Tác giả: Ada
TenArmor và GoPlus sở hữu hệ thống phát hiện Rugpull mạnh mẽ. Gần đây, cả hai đã hợp tác chặt chẽ để phân tích rủi ro và nghiên cứu các trường hợp trước tình hình Rugpull nghiêm trọng gần đây, tiết lộ các phương pháp tấn công Rugpull mới nhất và xu hướng, đồng thời cung cấp cho người dùng các khuyến nghị bảo vệ an toàn hiệu quả.
Dữ liệu thống kê sự kiện Rugpull
Hệ thống phát hiện của TenArmor mỗi ngày đều phát hiện ra nhiều sự kiện Rugpull. Nhìn lại dữ liệu của tháng trước, số sự kiện Rugpull có xu hướng tăng, đặc biệt vào ngày 14 tháng 11, số sự kiện Rugpull đã lên tới 31 sự kiện. Chúng tôi cho rằng cần thiết phải công bố hiện tượng này với cộng đồng.
Mức tổn thất của các sự kiện Rugpull này phần lớn rơi vào khoảng 0 - 100K, tổng cộng tổn thất lên tới 15 triệu USD.
Loại Rugpull điển hình nhất trong lĩnh vực Web3 là trò lừa đảo Phỉ Thúy. Công cụ phát hiện an toàn của GoPlus có thể phát hiện xem token có phải là Phỉ Thúy hay không. Trong tháng qua, GoPlus đã phát hiện tổng cộng 5688 trò lừa đảo Phỉ Thúy. Thông tin dữ liệu liên quan đến an toàn có thể truy cập trên bảng điều khiển dữ liệu của GoPlus trong DUNE.
TL;DR
Chúng tôi tóm tắt các điểm phòng ngừa dựa trên đặc điểm của các sự kiện Rugpull hiện tại như sau.
1. Không nên mù quáng theo đuổi, khi mua các đồng tiền hot, hãy kiểm tra xem địa chỉ của đồng tiền có phải là địa chỉ thật hay không. Ngăn ngừa việc mua phải đồng tiền giả mạo, rơi vào bẫy lừa đảo.
2. Khi đầu tư mới, hãy làm tốt việc thẩm định, xem lưu lượng trước đó có đến từ địa chỉ liên quan của người phát hành hợp đồng hay không, nếu có thì có thể đây là một bẫy lừa đảo, hãy cố gắng tránh.
3. Kiểm tra mã nguồn của hợp đồng, đặc biệt chú ý đến việc thực hiện các hàm transfer/transferFrom, xem liệu có thể mua và bán bình thường hay không. Đối với mã nguồn bị làm rối, cần phải tránh.
4. Khi đầu tư, hãy xem xét tình hình phân bố của các Holder, nếu có sự tập trung vốn rõ ràng, hãy cố gắng tránh.
5. Kiểm tra nguồn vốn của người phát hành hợp đồng, càng nhiều càng tốt quay ngược 10 bước, xem nguồn vốn của người phát hành hợp đồng có đến từ sàn giao dịch nghi ngờ hay không.
6. Theo dõi thông tin cảnh báo mà TenArmor phát hành, kịp thời dừng lỗ. TenArmor có khả năng phát hiện trước đối với các Token Scam như vậy, hãy theo dõi tài khoản X của TenArmor để nhận thông báo cảnh báo kịp thời.
7. Hệ thống TenTrace hiện đã tích lũy nhiều thông tin về địa chỉ Scam/Phishing/Exploit từ nhiều nền tảng khác nhau, có khả năng nhận diện hiệu quả dòng tiền vào ra của các địa chỉ đen. TenArmor cam kết cải thiện môi trường an toàn của cộng đồng, hoan nghênh các bạn có nhu cầu hợp tác.
Đặc điểm của sự kiện RugPull
Thông qua việc phân tích nhiều sự kiện Rugpull, chúng tôi phát hiện ra rằng các sự kiện Rugpull gần đây có các đặc điểm sau.
