa đảo liên tiếp, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết, bảo vệ an toàn tài sản của mình.

ERC-20 Token ( Token )

Trước khi chính thức bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.

ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một tập hợp các quy định, cho phép token có thể hoạt động tương tác giữa các hợp đồng thông minh và các ứng dụng phi tập trung (dApp) khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển khoản, kiểm tra số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ có giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo và sử dụng token. Thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi đầu cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.

USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc về token ERC-20, người dùng có thể mua những token này thông qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành những token ERC-20 độc hại có mã lỗ hổng, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng thực hiện việc mua.

Rug Pull Token的典型诈骗案例

Tại đây, chúng tôi mượn một trường hợp lừa đảo Token Rug Pull để hiểu sâu về mô hình vận hành của lừa đảo Token độc hại. Đầu tiên cần phải nói rõ rằng, Rug Pull là hành vi gian lận mà bên dự án đột ngột rút tiền hoặc bỏ rơi dự án trong các dự án tài chính phi tập trung, dẫn đến việc nhà đầu tư chịu tổn thất lớn. Còn Token Rug Pull thì là Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.

Các Token Rug Pull được đề cập trong bài viết này, đôi khi cũng được gọi là "Token bẫy mật" hoặc "Token lừa đảo thoát", nhưng trong phần dưới đây chúng tôi sẽ đồng nhất gọi chúng là Token Rug Pull.

trường hợp

Kẻ tấn công ( băng nhóm Rug Pull ) đã triển khai đồng TOMMI bằng địa chỉ Deployer ( 0x4bAF ), sau đó sử dụng 1.5 ETH và 100,000,000 TOMMI để tạo ra một bể thanh khoản, và thông qua các địa chỉ khác chủ động mua đồng TOMMI để giả mạo khối lượng giao dịch bể thanh khoản nhằm thu hút người dùng và các bot mua mới trên chuỗi mua đồng TOMMI. Khi có một số lượng bot mua mới bị lừa, kẻ tấn công sử dụng địa chỉ Rug Puller ( 0x43a9) để thực hiện Rug Pull, Rug Puller đã dùng 38,739,354 TOMMI để phá vỡ bể thanh khoản, đổi lấy khoảng 3.95 ETH. Nguồn gốc của token Rug Puller đến từ sự phê duyệt ác ý trong hợp đồng token TOMMI, khi hợp đồng token TOMMI được triển khai sẽ cấp quyền phê duyệt bể thanh khoản cho Rug Puller, điều này cho phép Rug Puller có thể trực tiếp rút TOMMI từ bể thanh khoản rồi thực hiện Rug Pull.

địa chỉ liên quan

• Deployer:0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
• TOMMI Token:0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
• Rug Puller:0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
• Người lừa đảo Rug Pull giả dạng người dùng ( trong số đó ):0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
• Địa chỉ chuyển tiền Rug Pull:0x1d3970677aa2324E4822b293e500220958d493d0
• Địa chỉ lưu giữ tiền Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722

giao dịch liên quan

• Deployer lấy vốn khởi động từ một sàn giao dịch: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
• Triển khai Token TOMMI:0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
• Tạo bể thanh khoản:0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
• Địa chỉ chuyển tiền gửi tiền cho một trong những người dùng giả mạo (:0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
• Ngụy trang người dùng mua Token ) trong số đó (:0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
• Rug Pull:0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
• Rug Pull sẽ gửi số tiền thu được đến địa chỉ trung gian: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
• Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7

) Quy trình Rug Pull

1. Chuẩn bị vốn tấn công.

Kẻ tấn công thông qua một sàn giao dịch, nạp 2.47309009ETH vào Token Deployer###0x4bAF( như là vốn khởi động cho Rug Pull.

2. Triển khai Token Rug Pull có lỗ hổng.

Deployer tạo ra TOMMI Token, khai thác trước 100,000,000 coin và phân phối cho chính mình.

3. Tạo hồ chứa thanh khoản ban đầu.

Deployer sử dụng 1.5 ETH và tất cả các Token được khai thác trước để tạo ra một bể thanh khoản, nhận được khoảng 0.387 LP Token.

4. Hủy bỏ toàn bộ nguồn cung cấp Token đã được khai thác trước.

Token Deployer gửi tất cả LP coin đến địa chỉ 0 để tiêu hủy, vì hợp đồng TOMMI không có chức năng Mint, do đó Token Deployer về lý thuyết đã mất khả năng Rug Pull. ) đây cũng là một trong những điều kiện cần thiết để thu hút robot đánh mới vào sân, một số robot đánh mới sẽ đánh giá xem đồng Token mới vào hồ có tồn tại rủi ro Rug Pull hay không, Deployer cũng đã đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm qua mặt chương trình chống lừa đảo của robot đánh mới (.

