Вечером 13 мая 2024 года команда CertiK обнаружила в цепочке Solana подозрительный адрес: 9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU (далее совместно именуемый «Xiaojiu»).

С 12 по 13 мая Сяоцзю инициировал в общей сложности около 64 выдергиваний ковров (мошенничества на выходе), по одному каждые несколько минут. Менее чем за 24 часа Сяоцзю потерял в общей сложности 272 SOL на сумму примерно 45 900 долларов США.

01. Высокие инвестиции и низкая доходность: методы работы Xiaojiu

Так как же работает Сяоцзю? Давайте возьмем в качестве примера последний мем TWS, использованный Сяоцзю. 13 мая в 4:05 UTC Xiaojiu отчеканила 99 999 999 TWS. В 13:18 Сяоцзю развернул пул ликвидности TWS/SOL на Raydium и вложил 98 999 999,99 TWS и 1 SOL, а затем сразу же использовал 4 SOL, чтобы привлечь рынок;

В 13:22, то есть через 4 минуты, Сяоцзю обменял 80 160 319,64 TWS на 0,018 SOL и вышел из игры. Такие транзакции происходят каждые несколько минут, и Сяоцзю всегда отличался «высокими инвестициями и низкой доходностью». Он инвестировал от 5 до 10 SOL в каждый пул и, наконец, вернул SOL, который был намного меньше, чем стоимость. сделок было более 90%.

Из записей транзакций нетрудно увидеть, что Сяоцзю сделал это намеренно, поскольку все операции и даже количество задействованных токенов были абсолютно одинаковыми.

02. Загадка финансирования: кто получает от этого прибыль?

Если Сяоцзю теряет деньги, то кто их зарабатывает?

Отслеживайте «поток транзакций» Xiaojiu

Чтобы найти ответ, в первую очередь мы провели статистику и анализ всех переводов Xiaojiu и получили «поток транзакций». В этом потоке я нашел адрес, по которому в основном текли средства Сяоцзю:

6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q (необходимо)

A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC(A1)

Расчетный счет: Сяолиу

Сяолиу является основным адресом потока средств Сяоцзю, всего от Сяоцзю было получено около 272 SOL. Однако Xiaoliu является суб-аккаунтом Xiaojiu (аккаунт токена SOL). Xiaojiu использует Xiaoliu, чтобы добавить ликвидность в пул мемов и спекулировать на объеме транзакций.

На рисунке ниже показана связанная транзакция между Xiaoliu и Xiaojiu. Xiaojiu инициировала транзакцию (добавив ликвидность в пул), оплатила через Xiaoliu и передала монету токена LP на другой адрес (5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa). И этот 5eHgh, согласно ончейн-анализу, также был создан Xiaojiu и используется только для временного хранения токенов LP. После того, как соответствующий мем был выдернут, 5eHgh также был уничтожен.

Преемник: А1

А1 — это адрес со вторым по величине притоком средств, который тоже весьма особенный. A1 является преемником Xiaojiu, и последняя транзакция Xiaojiu в цепочке была отправлена ​​​​на A1. И А1 не только унаследовал 6,4 SOL Сяоцзю, но и унаследовал карьеру Сяоцзю. С 13 по 15 мая А1 продолжал создавать коврики на цепочке (всего 83).

Аналогичным образом, посредством повторного анализа потоков мы нашли субсчет A1, его следующего преемника и его следующего... преемника.

03. Эстафета: все в одной группе‍

Согласно отслеживанию CertiK, порядок реле съемников ковров следующий:

Проведя горизонтальное сравнение контрагентов и потоков капитала по указанным адресам, мы обнаружили еще несколько интересных вещей. Существует 70 адресов, по которым одновременно проводятся транзакции с несколькими адресами сборщиков ковров. Среди них мы заблокировали два основных адреса:

EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg（E）

D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD（D3）

Победитель за кадром: E

E — это адрес со вторым по величине объемом транзакций, и между ним и упомянутым выше вытягивателем ковров находится 110,88 SOL средств. Согласно анализу данных в сети, E активно участвовал в мошенничестве с мемами, связанном с выдергивателями ковров, и получал прибыль от транзакций. Последним мемом, в котором участвовал E, был Пепе Трамп с прибылью в 48 долларов (источник: dexscreener). Аналогичным образом, за недавнее время E совершил около 50 000 мем-транзакций. Согласно оценкам объема торгов, E получила прибыль примерно в 10 000 долларов США.

