Sử dụng tiền từ dự án Rug Pull để rửa tiền qua coin Meme, vén màn danh tính thật sự của tay chơi PEPE
Tuyển chọn TechFlowTuyển chọn TechFlow
Sử dụng tiền từ dự án Rug Pull để rửa tiền qua coin Meme, vén màn danh tính thật sự của tay chơi PEPE
Tại sao người bình thường lại không thể trở thành nhóm đầu tiên "lên xe", bắt được đồng tiền tăng vạn lần?
Chuyên sâu báo cáo Web3Bài gốc | NFTethics
Tổng hợp | Odaily星球日报
Nếu bạn là người yêu thích tiền điện tử Meme, chắc chắn bạn đã từng nghe đến dự án nổi tiếng nhất năm nay – PEPE, và có thể cũng đã từng nghe những câu chuyện thần thoại về sự giàu có xoay quanh nó. Ví dụ như một số địa chỉ được gọi là "Smart Money" đã mua vào với 100 USD ngay từ thời điểm PEPE ra mắt và chưa bao giờ bán ra, cuối cùng thu lợi hàng chục ngàn lần (dữ liệu trên chuỗi có thể xác minh).
Tại sao người bình thường lại không thể trở thành nhóm đầu tiên tham gia và bắt được đồng tiền tăng vạn lần? Bởi vì trong các dự án kiểu này, người hưởng lợi lớn nhất và duy nhất chính là những tay điều hành, họ có thể mua ở đáy và thoát ở đỉnh; thậm chí, mục đích ban đầu khi tạo ra nhiều dự án Meme này chỉ đơn giản là để rửa tiền đen.
Gần đây, người dùng Twitter tên 「NFTethics」 đã đăng tải nhiều bài viết dài, thông qua phân tích kỹ lưỡng dữ liệu trên chuỗi và các bằng chứng khác, xác định danh tính thật sự của người đứng sau PEPE.
Tóm tắt các điểm chính từ chuỗi bài viết này như sau:
Một, số tiền bị rút khỏi dự án AnubisDAO – từng xảy ra Rug Pull vào tháng 11/2021 – đã được làm sạch thông qua dự án PEPE đình đám năm nay, và người đứng sau điều hành chính là nhà đầu tư DeFi ẩn danh nhưng nổi tiếng Sisyphus.
Hai, danh tính thật của Sisyphus là Kevin Pawlak – người phụ trách OpenSea Ventures, hiện đang sống xa hoa, phung phí;
Ba, Sisyphus (tức Kevin Pawlak) mới thực sự là người cầm trịch đằng sau dự án AnubisDAO, sử dụng thủ đoạn hacker lấy được khóa riêng của quản trị viên lúc đó, chuyển toàn bộ tiền đi, sau đó tìm được người thế thân để đổ lỗi và trốn thoát pháp luật.
Thông tin mới nhất cho biết, phát ngôn viên của OpenSea đã lên tiếng phản hồi về sự việc: “Kevin Pawlak nghỉ việc từ tháng 6 năm 2023, trong thời gian làm việc tại OpenSea, anh ấy đảm nhiệm vị trí không thuộc quản lý, phạm vi công việc hạn chế, chúng tôi không rõ anh ta có tham gia vào vụ Rug Pull AnubisDAO hay không. Ngoài ra, chúng tôi không có bất kỳ liên hệ nào với các dự án liên quan, cũng không có thông tin cụ thể vì các dự án này diễn ra trước khi anh ấy gia nhập OpenSea.”
Một, tiền bị rút từ Anubis được làm sạch nhờ thổi giá PEPE
Quay lại thời điểm tháng 11/2021, dự án sao chép OlympusDAO – AnubisDAO (token ANKH) – sau khi tổ chức LBP (bể dẫn thanh khoản) đã huy động được 13.256,4 ETH (tương đương khoảng 57 triệu USD lúc bấy giờ). Nhưng ngay sau đó, quản trị viên phát hiện toàn bộ số tiền này đã bị chuyển tới một địa chỉ mới, trong khi LBP vẫn chưa kết thúc dù đã diễn ra được 20 giờ.
Vai trò của nhân vật chính trong câu chuyện – Sisyphus – trong AnubisDAO là gì? Trên danh nghĩa, anh ta là đại sứ truyền thông của dự án, nhưng thực chất lại là người đứng đầu (sẽ được trình bày chi tiết phía dưới).
Một ngày trước khi tiền bị rút khỏi AnubisDAO, Sisyphus vẫn tích cực quảng bá dự án trong cộng đồng Discord, tuyên bố bản thân đã mua 420.000 USD (ghi nhớ con số này, sẽ có kiểm tra), và còn tiếp tục mua thêm; hơn nữa, để xoa dịu lo lắng của mọi người, Sisyphus còn khẳng định dự án tuyệt đối không bao giờ Rug, ngay cả khi phát triển không thuận lợi, mọi người cuối cùng cũng sẽ lấy lại được vốn.
