作者:CertiK
2024 年 5 月 13 日晚间,CertiK 团队监测到 Solana 链上一可疑地址:9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU(后文统称「小九」)
小九从 5 月 12 日到 13 日,一共在链上发起了约 64 笔 rug pull(退出骗局),每几分钟就有一个。在这短短不到 24 小时里,小九共计损失金额 272 个 SOL,价值约 4.59 万美元。
01 高投入低回报:揭秘小九的操作手法
那么小九究竟是怎么操作的呢?我们以小九部署的最后一个 meme TWS 为例。UTC 时间 5 月 13 日 4 点 05 分,小九铸造了 99,999,999 个 TWS。13 点 18 分,小九在 Raydium 上部署了一个 TWS/SOL 的流动性池,注入 98,999,999.99 个 TWS 和 1 个 SOL;随后,又立即用 4 个 SOL 拉盘。
13 点 22 分,也就是 4 分钟以后,小九将 80,160,319.64 个 TWS 换回 0.018 个 SOL 后离场。这样的交易每隔几分钟就会发生一次,而小九一直「高投入低回报」,每个池子投入 5 到 10 个 SOL,最后收回远小于成本的 SOL,近半数交易的亏损率都在 90% 以上。
而从交易记录中,我们不难看出,小九是有意而为之,因为其每次操作,甚至操作的代币数量都一模一样。
02 资金谜题:谁在从中获利?
如果小九在亏钱,那谁在赚钱?
追踪小九的「交易流水」
为了找到答案,首先,我们对小九所有的 transfer 进行了统计和分析,得到了一份「交易流水」。在这份流水中,找到了小九资金主要流向的地址:
6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q(小六)
A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC(A1)
操作账户:小六
小六是小九资金的主要流向地址,累计从小九处获得了约 272 个 SOL。然而,小六是小九的子账户(SOL Token Account)。小九通过小六来为 meme 池加流动性,炒交易量。
下图是一笔小六和小九的关联交易,小九发起交易(为池子添加流动性),通过小六付款,将 LP token mint 给了另一个地址(5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa)。而这个 5eHgh,根据链上分析,也是由小九创建的,只用于临时持有 LP token。在对应的 meme 被 rug pull 之后,5eHgh 也被销毁。
继任者:A1
A1 是资金流入第二大的地址,也比较特殊。A1 是小九的继任者,小九在链上的最后一笔交易是发给 A1 的。而 A1 不仅继承了小九的 6.4 个 SOL,也继承了小九的事业。在 5 月 13 日至 15 日期间,A1 不断在链上制造 rug pull(共计 83 起)。
同样地,通过反复的流水分析,我们找到了 A1 的子账户,和它的下一任继任者,和它的下下...一任继任者。
03 接力游戏:都是一伙的
根据 CertiK 的追踪,rug puller 们的接力顺序如下:
通过对上述地址的交易对手和资金流水进行横向对比,我们发现了更多有趣的事情。有 70 个地址同时与多个 rug puller 地址都有资金往来。其中,我们锁定了两大主要地址:
EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg(E)
D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD(D3)
幕后赢家:E
E 是交易量第二大的地址,与上述 rug puller 间有 110.88SOL 的资金往来。根据链上数据分析,E 大量地参与了 rug puller 们的 meme 骗局,并从交易中获利。E 最近参与的一个 meme 是 Pepe Trump,获利 48 美元(来源:dexscreener)。类似地,E 在近期进行了约 5 万次 meme 交易。据其交易量估算,E 从中获利约 1 万美元。
E 是怎么确保收益的?每次 rug puller 部署了新币,都会 mint 一部分初始 token 给 E,再由 E 分发出去。通过频繁交易,这些收到钱的地址和 E 一起在短时间内刷高 meme 的交易量,最后再集体砸盘。
而 E 赚了钱之后,又把钱还给了 rug puller。据统计,截至文章撰写时,E 前后转给上述 rug puller 地址共计 41SOL(约 $7000)。
而像 E 这样的交易地址,至少还有 70 个。他们直到今天、直到刚刚,还在不断地交易新发起的 meme 骗局,为其造势。
资金归集:D3
另外,与 rug puller 之间交易最多的是 D3 地址,它与上面提到的 rug puller 地址之间的转账金额超过了 140 SOL。而根据链上数据分析,我们发现 D3 正是 rug puller 们的资金归集地址。
D3 收到钱后,分批把钱转入了下面这三个地址:
GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X(OKX)
HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be(Bybit)
J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z(质押 + 投资)
其中,G 和 H 都是交易所地址,而转入 J 的钱则被用于链上的质押和投资。
原来他们都是一伙的,所以小九一行地址不断地创建流动性,拉盘,然后卖出。最后只是把钱从左边口袋放进了右边口袋(都被自己人赚走了)。最后,大家通过归集地址把钱拿走了。具体的资金流向见下图:
受害者:打新者(Meme Hunter)
不知道大家有没有注意到,在我们之前提到的几个地址中,有一个地址在持续地赚钱,就是 E。赚谁的钱呢?赚的是打新者(特别是打新机器人)的钱。以上文提到的 Pepe Trump 为例:Pepe Trump 的第三大(DaKf...9A9R)和第四大持有者(6Md4...AKnW),分别在 5 月 29 日的 10 点 50 分购买了 1.3 个 SOL 和 0.5 个 SOL 的代币,但是还没来得及卖出就被 rug 了。当然,受害者肯定不止这两个,只是他们亏得比较明显。
就在他们买入后的大约 10 秒,rug puller 控制的地址开始大量抛售,价格几乎归零:
通过对链上数据的分析,我们发现这两个受害者均高频地参与 Solana 链上的 meme「打新」交易,即在 meme 池创建的早期购入 meme,随后高价卖出。其中,Da 在过去的三个月里已通过打新获利约 86 SOL,Pepe Trump 是其为数不多被圈住的陷阱。鉴于本文中小九一行地址的 rug pull 发生得非常迅速,通常不超过 5 分钟,我们合理怀疑这是为打新机器人专门定制的骗局。
04 结语
随着对小九等地址链上行为和资金流向的分析,我们发现了一个精心策划且非常具有针对性的 rug puller 体系。不得不说 rug puller 也紧跟潮流,瞄准了 Solana 生态上日益蓬勃的机器人交易。从小九的频繁亏损,到关联地址的复杂操作,再到资金归集和转出,这些地址通过相互的资金转移,不断制造市场的假象,吸引更多的投资者入局。
时至今日,小九们仍然活跃着。根据 CertiK 的持续追踪,我们不断地发现与小九关联的新地址出现。截至 2024 年 5 月 31 日,该团伙已通过 D3 地址共转移了约 863 个 SOL,约 14.6 万美元。