Giả mạo đồng tiền nổi tiếng hiện tại
Bắt đầu từ ngày 1 tháng 11, hệ thống phát hiện TenArmor đã phát hiện 5 sự kiện Rugpull giả mạo token PNUT. Theo bài tweet này, PNUT bắt đầu hoạt động vào ngày 1 tháng 11 và đã tăng vọt 161 lần trong 7 ngày, thành công thu hút sự chú ý của các nhà đầu tư. Thời điểm hoạt động và tăng vọt của PNUT rất khớp với thời điểm kẻ lừa đảo bắt đầu giả mạo PNUT. Kẻ lừa đảo chọn giả mạo PNUT để thu hút nhiều người không rõ sự thật.
Sự kiện Rugpull giả mạo PNUT tổng cộng đã lừa đảo số tiền 103.1K. TenArmor nhắc nhở người dùng, không nên mù quáng theo đuổi, khi mua các đồng tiền hot, hãy kiểm tra xem địa chỉ của đồng tiền có phải là địa chỉ thật hay không.
Đối với robot đầu tư mới
Việc phát hành đồng tiền mới hoặc dự án mới thường thu hút sự chú ý lớn từ thị trường. Khi đồng tiền mới được phát hành lần đầu, giá cả có sự biến động lớn, thậm chí giá của giây trước và giây sau cũng có thể cách xa nhau, việc theo đuổi tốc độ giao dịch trở thành mục tiêu chính để thu lợi. Robot giao dịch có tốc độ và khả năng phản ứng vượt trội so với các nhà giao dịch thủ công, vì vậy robot đầu tư mới hiện rất được ưa chuộng.
Tuy nhiên, kẻ lừa đảo cũng nhanh chóng nhận ra sự hiện diện của nhiều robot đầu tư mới, do đó đã giăng bẫy để thu hút robot đầu tư mới. Ví dụ, địa chỉ 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 này từ tháng 10 năm 2024 đã phát động hơn 200 vụ lừa đảo, mỗi vụ từ việc triển khai hợp đồng bẫy đến Rugpull đều kết thúc trong vòng vài giờ.
Lấy ví dụ về một sự kiện lừa đảo gần đây phát sinh từ địa chỉ này, kẻ lừa đảo trước tiên tạo ra token FLIGHT bằng địa chỉ 0xCd93, sau đó tạo cặp giao dịch FLIGHT/ETH.
Sau khi cặp giao dịch được tạo ra, ngay lập tức có một lượng lớn robot đầu tư Banana Gun đổ vào để trao đổi token số lượng nhỏ. Phân tích không khó để phát hiện rằng những robot đầu tư này đều do kẻ lừa đảo kiểm soát, mục đích là để tạo ra lưu lượng.
Khoảng 50 giao dịch nhỏ đã diễn ra, sau khi tạo ra dòng lưu lượng, đã thu hút được nhà đầu tư thực sự. Phần lớn các nhà đầu tư này cũng đã sử dụng robot đầu tư Banana Gun để thực hiện giao dịch.
Sau khi giao dịch kéo dài một thời gian, kẻ lừa đảo đã triển khai hợp đồng được sử dụng cho Rugpull, có thể thấy rằng nguồn vốn của hợp đồng này đến từ địa chỉ 0xC757. Chỉ sau 1 giờ 42 phút sau khi triển khai hợp đồng, thì Rugpull đã xảy ra, rút cạn thanh khoản, thu lợi 27 ETH.
