Увечері 13 травня 2024 року команда CertiK виявила підозрілу адресу в ланцюжку Solana: 9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU (далі разом «Xiaojiu»)

З 12 по 13 травня Сяоцзю ініціював у ланцюзі приблизно 64 випадки витягування килимка (шахрайство з виходом), по одному кожні кілька хвилин. Менш ніж за 24 години Сяоцзю втратив загалом 272 SOL на суму приблизно 45 900 доларів США.

01. Високі інвестиції та низька віддача: розкриття методів роботи Сяоцзю

Отже, як працює Xiaojiu? Візьмемо для прикладу останній мем TWS, розгорнутий Xiaojiu. О 4:05 UTC 13 травня Xiaojiu відкарбував 99 999 999 TWS. О 13:18 Xiaojiu розгорнув пул ліквідності TWS/SOL на Raydium і вклав 98 999 999,99 TWS і 1 SOL; потім він негайно використав 4 SOL, щоб підтягнути ринок.

О 13:22, тобто через 4 хвилини, Сяоцзю обміняв 80 160 319,64 TWS на 0,018 SOL і покинув гру. Такі транзакції відбуваються кожні кілька хвилин, і Сяоцзю завжди мав «високі інвестиції та низьку віддачу». транзакцій було більше 90%.

Із записів транзакцій неважко побачити, що Сяоцзю зробив це навмисно, оскільки кожна операція та навіть кількість керованих токенів були абсолютно однаковими.

02. Фінансова головоломка: хто на цьому наживається?

Якщо Сяоцзю втрачає гроші, то хто заробляє?

Відстежуйте «потік транзакцій» Xiaojiu

Щоб знайти відповідь, перш за все, ми провели статистику та аналіз усіх переказів Сяоцзю та отримали «потік транзакцій». У цьому потоці ми знайшли адресу, куди в основному йшли кошти Сяоцзю:

6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q（小六）

A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC（A1）

Операційний рахунок: Xiaoliu

Xiaoliu є основною адресою потоку коштів Xiaojiu, і загалом від Xiaojiu було отримано близько 272 SOL. Однак Xiaoliu є дочірнім обліковим записом Xiaojiu (обліковий запис токенів SOL). Xiaojiu використовує Xiaoliu, щоб додати ліквідність до пулу мемів і спекулювати на обсягах торгів.

На зображенні нижче показано пов’язану транзакцію між Xiaoliu і Xiaojiu. Xiaojiu ініціював транзакцію (додавання ліквідності до пулу), оплатив через Xiaoliu та передав токен LP на іншу адресу (5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa). І цей 5eHgh, відповідно до аналізу в ланцюжку, також був створений Xiaojiu і використовується лише для тимчасового утримання токенів LP. Після того, як відповідний мем було витягнуто, 5eHgh також було знищено.

Наступник: A1

А1 – адреса з другим за величиною надходженням коштів, що також є досить особливим. A1 є наступником Xiaojiu, і остання транзакція Xiaojiu у ланцюжку була надіслана A1. A1 не тільки успадкував 6.4 SOL Сяоцзю, але й успадкував кар’єру Сяоцзю. У період з 13 по 15 травня А1 продовжувала створювати килимки на ланцюжку (всього 83).

Так само, шляхом повторного аналізу потоку, ми знайшли субрахунок A1, його наступного наступника та його наступного... наступника.

03. Гра-естафета: усі вони в одній групі‍

Згідно з відстеженням CertiK, порядок передачі знімачів килимів такий:

Провівши горизонтальне порівняння контрагентів і потоків капіталу за вказаними вище адресами, ми виявили ще цікаві речі. Існує 70 адрес, за якими здійснюються грошові транзакції з кількома адресами власників килимів одночасно. Серед них ми заблокували дві основні адреси:

EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg（E）

D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD（D3）

Переможець за кадром: Е

Адреса E є другою за величиною обсягом транзакцій і має 110,88 SOL коштів між нею та згаданим вище розтягувачем килимів. Згідно з аналізом даних у ланцюжку, E був активно залучений у шахрайство з мемами, які збирали ковдри, і отримував прибуток від транзакцій. Останнім мемом, у якому E брав участь, був Пепе Трамп, який отримав прибуток у 48 доларів (джерело: dexscreener). Подібним чином E здійснив приблизно 50 000 транзакцій мемів у недавньому минулому. Згідно з оцінками обсягу торгів, компанія E отримала прибуток приблизно в 10 000 доларів США.

