Điều tra sâu về các trường hợp Rug Pull, tiết lộ những bất ổn trong hệ sinh thái token Ethereum

Giới thiệu

Trong thế giới Web3, các token mới liên tục xuất hiện. Mỗi ngày có bao nhiêu token mới được phát hành? Những token mới này có an toàn không?

Những vấn đề này không phải tự dưng xảy ra. Trong vài tháng qua, đội ngũ an ninh đã ghi nhận một lượng lớn các vụ giao dịch Rug Pull, tất cả các Token liên quan đều là những Token mới vừa được lên chuỗi.

Sau khi điều tra sâu, phát hiện có sự tồn tại của một băng nhóm tổ chức đứng sau, và đã tổng hợp các đặc điểm mô hình hóa của những trò lừa đảo này. Qua việc phân tích phương thức hoạt động của băng nhóm, phát hiện một khả năng lừa đảo của băng nhóm Rug Pull: nhóm Telegram. Những băng nhóm này lợi dụng chức năng "New Token Tracer" trong nhóm để thu hút người dùng mua Token lừa đảo và cuối cùng kiếm lợi từ Rug Pull.

Thống kê cho thấy, từ tháng 11 năm 2023 đến đầu tháng 8 năm 2024, các nhóm Telegram đã gửi đi tổng cộng 93,930 loại Token mới, trong đó có 46,526 loại Token liên quan đến Rug Pull, chiếm 49.53%. Tổng chi phí đầu tư của các băng nhóm đứng sau những Token Rug Pull này là 149,813.72 Ether, với tỷ lệ lợi nhuận 188.7% thu về 282,699.96 Ether, tương đương khoảng 800 triệu USD.

Để đánh giá tỷ lệ của các Token mới được phát hành qua nhóm Telegram trên mạng chính của Ethereum, dữ liệu về các Token mới phát hành trên mạng chính của Ethereum trong cùng một khoảng thời gian đã được thống kê. Dữ liệu cho thấy, trong thời gian này có tổng cộng 100,260 Token mới được phát hành, trong đó các Token được phát hành qua nhóm Telegram chiếm 89.99%. Trung bình mỗi ngày có khoảng 370 Token mới ra đời, vượt xa kỳ vọng hợp lý. Sau khi điều tra sâu, phát hiện rằng ít nhất 48,265 Token liên quan đến gian lận Rug Pull, chiếm tỷ lệ 48.14%. Nói cách khác, gần như mỗi hai Token mới trên mạng chính Ethereum thì có một Token liên quan đến gian lận.

Ngoài ra, còn phát hiện thêm nhiều trường hợp Rug Pull trên các mạng lưới blockchain khác. Điều này có nghĩa là tình hình an toàn của toàn bộ hệ sinh thái token mới phát hành trong Web3 nghiêm trọng hơn nhiều so với dự kiến. Do đó, báo cáo nghiên cứu này đã được viết ra với hy vọng có thể giúp tất cả các thành viên Web3 nâng cao nhận thức phòng ngừa, giữ vững sự cảnh giác khi đối mặt với các trò lừa đảo liên tiếp, và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của mình.

ERC-20 Token

Token ERC-20 là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, nó định nghĩa một bộ quy tắc, cho phép token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung khác nhau. Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token, chẳng hạn như chuyển tiền, kiểm tra số dư, ủy quyền cho bên thứ ba quản lý token, v.v. Nhờ vào giao thức tiêu chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, do đó đơn giản hóa việc tạo ra và sử dụng token. Trên thực tế, bất kỳ cá nhân hoặc tổ chức nào cũng có thể phát hành token của riêng mình dựa trên tiêu chuẩn ERC-20 và huy động vốn khởi động cho các dự án tài chính khác nhau thông qua việc bán trước token. Chính vì sự ứng dụng rộng rãi của token ERC-20, nó đã trở thành nền tảng cho nhiều dự án ICO và tài chính phi tập trung.

USDT, PEPE, DOGE mà chúng ta quen thuộc đều thuộc loại ERC-20 Token, người dùng có thể mua những Token này thông qua sàn giao dịch phi tập trung. Tuy nhiên, một số băng nhóm lừa đảo cũng có thể tự phát hành những ERC-20 Token độc hại có mã backdoor, đưa chúng lên sàn giao dịch phi tập trung, sau đó dụ dỗ người dùng mua.