Phân tích phương pháp của kẻ lừa đảo không khó để phát hiện, kẻ lừa đảo trước tiên tạo ra dòng lưu lượng bằng cách trao đổi nhỏ, thu hút robot đầu tư mới, sau đó triển khai hợp đồng Rug, khi lợi nhuận đạt được kỳ vọng thì Rug. TenArmor cho rằng, mặc dù robot đầu tư mới có thể mua được đồng tiền mới một cách nhanh chóng và dễ dàng, nhưng cũng cần xem xét sự tồn tại của kẻ lừa đảo. Khi đầu tư mới, hãy làm tốt việc thẩm định, xem lưu lượng trước đó có đến từ địa chỉ liên quan của người phát hành hợp đồng hay không, nếu có thì hãy tránh.
Mã nguồn ẩn chứa bí mật
Thuế giao dịch
Hình dưới đây là mã thực hiện hàm chuyển nhượng của FLIGHT. Có thể thấy rõ ràng rằng việc thực hiện chuyển nhượng này có sự khác biệt lớn so với thực hiện tiêu chuẩn. Mỗi lần chuyển nhượng đều phải dựa trên các điều kiện hiện tại để quyết định có thu thuế hay không. Thuế giao dịch này khiến việc mua và bán đều bị hạn chế, điều này có khả năng cao là đồng tiền lừa đảo.
Trong tình huống này, người dùng chỉ cần kiểm tra mã nguồn của token là có thể phát hiện ra dấu hiệu, từ đó tránh rơi vào bẫy.
Mã nguồn bị làm rối
Trong những sự kiện Rug Pull mới nhất và có ý nghĩa của TenArmor: Các nhà đầu tư và người dùng nên ứng phó như thế nào bài viết đề cập rằng, một số kẻ lừa đảo để không cho người dùng hiểu được ý định của họ, cố tình làm rối mã nguồn, làm cho tính khả dụng giảm đi. Khi gặp phải tình huống này, hãy lập tức tránh xa.
RugApproved rõ ràng
Trong nhiều sự kiện Rugpull mà TenArmor phát hiện, không thiếu những kẻ lừa đảo trắng trợn. Ví dụ, giao dịch này đã trực tiếp bày tỏ ý định.
Từ việc kẻ lừa đảo triển khai hợp đồng được sử dụng cho Rugpull đến việc thực sự Rugpull thường có một khoảng thời gian. Ví dụ như thời gian trong trường hợp này gần 3 giờ. Đối với việc phòng ngừa loại lừa đảo này, có thể theo dõi tài khoản X của TenArmor, chúng tôi sẽ kịp thời gửi thông báo về việc triển khai hợp đồng rủi ro này, nhắc nhở người dùng kịp thời rút vốn.
Ngoài ra, rescueEth/recoverStuckETH cũng là các giao diện Rugpull thường dùng. Tất nhiên, có giao diện này không có nghĩa là chắc chắn là Rugpull, còn cần phải kết hợp với các đặc điểm khác để nhận diện.
Tập trung Holder
TenArmor gần đây phát hiện các sự kiện Rugpull, phân bố của các Holder cũng rất đặc trưng. Chúng tôi đã ngẫu nhiên chọn 3 sự kiện Rugpull liên quan đến phân bố Holder của token. Tình hình như sau.
0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a
0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115
0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Trong 3 trường hợp này, không khó để nhận thấy Uniswap V2 pair là Holder lớn nhất, chiếm ưu thế tuyệt đối về số lượng nắm giữ.
Nguồn vốn
Chúng tôi đã ngẫu nhiên chọn 3 sự kiện Rugpull được phát hiện bởi TenArmor để phân tích nguồn vốn.
Trường hợp 1
tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
Quay ngược 6 bước phát hiện dòng tiền vào của FixedFloat.
FixedFloat là một sàn giao dịch tiền điện tử tự động hóa không yêu cầu người dùng đăng ký hoặc xác minh KYC. Kẻ lừa đảo chọn đưa tiền từ FixedFloat để ẩn danh.
Trường hợp 2
tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
Quay ngược 5 bước phát hiện dòng tiền vào của MEXC 1.
