- Chủ đề
60k Phổ biến
19k Phổ biến
6k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
12k Phổ biến
2k Phổ biến
- Ghim
60k Phổ biến
19k Phổ biến
6k Phổ biến
4k Phổ biến
4k Phổ biến
29k Phổ biến
16k Phổ biến
22k Phổ biến
12k Phổ biến
2k Phổ biến
Hệ sinh thái Token Ethereum đang âm thầm dậy sóng: Gần một nửa số đồng tiền mới bị nghi ngờ lừa đảo, thiệt hại lên tới 8 tỷ USD
Điều tra sâu về các trường hợp Rug Pull, tiết lộ những bất ổn trong hệ sinh thái token Ethereum
Giới thiệu
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn đã bao giờ tự hỏi, mỗi ngày có bao nhiêu token mới được phát hành? Những token mới này có an toàn không?
Những nghi vấn này không phải là vô căn cứ. Trong vài tháng qua, đội ngũ an ninh đã phát hiện ra nhiều trường hợp giao dịch Rug Pull. Đáng chú ý là, tất cả các mã thông báo liên quan trong các trường hợp này đều là những mã thông báo mới vừa được đưa lên chuỗi.
Sau đó, nhóm an ninh đã tiến hành điều tra sâu về những trường hợp Rug Pull này và phát hiện ra có sự tồn tại của một băng nhóm tổ chức đứng sau, đồng thời tổng hợp các đặc điểm mô hình của những trò lừa đảo này. Qua việc phân tích sâu sắc các phương thức hoạt động của những băng nhóm này, đã phát hiện ra một khả năng về con đường phát tán lừa đảo của băng nhóm Rug Pull: nhóm Telegram. Những băng nhóm này lợi dụng chức năng "New Token Tracer" trong một số nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng thu lợi qua Rug Pull.
Đã thống kê thông tin đẩy token từ các nhóm Telegram trong khoảng thời gian từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, phát hiện tổng cộng có 93,930 loại token mới được đẩy, trong đó có 46,526 loại token liên quan đến Rug Pull, chiếm tỷ lệ lên tới 49.53%. Theo thống kê, tổng chi phí đầu tư của các nhóm đứng sau những token Rug Pull này là 149,813.72 Ether, và đã thu lợi với tỷ suất lợi nhuận lên tới 188.7%, thu về 282,699.96 Ether, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ của các token mới được推送 trong nhóm Telegram trên mạng chính của Ethereum, dữ liệu về các token mới phát hành trên mạng chính của Ethereum trong cùng khoảng thời gian đã được thống kê. Dữ liệu cho thấy trong khoảng thời gian này có tổng cộng 100,260 loại token mới được phát hành, trong đó các token được推送 qua nhóm Telegram chiếm 89.99% mạng chính. Trung bình mỗi ngày có khoảng 370 loại token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi tiến hành điều tra sâu hơn, sự thật được phát hiện là đáng lo ngại - có ít nhất 48,265 loại token liên quan đến lừa đảo Rug Pull, chiếm tỷ lệ lên tới 48.14%. Nói cách khác, gần như mỗi hai token mới trên mạng chính của Ethereum thì có một token liên quan đến lừa đảo.
Ngoài ra, cũng đã phát hiện thêm nhiều trường hợp Rug Pull trên các mạng blockchain khác. Điều này có nghĩa là không chỉ mạng chính Ethereum, mà toàn bộ hệ sinh thái token mới trong Web3 đang có tình trạng an ninh nghiêm trọng hơn dự kiến. Do đó, hy vọng có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ cảnh giác khi đối mặt với những trò lừa đảo liên tiếp và kịp thời thực hiện các biện pháp phòng ngừa cần thiết, bảo vệ an toàn tài sản của mình.
ERC-20 Token
Trước khi bắt đầu báo cáo này, chúng ta hãy tìm hiểu một số khái niệm cơ bản.
ERC-20 Token là một trong những tiêu chuẩn token phổ biến nhất hiện nay trên blockchain, nó định nghĩa một tập hợp các quy định để token có thể tương tác giữa các hợp đồng thông minh khác nhau và các ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển nhượng, truy vấn số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, từ đó đơn giản hóa việc tạo ra và sử dụng token. Thực tế, bất kỳ cá nhân hay tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi đầu cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của ERC-20 Token, nó đã trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.
USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc loại ERC-20 Token, người dùng có thể mua những Token này thông qua các sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành các ERC-20 Token độc hại có mã lỗ hổng, đưa chúng lên sàn giao dịch phi tập trung và sau đó dụ dỗ người dùng thực hiện việc mua.
Rug Pull Token的典型诈骗案例
Tại đây, chúng tôi mượn một trường hợp lừa đảo token Rug Pull để đi sâu vào hiểu biết về mô hình hoạt động của lừa đảo token độc hại. Đầu tiên cần phải lưu ý rằng, Rug Pull là hành vi lừa đảo mà bên dự án đột ngột rút vốn hoặc từ bỏ dự án trong các dự án tài chính phi tập trung, dẫn đến việc các nhà đầu tư chịu thiệt hại lớn. Trong khi đó, token Rug Pull là token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.
Các đồng Rug Pull được đề cập trong bài viết này đôi khi cũng được gọi là "đồng mật (Honey Pot)" hoặc "đồng lừa đảo (Exit Scam)", nhưng trong văn bản dưới đây chúng tôi sẽ đồng nhất gọi chúng là đồng Rug Pull.
· trường hợp
Kẻ tấn công (nhóm Rug Pull) đã sử dụng địa chỉ Deployer (0x4bAF) để triển khai Token TOMMI, sau đó sử dụng 1.5 ETH và 100.000.000 TOMMI để tạo ra một bể thanh khoản, và chủ động mua Token TOMMI thông qua các địa chỉ khác để giả mạo khối lượng giao dịch bể thanh khoản nhằm thu hút người dùng và các robot mới trên chuỗi mua Token TOMMI. Khi có một số lượng robot mới nhất định bị lừa, kẻ tấn công đã sử dụng địa chỉ Rug Puller (0x43a9) để thực hiện Rug Pull, Rug Puller đã dùng 38.739.354 TOMMI để phá hủy bể thanh khoản, đổi lấy khoảng 3.95 ETH. Nguồn Token của Rug Puller đến từ việc cấp quyền Approve độc hại từ hợp đồng Token TOMMI, khi hợp đồng Token TOMMI được triển khai sẽ cấp quyền approve cho Rug Puller từ bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp rút Token TOMMI từ bể thanh khoản và sau đó thực hiện Rug Pull.
· Địa chỉ liên quan
· Giao dịch liên quan
· Quy trình Rug Pull
1. Chuẩn bị quỹ tấn công.
Kẻ tấn công thông qua sàn giao dịch tập trung, nạp 2.47309009 Ether vào Token Deployer (0x4bAF) như là vốn khởi đầu cho Rug Pull.
2. Triển khai Token Rug Pull có cửa hậu.
Deployer tạo ra token TOMMI, khai thác trước 100,000,000 coin và phân bổ cho bản thân.
3. Tạo hồ thanh khoản ban đầu.
Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo ra một bể thanh khoản, nhận được khoảng 0.387 LP Token.
4. Hủy bỏ toàn bộ nguồn cung Token đã được khai thác trước.
Token Deployer gửi tất cả LP Token đến địa chỉ 0 để tiêu hủy, vì hợp đồng TOMMI không có chức năng Mint, do đó, vào thời điểm này, Token Deployer về lý thuyết đã mất khả năng Rug Pull. (Đây cũng là một trong những điều kiện cần thiết để thu hút robot tham gia đấu giá mới, một số robot đấu giá mới sẽ đánh giá xem token mới vào hồ có tồn tại rủi ro Rug Pull hay không, Deployer cũng sẽ đặt Owner của hợp đồng thành địa chỉ 0, tất cả đều nhằm lừa qua chương trình phản gian lận của robot đấu giá mới).
5. Khối lượng giao dịch giả mạo.
Kẻ tấn công chủ động mua Token TOMMI từ nhiều địa chỉ khác nhau trong bể thanh khoản, làm tăng khối lượng giao dịch của bể, từ đó thu hút thêm robot tham gia vào đợt mở bán mới (căn cứ xác định những địa chỉ này là giả mạo của kẻ tấn công: nguồn tiền của các địa chỉ liên quan đến từ địa chỉ chuyển tiền lịch sử của băng nhóm Rug Pull).
