Autor: CertiK
Am Abend des 13. Mai 2024 entdeckte das CertiK-Team eine verdächtige Adresse in der Solana-Kette: 9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU (im Folgenden gemeinsam als „Xiaojiu“ bezeichnet)
Vom 12. bis 13. Mai initiierte Xiaojiu insgesamt etwa 64 Teppichzüge (Exit-Betrügereien) an der Kette, alle paar Minuten einer. In weniger als 24 Stunden verlor Xiaojiu insgesamt 272 SOL im Wert von etwa 45.900 US-Dollar.
01 Hohe Investition und geringe Rendite: Das Geheimnis der Arbeitsweise von Xiaojiu wird gelüftet
Wie funktioniert Xiaojiu? Nehmen wir als Beispiel das letzte von Xiaojiu bereitgestellte Meme TWS. Am 13. Mai um 4:05 UTC prägte Xiaojiu 99.999.999 TWS. Um 13:18 Uhr stellte Xiaojiu einen TWS/SOL-Liquiditätspool auf Raydium bereit, indem er 98.999.999,99 TWS und 1 SOL einbrachte, und nutzte dann sofort 4 SOL, um den Markt anzukurbeln.
Um 13:22 Uhr, also 4 Minuten später, tauschte Xiaojiu 80.160.319,64 TWS gegen 0,018 SOL und ging. Solche Transaktionen finden alle paar Minuten statt, und Xiaojiu war schon immer „hohe Investition und geringe Rendite“. Er investierte 5 bis 10 SOL in jeden Pool und erholte sich schließlich weitaus weniger als die Verlustrate von fast der Hälfte Transaktionen waren mehr als 90.
Aus den Transaktionsaufzeichnungen ist nicht schwer zu erkennen, dass Xiaojiu dies absichtlich getan hat, da jeder Vorgang und sogar die Anzahl der ausgeführten Token genau gleich waren.
02 Finanzierungsrätsel: Wer profitiert?
Wenn Xiaojiu Geld verliert, wer verdient dann Geld?
Verfolgen Sie Xiaojius „Transaktionsfluss“
Um die Antwort zu finden, haben wir zunächst Statistiken und Analysen aller Transfers von Xiaojiu durchgeführt und einen „Transaktionsfluss“ erhalten. In diesem Fluss habe ich die Adresse gefunden, an die Xiaojius Gelder hauptsächlich flossen:
6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q (nicht kategorisiert)
A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC(A1)
Betriebskonto: Xiaoliu
Xiaoliu ist die Hauptflussadresse für Xiaojius Gelder, und insgesamt wurden etwa 272 SOLs von Xiaojiu erhalten. Allerdings ist Xiaoliu das Unterkonto von Xiaojiu (SOL-Token-Konto). Xiaojiu nutzt Xiaoliu, um dem Meme-Pool Liquidität hinzuzufügen und über das Handelsvolumen zu spekulieren.
Das Bild unten zeigt eine verwandte Transaktion zwischen Xiaoliu und Xiaojiu. Xiaojiu hat die Transaktion initiiert (Liquidität zum Pool hinzugefügt), über Xiaoliu bezahlt und LP-Token-Mint an eine andere Adresse (5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa) gegeben. Und dieser 5eHgh wurde laut On-Chain-Analyse ebenfalls von Xiaojiu erstellt und dient nur der vorübergehenden Aufbewahrung von LP-Tokens. Nachdem das entsprechende Meme entfernt wurde, wurde auch 5eHgh zerstört.
Nachfolger: A1
A1 ist die Adresse mit dem zweitgrößten Kapitalzufluss und zudem etwas ganz Besonderes. A1 ist der Nachfolger von Xiaojiu und Xiaojius letzte Transaktion in der Kette wurde an A1 gesendet. Und A1 hat nicht nur Xiaojius 6,4 SOL geerbt, sondern auch Xiaojius Karriere. Zwischen dem 13. und 15. Mai erzeugte A1 weiterhin Teppichzüge an der Kette (insgesamt 83).
In ähnlicher Weise haben wir durch wiederholte Flussanalyse das Unterkonto von A1, seinen nächsten Nachfolger und seinen nächsten ... Nachfolger gefunden.
03 Staffelspiel: Wir sind alle im selben Team
Laut CertiKs Tracking ist die Staffelreihenfolge der Teppichzieher wie folgt:
Durch einen horizontalen Vergleich der Kontrahenten und Kapitalflüsse der oben genannten Adressen haben wir weitere interessante Dinge entdeckt. Es gibt 70 Adressen, die gleichzeitig Geldtransaktionen mit mehreren Rug-Puller-Adressen durchführen. Darunter haben wir zwei Hauptadressen gesperrt:
EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg(E)
D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD (D3)
Gewinner hinter den Kulissen: E
E ist die Adresse mit dem zweitgrößten Transaktionsvolumen und verfügt über 110,88 SOL an Geldern im Austausch mit dem oben erwähnten Teppichzieher. Laut On-Chain-Datenanalyse war E stark in die Meme-Betrügereien der Teppichzieher verwickelt und profitierte von den Transaktionen. Eines der jüngsten Memes, an denen E beteiligt war, war Pepe Trump, das einen Gewinn von 48 US-Dollar erzielte (Quelle: dexscreener). Ebenso verzeichnete E in der jüngeren Vergangenheit rund 50.000 Meme-Transaktionen. Basierend auf seinen Handelsvolumenschätzungen erzielte E einen Gewinn von etwa 10.000 US-Dollar.