Vào ngày 15 tháng 3 năm 2024, Ủy ban Chứng khoán Hồng Kông đã phát hành cảnh báo về nền tảng MEXC, bài viết đề cập rằng MEXC tích cực quảng bá dịch vụ của mình cho các nhà đầu tư Hồng Kông, nhưng nó không có giấy phép từ Ủy ban Chứng khoán hoặc không nộp đơn xin giấy phép. Ủy ban Chứng khoán đã đưa MEXC và trang web của nó vào danh sách cảnh báo các nền tảng giao dịch tài sản ảo nghi ngờ vào ngày 15 tháng 3 năm 2024.
Trường hợp 3
tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Quay ngược 5 bước phát hiện dòng tiền vào của Disperse.app.
Disperse.app được sử dụng để phân phát ETH cho các địa chỉ hợp đồng khác nhau (phân phối ether hoặc token cho nhiều địa chỉ).
Phân tích giao dịch phát hiện rằng người gọi Disperse.app lần này là 0x511E04C8f3F88541d0D7DFB662d71790A419a039, quay ngược 2 bước lại phát hiện dòng tiền vào của Disperse.app.
Phân tích giao dịch phát hiện rằng người gọi Disperse.app lần này là 0x97e8B942e91275E0f9a841962865cE0B889F83ac, quay ngược 2 bước lại phát hiện dòng tiền vào của MEXC 1.
Phân tích 3 trường hợp trên, kẻ lừa đảo đã chọn sàn giao dịch không KYC và không có giấy phép để nạp tiền. TenArmor nhắc nhở người dùng, khi đầu tư vào đồng tiền mới, hãy kiểm tra xem nguồn vốn của người phát hành hợp đồng có đến từ sàn giao dịch nghi ngờ hay không.
Biện pháp phòng ngừa
Dựa trên tập hợp dữ liệu từ TenArmor và GoPlus, bài viết này đã tổng hợp các đặc điểm kỹ thuật của Rugpull và trình bày các trường hợp tiêu biểu. Đối với các đặc điểm Rugpull trên, chúng tôi tóm tắt các biện pháp phòng ngừa tương ứng như sau.
1. Không nên mù quáng theo đuổi, khi mua các đồng tiền hot, hãy kiểm tra xem địa chỉ của đồng tiền có phải là địa chỉ thật hay không. Ngăn ngừa việc mua phải đồng tiền giả mạo, rơi vào bẫy lừa đảo.
2. Khi đầu tư mới, hãy làm tốt việc thẩm định, xem lưu lượng trước đó có đến từ địa chỉ liên quan của người phát hành hợp đồng hay không, nếu có thì có thể đây là một bẫy lừa đảo, hãy cố gắng tránh.
3. Kiểm tra mã nguồn của hợp đồng, đặc biệt chú ý đến việc thực hiện các hàm transfer/transferFrom, xem liệu có thể mua và bán bình thường hay không. Đối với mã nguồn bị làm rối, cần phải tránh.
4. Khi đầu tư, hãy xem xét tình hình phân bố của các Holder, nếu có sự tập trung vốn rõ ràng, hãy cố gắng tránh lựa chọn đồng tiền đó.
5. Kiểm tra nguồn vốn của người phát hành hợp đồng, càng nhiều càng tốt quay ngược 10 bước, xem nguồn vốn của người phát hành hợp đồng có đến từ sàn giao dịch nghi ngờ hay không.
6. Theo dõi thông tin cảnh báo mà TenArmor phát hành, kịp thời dừng lỗ. TenArmor có khả năng phát hiện trước đối với các Token Scam như vậy, hãy theo dõi tài khoản X của TenArmor để nhận thông báo cảnh báo kịp thời.