Các trường hợp lừa đảo điển hình của Token Rug Pull

Dưới đây là một trường hợp lừa đảo Token Rug Pull, tìm hiểu sâu về mô hình hoạt động của lừa đảo Token độc hại. Trước tiên cần làm rõ, Rug Pull có nghĩa là hành vi lừa đảo mà bên phát triển dự án trong các dự án tài chính phi tập trung đột ngột rút tiền hoặc từ bỏ dự án, gây ra thiệt hại lớn cho nhà đầu tư. Trong khi đó, Token Rug Pull là loại Token được phát hành đặc biệt để thực hiện hành vi lừa đảo này.

trường hợp

Kẻ tấn công đã sử dụng địa chỉ Deployer để triển khai Token TOMMI, sau đó sử dụng 1.5 ETH và 100,000,000 TOMMI để tạo ra bể thanh khoản, và chủ động mua Token TOMMI từ các địa chỉ khác để giả mạo khối lượng giao dịch bể thanh khoản nhằm thu hút người dùng và các bot mua mới trên chuỗi mua Token TOMMI. Khi có một số lượng bot mua mới bị lừa, kẻ tấn công sẽ sử dụng địa chỉ Rug Puller để thực hiện Rug Pull, Rug Puller đã dùng 38,739,354 TOMMI để đè bẹp bể thanh khoản, đổi lấy khoảng 3.95 ETH. Nguồn token của Rug Puller đến từ việc ủy quyền độc hại Approve trong hợp đồng Token TOMMI, hợp đồng Token TOMMI khi được triển khai sẽ cấp quyền approve cho Rug Puller trong bể thanh khoản, điều này cho phép Rug Puller có thể trực tiếp chuyển Token TOMMI ra khỏi bể thanh khoản và sau đó thực hiện Rug Pull.

Quy trình Rug Pull

1. Chuẩn bị vốn tấn công. Kẻ tấn công nạp 2.47309009ETH vào Token Deployer thông qua một sàn giao dịch làm vốn khởi động cho Rug Pull.

2. Triển khai token Rug Pull có cửa hậu. Deployer tạo token TOMMI, khai thác trước 100,000,000 token và phân phối cho chính mình.

3. Tạo bể thanh khoản ban đầu. Deployer sử dụng 1.5 ETH và tất cả các Token đã được khai thác trước để tạo bể thanh khoản, nhận được khoảng 0.387 LP Token.

4. Hủy bỏ toàn bộ số lượng Token đã được khai thác trước. Token Deployer sẽ gửi tất cả các LP Token đến địa chỉ 0 để hủy, do hợp đồng TOMMI không có chức năng Mint, vì vậy lúc này Token Deployer về lý thuyết đã mất khả năng Rug Pull.

5. Khối lượng giao dịch giả mạo. Kẻ tấn công chủ động mua Token TOMMI từ nhiều địa chỉ khác nhau trong bể thanh khoản, làm tăng khối lượng giao dịch của bể, từ đó thu hút thêm robot giao dịch mới tham gia.

6. Kẻ tấn công đã khởi xướng Rug Pull thông qua địa chỉ Rug Puller, chuyển trực tiếp 38,739,354 Token từ bể thanh khoản qua lối vào của token, sau đó dùng những Token này để đè bẹp bể, rút ra khoảng 3.95 Ether.

7. Kẻ tấn công gửi số tiền thu được từ Rug Pull đến địa chỉ trung gian.

8. Địa chỉ trung gian sẽ gửi tiền đến địa chỉ giữ tiền.

Mã lừa đảo Rug Pull

Mặc dù kẻ tấn công đã cố gắng chứng minh với thế giới rằng họ không thể thực hiện Rug Pull bằng cách tiêu hủy LP Token, nhưng thực tế là kẻ tấn công đã để lại một lỗ hổng độc hại trong hàm openTrading của hợp đồng TOMMI Token, lỗ hổng này cho phép khi tạo ra bể thanh khoản, bể thanh khoản sẽ phê duyệt quyền chuyển Token cho địa chỉ Rug Puller, khiến cho địa chỉ Rug Puller có thể trực tiếp rút Token từ bể thanh khoản.

phương pháp gây án hóa

Thông qua việc phân tích trường hợp TOMMI, chúng ta có thể tổng kết ra 4 đặc điểm sau:

1. Deployer lấy vốn từ sàn giao dịch.

2. Deployer tạo pool thanh khoản và hủy token LP.

3. Rug Puller sử dụng một lượng lớn Token để đổi lấy ETH trong bể thanh khoản.

4. Rug Puller chuyển ETH thu được từ Rug Pull đến địa chỉ giữ vốn.

Những đặc điểm này thường xuất hiện trong các trường hợp bị bắt, cho thấy hành vi Rug Pull có những đặc điểm rõ ràng về tính mẫu mực. Hơn nữa, sau khi hoàn thành Rug Pull, tiền thường được tập trung vào một địa chỉ giữ tiền, điều này gợi ý rằng có thể có cùng một nhóm lừa đảo hoặc thậm chí là cùng một băng nhóm đứng sau những trường hợp Rug Pull có vẻ độc lập này.