Wie stellt E die Rendite sicher? Jedes Mal, wenn der Teppichzieher eine neue Währung einsetzt, prägt er einen Teil des ursprünglichen Tokens an E, und dann verteilt E ihn. Durch häufige Transaktionen arbeiteten diese Adressen, die Geld erhielten, mit E zusammen, um das Transaktionsvolumen des Memes in kurzer Zeit zu erhöhen und schließlich gemeinsam den Markt zu zerschlagen.
Nachdem E das Geld verdient hatte, gab er es dem Teppichzieher zurück. Laut Statistik hat E zum Zeitpunkt des Verfassens dieses Artikels insgesamt 41 SOL (ca. 7.000 US-Dollar) an die oben genannte Teppichzieher-Adresse überwiesen.
Es gibt mindestens 70 Transaktionsadressen wie E. Sie handeln bis heute und gerade jetzt noch mit neuen Meme-Betrügereien und bauen Impulse für diese auf.
Fondssammlung: D3
Darüber hinaus gibt es an der D3-Adresse die meisten Transaktionen mit dem Teppichzieher, und der Überweisungsbetrag zwischen ihr und der oben genannten Adresse des Teppichziehers übersteigt 140 SOL. Laut On-Chain-Datenanalyse haben wir herausgefunden, dass D3 die Adresse für die Sammlung von Geldern von Teppichziehern ist.
Nachdem D3 das Geld erhalten hatte, überwies er das Geld stapelweise an die folgenden drei Adressen:
GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X(OKX)
HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be (Bybit)
J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z (Einsatz + Investition)
Unter ihnen sind G und H beide Börsenadressen, und das an J überwiesene Geld wird für Verpfändungen und Investitionen in der Kette verwendet.
Es stellte sich heraus, dass sie alle derselben Gruppe angehörten, also schufen Xiaojiu und seine Adressgruppe weiterhin Liquidität, zogen Aufträge ab und verkauften dann. Am Ende habe ich einfach das Geld aus der linken Tasche in die rechte Tasche gesteckt (alles wurde von meinen eigenen Leuten verdient). Schließlich nahm jeder das Geld ab, indem er die Adresse sammelte. Der spezifische Mittelfluss ist in der folgenden Abbildung dargestellt:
Opfer: Meme Hunter
Ich weiß nicht, ob Ihnen aufgefallen ist, dass es unter den zuvor erwähnten Adressen eine Adresse gibt, die kontinuierlich Geld verdient, nämlich E. Wessen Geld verdient es? Was Sie verdienen, ist Geld, indem Sie neue Spieler (insbesondere neue Roboter) schlagen. Nehmen Sie den oben erwähnten Pepe Trump als Beispiel: Pepe Trumps drittgrößter (DaKf...9A9R) und viertgrößter Inhaber (6Md4...AKnW) wurden am 29. Mai um 10:50 Uhr gekauft. Ich kaufte 1,3 SOL- und 0,5 SOL-Token. aber sie waren Teppiche, bevor ich sie verkaufen konnte. Natürlich muss es mehr als nur diese beiden Opfer geben, aber ihre Verluste sind offensichtlicher.
Nur etwa 10 Sekunden nach dem Kauf begann die vom Teppichzieher kontrollierte Adresse stark zu verkaufen, und der Preis sank fast auf Null:
Durch die Analyse von On-Chain-Daten haben wir herausgefunden, dass beide Opfer häufig an „neuen“ Meme-Transaktionen auf der Solana-Kette teilnahmen, d. h. Memes in den frühen Phasen der Erstellung des Meme-Pools kauften und sie dann zu hohen Preisen verkauften . Unter ihnen hat Da in den letzten drei Monaten durch neue Geschäfte etwa 86 SOL verdient, und Pepe Trump ist eine der wenigen Fallen, die es gefangen hat. Angesichts der Tatsache, dass der Zugriff auf Xiaojius Adresse in diesem Artikel sehr schnell erfolgt, normalerweise nicht länger als 5 Minuten, vermuten wir begründet, dass es sich um einen Betrug handelt, der speziell darauf zugeschnitten ist, neue Bots zu besiegen.
04 Fazit
Mit der Analyse des Verhaltens und des Geldflusses auf der Xiaojiu- und anderen Adressketten haben wir ein gut geplantes und sehr gezieltes Teppichziehersystem entdeckt. Es muss gesagt werden, dass auch Rug Puller dem Trend gefolgt ist und den zunehmend florierenden Roboterhandel im Solana-Ökosystem ins Visier genommen hat. Von Xiaojius häufigen Verlusten über die komplexen Vorgänge verknüpfter Adressen bis hin zum Sammeln und Übertragen von Geldern erzeugen diese Adressen weiterhin die Illusion eines Marktes durch Investmentfondstransfers und ziehen so mehr Investoren an.
Bis heute sind die Little Nines immer noch aktiv. Laut CertiKs kontinuierlicher Nachverfolgung finden wir weiterhin neue Adressen, die mit Xiaojiu in Verbindung stehen. Bis zum 31. Mai 2024 hat die Gruppe insgesamt etwa 863 SOL, etwa 146.000 US-Dollar, über die D3-Adresse übertragen.