Các địa chỉ độc hại liên quan đến các sự kiện Rugpull này sẽ được đưa vào hệ thống TenTrace theo thời gian thực. Hệ thống TenTrace là hệ thống chống rửa tiền (AML) do TenArmor tự phát triển, áp dụng cho nhiều tình huống như chống rửa tiền, chống lừa đảo, theo dõi danh tính kẻ tấn công. Hệ thống TenTrace hiện đã tích lũy nhiều thông tin về địa chỉ Scam/Phishing/Exploit từ nhiều nền tảng khác nhau, có khả năng nhận diện hiệu quả dòng tiền vào của các địa chỉ đen và có thể theo dõi chính xác dòng tiền ra của các địa chỉ đen.
Về TenArmor
TenArmor là hàng rào đầu tiên của bạn trong thế giới Web3. Chúng tôi cung cấp các giải pháp bảo mật tiên tiến, tập trung vào việc giải quyết các thách thức độc đáo mà công nghệ blockchain mang lại. Thông qua các sản phẩm sáng tạo của chúng tôi như ArgusAlert và VulcanShield, chúng tôi đảm bảo bảo vệ và phản ứng nhanh chóng trước các mối đe dọa tiềm ẩn. Đội ngũ chuyên gia của chúng tôi thành thạo tất cả từ kiểm toán hợp đồng thông minh đến theo dõi tiền điện tử, trở thành đối tác ưu tiên của bất kỳ tổ chức nào muốn bảo vệ tài sản kỹ thuật số của mình trong lĩnh vực phi tập trung.
Theo dõi chúng tôi @TenArmorAlert, để kịp thời nhận được các cảnh báo an toàn Web3 mới nhất của chúng tôi.
Chào mừng bạn liên hệ với chúng tôi:
X: @TenArmor
Mail: team@tenarmor.com
Telegram: TenArmorTeam
Medium: TenArmor
Về GoPlus
GoPlus, với tư cách là mạng lưới bảo vệ an toàn trên chuỗi đầu tiên, nhằm mục đích cung cấp cho mỗi người dùng đảm bảo an toàn trên chuỗi dễ sử dụng và toàn diện nhất, để đảm bảo sự an toàn cho mỗi giao dịch và tài sản của người dùng.
Cấu trúc dịch vụ an toàn chủ yếu chia thành GoPlus APP (sản phẩm trên web và trình duyệt) trực tiếp phục vụ người dùng C và GoPlus Intelligence (thông qua tích hợp hoặc kết nối B) phục vụ gián tiếp cho người dùng C, đã bao phủ nhóm người dùng Web3 rộng nhất và các tình huống giao dịch khác nhau, cam kết xây dựng một mạng lưới bảo vệ an toàn trên chuỗi mở, hướng đến người dùng.
Một mặt, bất kỳ dự án nào cũng có thể tự kết nối với GoPlus để cung cấp bảo vệ an toàn trên chuỗi cho người dùng, mặt khác, GoPlus cũng cho phép các nhà phát triển tận dụng lợi thế của mình, triển khai các sản phẩm an toàn sáng tạo vào thị trường an toàn GoPlus, người dùng có thể tự chọn và cấu hình các dịch vụ an toàn thuận tiện, cá nhân hóa, từ đó xây dựng một hệ sinh thái an toàn phi tập trung mở mà các nhà phát triển và người dùng hợp tác.
Hiện tại GoPlus đã trở thành đối tác bảo mật ưu tiên của các Builder trong Web3, dịch vụ bảo mật trên chuỗi của họ đã được Trust Wallet, CoinMarketCap, OKX, Bybit, DexScreener, SushiSwap và nhiều nền tảng khác áp dụng và tích hợp rộng rãi, trung bình hàng ngày có hơn 34 triệu lượt gọi, tổng cộng đã được gọi hơn 4 tỷ lần, bao phủ hơn 90% giao dịch trên chuỗi của người dùng, nền tảng ứng dụng an toàn mở của họ cũng đã phục vụ hơn 12 triệu người dùng trên chuỗi.
Cộng đồng của chúng tôi:
X: @GoPlusSecurity
Discord: GoPlusSecurity
Medium: GoPlusSecurity