Băng nhóm thực hiện Rug Pull

Địa chỉ lưu trữ quỹ khai thác

Có tổng cộng 7 địa chỉ lưu trữ quỹ, các địa chỉ này liên quan đến 1.124 trường hợp Rug Pull. Các băng nhóm Rug Pull sau khi thực hiện thành công lừa đảo sẽ tập hợp lợi nhuận bất hợp pháp vào các địa chỉ lưu trữ quỹ này. Những địa chỉ lưu trữ quỹ này sẽ phân chia quỹ tồn đọng để tạo ra các Token mới trong các trò lừa đảo Rug Pull mới trong tương lai, thao túng các bể thanh khoản và các hoạt động khác. Ngoài ra, một phần nhỏ quỹ tồn đọng sẽ được rút tiền thông qua sàn giao dịch hoặc nền tảng hoán đổi tức thì.

Các địa chỉ lưu giữ quỹ này liên quan đến tổng chi phí đầu tư là 149,813.72 Ether, với tỷ suất lợi nhuận 188.7% đạt được 282,699.96 Ether, tương đương khoảng 8 triệu USD.

mối liên hệ giữa địa chỉ lưu trữ quỹ khai thác

Thông qua việc phân tích tình hình dòng tiền giữa các địa chỉ giữ vốn, có thể phân loại các địa chỉ này thành 3 tập hợp địa chỉ. Tuy nhiên, cả 3 tập hợp địa chỉ này đều thông qua cùng một hợp đồng cơ sở hạ tầng để phân tách ETH cho các hoạt động Rug Pull tiếp theo, điều này khiến cho 3 tập hợp địa chỉ có vẻ lỏng lẻo lại liên kết với nhau, hình thành một tổng thể. Điều này có thể cho thấy rằng các địa chỉ giữ vốn này thực sự thuộc về cùng một băng nhóm.

Khai thác cơ sở hạ tầng chung

Địa chỉ hạ tầng chung cho việc giữ vốn chủ yếu có hai địa chỉ. Một trong số đó bao gồm hai hàm chức năng chính "multiSendETH" và "0x7a860e7e", được sử dụng để thực hiện chuyển khoản phân chia và mua Token Rug Pull. Địa chỉ hạ tầng thứ hai có chức năng tương tự.

Việc sử dụng những cơ sở hạ tầng này có những đặc điểm rõ ràng: chỉ cần một lượng nhỏ vốn để giữ địa chỉ hoặc địa chỉ trung gian nhằm phân tách vốn, nhưng thông qua một lượng lớn địa chỉ khác để giả mạo khối lượng giao dịch của Token Rug Pull.

Khai thác nguồn vốn gây án

Trong số 1.124 trường hợp Rug Pull được phân tích, số lượng trường hợp nguồn vốn đến từ ví nóng của sàn giao dịch đã đạt tới 1.069 trường hợp, chiếm 95,11%. Những băng nhóm Rug Pull này thường lấy vốn từ nhiều ví nóng của các sàn giao dịch cùng một lúc, và mức độ sử dụng của các ví này tương đối giống nhau.

Địa chỉ nạn nhân khai thác

Trong các trường hợp Rug Pull được phân tích, trung bình mỗi trường hợp có 26,82 địa chỉ nạn nhân. Trong tình huống gọi hợp đồng mà các địa chỉ nạn nhân mua Rug Pull Token, ngoài các phương thức mua bán thông thường như Uniswap và MetaMask Swap, có 30,40% Rug Pull Token được mua thông qua các nền tảng bot săn trên chuỗi như Maestro và Banana Gun.

Kênh quảng bá Token Rug Pull

Qua nghiên cứu, đã xác định hai kênh quảng cáo có thể của các băng nhóm Rug Pull: Twitter và nhóm Telegram. Các nhóm Twitter và Telegram này không phải được các băng nhóm Rug Pull tạo ra một cách đặc biệt, mà tồn tại như các thành phần cơ bản trong hệ sinh thái đầu tư mới. Chúng được các đội ngũ vận hành robot chờ trên chuỗi hoặc các đội ngũ chuyên nghiệp đầu tư mới khác duy trì, chuyên gửi thông tin về các Token mới được ra mắt đến những nhà đầu tư.

Quảng cáo Twitter

Băng nhóm Rug Pull đã lợi dụng một số dịch vụ đẩy token mới từ các nền tảng bên thứ ba để công khai token Rug Pull của mình, nhằm thu hút thêm nhiều nạn nhân.

Quảng cáo nhóm Telegram