Как E обеспечивает возврат? Каждый раз, когда сборщик ковров выпускает новую валюту, он отправляет часть первоначального токена компании E, которая затем распределяет ее. Благодаря частым транзакциям эти адреса, на которые поступали деньги, вместе с E увеличили объем транзакций мема за короткий период времени и, наконец, коллективно разрушили рынок.

После того как Э заработал деньги, он вернул их выдергивателю ковров. Согласно статистике, на момент написания этой статьи E перевел в общей сложности 41 SOL (приблизительно 7000 долларов США) на указанный выше адрес вытягивателя ковров.

Существует как минимум 70 адресов транзакций, таких как E. По сей день и сейчас они все еще торгуют недавно запущенными мемами-мошенниками, чтобы придать им импульс.

Сбор фонда: D3

Кроме того, по адресу D3 происходит наибольшее количество транзакций с устройством для извлечения ковров, а сумма перевода между ним и адресом устройства для извлечения ковров, упомянутым выше, превышает 140 SOL. Согласно анализу данных в цепочке, мы обнаружили, что D3 — это адрес сбора средств для сборщиков ковров.

После того, как D3 получил деньги, он перевел их партиями на следующие три адреса:

GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X（OKX）

HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be（Bybit）

J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z (Залог + Инвестиции)

Среди них G и H являются адресами обмена, а деньги, переведенные на J, используются для залога и инвестиций в цепочке.

Оказалось, что все они были в одной группе, поэтому Сяоцзю и его группа адресов продолжали создавать ликвидность, вытягивать ордера, а затем продавать. В итоге я просто переложил деньги из левого кармана в правый (все они были заработаны своими людьми). Наконец все забрали деньги, забрав адрес. Конкретный поток средств показан на рисунке ниже:

Жертва: Охотник за мемами

Не знаю, заметили ли вы, что среди адресов, которые мы упоминали ранее, есть один адрес, который постоянно приносит деньги, то есть адрес E. Чьи деньги это делает? Вы зарабатываете деньги, побеждая новых игроков (особенно новых роботов). Возьмем в качестве примера упомянутого выше Пепе Трампа: третий по величине держатель Пепе Трампа (DaKf...9A9R) и четвертый по величине держатель (6Md4...AKnW) Пепе Трампа были куплены в 10:50 29 мая. Я купил токены 1,3 SOL и 0,5 SOL, но они превратились в ковер еще до того, как я смог их продать. Конечно, жертв должно быть больше, чем только эти две, но их потери более очевидны.

Примерно через 10 секунд после покупки адрес, контролируемый выдергивателем ковров, начал активно продаваться, и цена почти достигла нуля:

Благодаря анализу внутрисетевых данных мы обнаружили, что обе жертвы часто участвовали в «новых» транзакциях мемов в цепочке Solana, то есть покупали мемы на ранних этапах создания пула мемов, а затем продавали их по высоким ценам. . Среди них Da заработал около 86 SOL на новых торгах за последние три месяца, а Пепе Трамп — одна из немногих ловушек, которые он поймал. Учитывая, что вытягивание адреса Сяоцзю Исин в этой статье происходит очень быстро, обычно не более 5 минут, мы обоснованно подозреваем, что это афера, специально настроенная для борьбы с новыми роботами.

04. Заключение

Проанализировав поведение и потоки средств в Xiaojiu и других цепочках адресов, мы обнаружили хорошо спланированную и очень целенаправленную систему вытягивания ковров. Надо сказать, что компания по производству ковров также следует этой тенденции и ориентируется на все более процветающую торговлю роботами в экосистеме Соланы. От частых потерь Сяоцзю до сложных операций связанных адресов, сбора и перевода средств — эти адреса продолжают создавать иллюзию рынка посредством переводов взаимных фондов, привлекая больше инвесторов.

По сей день «Маленькие девятки» все еще активны. Согласно постоянному отслеживанию CertiK, мы продолжаем находить новые адреса, связанные с Xiaojiu. По состоянию на 31 мая 2024 года группа перевела через адрес D3 в общей сложности около 863 SOL, примерно 146 000 долларов США.

Чтобы более полно раскрыть методы работы этого типа съемников ковров и помочь пользователям избежать рисков, CertiK провела углубленный анализ более 10 000 мемов-вытягивателей ковров в сети Solana. Если вы хотите узнать больше о том, как распознать выдергивание ковра и другие подобные случаи мошенничества, а также узнать больше практических советов по предотвращению мошенничества, не забывайте следить за обновлениями и увидимся в следующем выпуске!