Kẻ tấn công đã phát động Rug Pull thông qua địa chỉ Rug Puller (0x43A9), trực tiếp chuyển 38,739,354 Token từ bể thanh khoản thông qua cửa sau của token, sau đó dùng những token này để đè bể, rút ra khoảng 3.95 ETH.
Kẻ tấn công đã gửi số tiền thu được từ Rug Pull đến địa chỉ trung gian 0xD921.
Địa chỉ trung gian 0xD921 đã gửi tiền đến địa chỉ giữ tiền 0x2836. Từ đây chúng ta có thể thấy rằng, khi Rug Pull hoàn thành, Rug Puller sẽ gửi tiền đến một địa chỉ giữ tiền nào đó. Địa chỉ giữ tiền là nơi tập trung quỹ của nhiều trường hợp Rug Pull đã được phát hiện, địa chỉ giữ tiền sẽ phân chia phần lớn số tiền nhận được để bắt đầu một vòng Rug Pull mới, trong khi số tiền còn lại sẽ được rút qua sàn giao dịch tập trung. Đã phát hiện một số địa chỉ giữ tiền, 0x2836 là một trong số đó.
· Mã cửa hậu Rug Pull
Mặc dù kẻ tấn công đã cố gắng chứng minh với bên ngoài rằng họ không thể thực hiện Rug Pull bằng cách hủy bỏ LP token, nhưng thực tế kẻ tấn công đã để lại một cửa hậu độc hại trong hàm openTrading của hợp đồng TOMMI token. Cửa hậu này sẽ cho phép khi tạo ra pool thanh khoản, pool thanh khoản sẽ cấp quyền chuyển token cho địa chỉ Rug Puller, cho phép địa chỉ Rug Puller có thể trực tiếp rút token từ pool thanh khoản.
Chức năng openTrading chủ yếu được thực hiện để tạo ra các bể thanh khoản mới, nhưng kẻ tấn công đã gọi hàm cửa sau onInit trong hàm này, cho phép uniswapV2Pair cấp quyền chuyển Token với số lượng là type(uint256) đến địa chỉ _chefAddress. Trong đó, uniswapV2Pair là địa chỉ của bể thanh khoản, _chefAddress là địa chỉ Rug Puller, _chefAddress được chỉ định khi triển khai hợp đồng.
· Mô hình tội phạm
Bằng cách phân tích trường hợp TOMMI, chúng ta có thể tổng kết ra 4 đặc điểm sau:
Deployer nhận được nguồn vốn từ sàn giao dịch tập trung: Kẻ tấn công trước tiên cung cấp nguồn vốn cho địa chỉ của người triển khai (Deployer) thông qua sàn giao dịch tập trung.
Deployer tạo pool thanh khoản và tiêu hủy Token LP: Sau khi triển khai token Rug Pull, nhà triển khai sẽ ngay lập tức tạo pool thanh khoản cho nó và tiêu hủy Token LP để tăng độ tin cậy của dự án, thu hút nhiều nhà đầu tư hơn.
Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản: Địa chỉ Rug Pull (Rug Puller) sử dụng một lượng lớn Token (thường là số lượng vượt quá tổng cung của Token) để đổi lấy ETH trong bể thanh khoản. Trong một số trường hợp khác, Rug Puller cũng có trường hợp lấy ETH trong bể bằng cách loại bỏ thanh khoản.
Rug Puller sẽ chuyển ETH thu được từ Rug Pull sang địa chỉ giữ tiền: Rug Puller sẽ chuyển ETH đã nhận được đến địa chỉ giữ tiền, đôi khi thông qua một địa chỉ trung gian để quá độ.
Các đặc điểm trên thường xuất hiện trong các trường hợp bị bắt, điều này cho thấy hành vi Rug Pull có những đặc điểm rõ ràng về tính mô hình. Hơn nữa, sau khi hoàn thành Rug Pull, tiền thường sẽ