Як Е забезпечує повернення? Кожного разу, коли розтягувач килимів розгортає нову валюту, він карбуватиме частину початкового токена для E, який потім розповсюджуватиме його. Завдяки частим транзакціям ці адреси, які отримували гроші, разом з E збільшили обсяг транзакцій мему за короткий проміжок часу та, нарешті, колективно знищили ринок.

Після того, як Е заробив гроші, він повернув гроші розтягувачу килимів. Згідно зі статистичними даними, на момент написання цієї статті E переказав загалом 41 SOL (приблизно 7000 доларів США) на адресу, згадану вище.

Існує принаймні 70 адрес транзакцій, таких як E. До цього дня та просто зараз вони все ще торгують нещодавно запущеними шахрайствами з мемами, щоб набрати імпульс для себе.

Колекція фонду: Д3

Крім того, адреса D3 має найбільше транзакцій із ковриком, а сума переказу між нею та згаданою вище адресою коврика перевищує 140 SOL. Відповідно до аналізу даних у ланцюжку ми виявили, що D3 є адресою збору коштів для збирачів килимів.

Після того як D3 отримав гроші, він переказав гроші партіями на такі три адреси:

GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X（OKX）

HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be（Bybit）

J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z (застава + інвестиція)

Серед них G і H є адресами обміну, і гроші, передані J, використовуються для застави та інвестицій у ланцюжку.

Виявилося, що всі вони були в одній групі, тому Сяоцзю та його група адрес продовжували створювати ліквідність, отримувати замовлення, а потім продавати. Зрештою, я просто переклав гроші з лівої кишені в праву (усі вони зароблені моїми). Нарешті всі забрали гроші, зібравши адресу. Конкретний потік коштів показано на малюнку нижче:

Жертва: мисливець за мемами

Я не знаю, чи ви помітили, що серед адрес, які ми згадували раніше, є одна адреса, яка постійно заробляє гроші, це E. Чиї це гроші? Те, що ви заробляєте, — це гроші, перемагаючи нових гравців (особливо нових роботів). Візьміть Пепе Трампа, згаданого вище, як приклад: третій за розміром (DaKf...9A9R) і четвертий за величиною власник Пепе Трампа (6Md4...AKnW) були придбані о 10:50 29 травня. Я купив 1,3 токена SOL і 0,5 SOL, але вони були килимами, перш ніж я міг їх продати. Звичайно, ці дві жертви мають бути не тільки, але їхні втрати більш очевидні.

Приблизно через 10 секунд після того, як вони купили, за адресою, контрольованою розтягувачем килимів, почалися великі продажі, і ціна майже досягла нуля:

Завдяки аналізу даних у ланцюжку ми виявили, що обидві жертви часто брали участь у «нових» транзакціях мемів у мережі Solana, тобто купували меми на ранніх етапах створення пулу мемів, а потім продавали їх за високими цінами. . Серед них Da заробив близько 86 SOL за останні три місяці завдяки новим торгам, і Пепе Трамп є однією з небагатьох пасток, яку він спіймав. З огляду на те, що витягування адреси Xiaojiu Yixing у цій статті відбувається дуже швидко, зазвичай не більше 5 хвилин, ми обґрунтовано підозрюємо, що це шахрайство, спеціально розроблене для боротьби з новими роботами.

04. Висновок

Завдяки аналізу поведінки та потоку коштів у Xiaojiu та інших адресних мережах ми виявили добре сплановану та дуже цілеспрямовану систему знімання килимів. Треба сказати, що розтягувач килимів також наслідував тенденцію та націлився на все більш процвітаючу торгівлю роботами в екосистемі Solana. Від частих збитків Xiaojiu до складних операцій із пов’язаними адресами, до збору та переказу коштів, ці адреси продовжують створювати ілюзію ринку через взаємні перекази фондів, залучаючи більше інвесторів.

До цього дня «Малі дев’ятки» все ще діють. Відповідно до постійного відстеження CertiK, ми продовжуємо знаходити нові адреси, пов’язані з Xiaojiu. Станом на 31 травня 2024 року група переказала загалом приблизно 863 SOL, приблизно 146 000 доларів США, через адресу D3.

Для того, щоб більш повно розкрити методи роботи цього типу килимків і допомогти користувачам уникнути ризиків, CertiK провів поглиблений аналіз понад 10 000 мемів, що знімають килими в мережі Solana. Якщо ви хочете дізнатися більше про те, як розпізнати випадки шахрайства та інші практичні поради щодо запобігання, слідкуйте за оновленнями та до зустрічі в наступному номері!