5. Lượng giao dịch giả.

Kẻ tấn công đã chủ động mua Token TOMMI từ nhiều địa chỉ khác nhau trong bể thanh khoản, đẩy cao khối lượng giao dịch của bể, từ đó thu hút thêm robot giao dịch mới vào cuộc ). Để xác định những địa chỉ này là của kẻ tấn công, có căn cứ từ việc các quỹ liên quan đến địa chỉ đó đến từ địa chỉ chuyển tiền của băng nhóm Rug Pull trong lịch sử (.

6. Kẻ tấn công thông qua địa chỉ Rug Puller )0x43A9( phát động Rug Pull, thông qua cửa sau của token trực tiếp rút ra 38,739,354 Token từ bể thanh khoản, sau đó dùng những token này để đẩy bể, thu về khoảng 3.95 Ether.

7. Kẻ tấn công đã gửi tiền thu được từ Rug Pull đến địa chỉ trung gian 0xD921.

8. Địa chỉ trung chuyển 0xD921 đã gửi tiền đến địa chỉ giữ tiền 0x2836. Từ đây chúng ta có thể thấy, khi Rug Pull hoàn tất, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi chúng tôi đã theo dõi được nhiều trường hợp Rug Pull, địa chỉ giữ tiền sẽ chia tách phần lớn số tiền đã nhận để bắt đầu một vòng Rug Pull mới, trong khi phần còn lại sẽ được rút qua một sàn giao dịch nào đó. Chúng tôi đã phát hiện nhiều địa chỉ giữ tiền, 0x2836 là một trong số đó.

) Mã Rug Pull cửa hậu

Mặc dù kẻ tấn công đã cố gắng chứng minh với bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách hủy LP Token, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này sẽ cho phép khi tạo pool thanh khoản thì pool thanh khoản sẽ phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến địa chỉ Rug Puller có thể trực tiếp rút Token từ pool thanh khoản.

Cách triển khai hàm openTrading như sau, chức năng chính của nó là tạo ra một bể thanh khoản mới, nhưng kẻ tấn công đã gọi hàm backdoor onInit trong hàm này, cho phép uniswapV2Pair phê duyệt số lượng bằng type###uint256( để chuyển quyền cho Token tại địa chỉ _chefAddress. Trong đó, uniswapV2Pair là địa chỉ bể thanh khoản, _chefAddress là địa chỉ Rug Puller, _chefAddress được chỉ định khi triển khai hợp đồng.

![Điều tra sâu về các trường hợp Rug Pull, tiết lộ những hỗn loạn trong hệ sinh thái token Ethereum])https://img-cdn.gateio.im/webp-social/moments-e5f43d39fa77597ff8f872a1d98cd3ac.webp(

) mô hình phạm tội

Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể tóm tắt 4 đặc điểm sau:

1. Deployer nhận được nguồn vốn từ một sàn giao dịch: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ ###Deployer( thông qua một sàn giao dịch.

2. Deployer tạo ra bể thanh khoản và hủy LP Token: Người triển khai ngay sau khi tạo ra Token Rug Pull sẽ lập tức tạo ra bể thanh khoản cho nó và hủy LP Token, nhằm tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.

3. Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong pool thanh khoản: Địa chỉ Rug Pull )Rug Puller( sử dụng một lượng lớn Token ) thường vượt quá tổng cung của Token ( để đổi lấy ETH trong pool thanh khoản. Ở những trường hợp khác, Rug Puller cũng có thể lấy ETH trong pool bằng cách loại bỏ thanh khoản.

4. Rug Puller sẽ chuyển ETH thu được từ Rug Pull đến địa chỉ giữ vốn: Rug Puller sẽ chuyển ETH nhận được đến địa chỉ giữ vốn, đôi khi thông qua địa chỉ trung gian để chuyển tiếp.

Những đặc điểm trên thường xuất hiện trong các trường hợp mà chúng tôi đã ghi nhận, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng theo mô hình. Ngoài ra, sau khi hoàn thành Rug Pull, vốn thường được tập hợp vào một địa chỉ giữ tiền, điều này gợi ý rằng những trường hợp Rug Pull có vẻ độc lập này có thể liên quan đến cùng một nhóm lừa đảo hoặc thậm chí cùng một băng nhóm.

Dựa trên những đặc điểm này, chúng tôi đã trích xuất một mô hình hành vi Rug Pull và sử dụng mô hình này để quét phát hiện các trường hợp đã được giám sát, với hy vọng xây dựng được chân dung của các băng nhóm lừa đảo có thể.

Nhóm tội phạm Rug Pull

) Địa chỉ giữ lại quỹ khai thác

Như đã đề cập trước đó, các trường hợp Rug Pull thường xảy ra ở mức