(Bản ghi âm marketing cộng đồng của Sisyphus)
Kết quả là, hôm sau, dự án thực sự bị rút sạch. Sisyphus ngay lập tức viết một bài dài, phủi sạch trách nhiệm, đồng thời tuyên bố đã liên hệ với cơ quan thực thi pháp luật Mỹ và Hồng Kông, kêu gọi hacker nhanh chóng hoàn trả tiền. Sau đó, Sisyphus im lặng, không cập nhật bất kỳ thông tin gì về AnubisDAO, dường như 420.000 USD thật sự chỉ là một khoản nhỏ với anh ta.
Dĩ nhiên, hacker cũng không hoàn trả số tiền bị đánh cắp từ AnubisDAO. Trong gần hai năm qua, số tiền này liên tục được chuyển vào các máy trộn tiền (mixer) và các nền tảng không cần KYC để rửa tiền. Một ví (Anubis Rug 3) đã tương tác với FixedFloat – một nền tảng tại Seychelles không yêu cầu KYC – và phí gas của ví này được gửi bởi chính FixedFloat. Như hình dưới đây:
(Anubis Rug 3)
Điều thú vị là, nguồn vốn khởi động cho những người nắm giữ PEPE giai đoạn đầu cũng đến từ nền tảng FixedFloat, ví dụ như Zach Testa (tài khoản: DegenHarambe) và Max Zim (tài khoản: SumFattyTuna). Đặc biệt là Zach Testa, chỉ vài phút sau khi hợp đồng token PEPE được công bố vào ngày 14/4, anh ta đã mua vào ngay lập tức, rồi đăng bài viết về dự án; 3 phút sau, Max Zim liền retweet và cũng mua PEPE. Toàn bộ quá trình diễn ra rất trơn tru, giống như đã được dàn dựng sẵn.
Mối quan hệ giữa Sisyphus với Zach Testa và Max Zim rất khăng khít, có tin đồn rằng Zim từng là bạn cùng phòng với Sisyphus. Trước khi AnubisDAO bị rút tiền, ví của Sisyphus đã từng có giao dịch chuyển tiền với Zim; hơn nữa, hai người còn từng cùng tham gia một buổi phỏng vấn – Sisyphus không lộ mặt thật.
(Lịch sử tương tác ví)
Ngày 17/4, Sisyphus đăng tweet nói rằng “cuối tuần rồi có người dùng một loại token tên là ‘pepe’ biến 0,02 ETH thành 63 ETH”, đồng thời đính kèm địa chỉ bắt đầu bằng 0x5DD. Ngay lập tức, Zim phản hồi bài đăng của Sisyphus, hai người tương tác với nhau.
Thú vị hơn, địa chỉ bắt đầu bằng 0x5DD đã nhận được vốn khởi động từ nền tảng FixFloat vào ngày 7/4. Ngoài ra, vào đúng ngày 7/4, một phiên bản khác của token 'PEPE' (để phân biệt, tạm gọi là aPEPE) cũng được ra mắt, có cùng hợp đồng và cùng nhóm người sở hữu giai đoạn đầu với phiên bản PEPE hiện tại mà mọi người biết đến. Ví dụ, Zim đã mua aPEPE ngay từ thời điểm phát hành vào ngày 7/4 – nhưng sau đó trong cuộc phỏng vấn cộng đồng, anh ta lại nói mình chưa từng nghe đến PEPE trước đó. Có vẻ như, ngay từ đầu, Zim đã biết chắc PEPE sẽ tăng giá.
(Zim nói trong chương trình rằng đây là lần đầu biết đến PEPE)
Sự trùng hợp không dừng lại ở đó. Chỉ 2 phút sau khi ví Anubis Rug 3 chuyển 3000 ETH, ví của Zim bắt đầu giao dịch mua PEPE trên chuỗi; hơn nữa, điều tra cho thấy mỗi khi ví liên quan đến Anubis Rug hoạt động, ví của Zim dường như đều đang thực hiện các thao tác liên quan đến PEPE.
(Ví Zim và ví Anubis Rug hoạt động đồng bộ)
Ngoài ra, tiền từ Anubis chủ yếu được rửa qua các nền tảng như Stake; trong khi đó, các ví liên quan đến PEPE cũng đã chuyển lượng lớn tiền vào Stake sau ngày PEPE lên sàn (14/4), rồi từ Stake chuyển sang FixFloat. Hơn nữa, phần lớn tiền bị đánh cắp từ Anubis được rút ra trong khoảng thời gian từ tháng 3 đến tháng 7 năm nay, trùng khớp gần như hoàn toàn với chu kỳ phát triển của PEPE, cho thấy mối liên hệ sâu sắc giữa hai bên – khả năng cao tiền bị đánh cắp đã được làm sạch thông qua việc thổi giá PEPE.
Việc truy tìm đầy đủ hướng đi của tiền bị đánh cắp từ Anubis vẫn cần sự phối hợp từ các sàn CEX và OTC – một phần tiền đã chảy vào các nền tảng yêu cầu KYC. Mối liên hệ giữa tiền bị đánh cắp từ Anubis và việc thổi giá PEPE vẫn cần thêm nhiều bằng chứng để xác minh.
Bổ sung một chi tiết nhỏ, vào tháng 8 năm nay, ban điều hành PEPE xảy ra nội chiến, vài thành viên cũ tự ý xóa quyền multisig và bán tháo token, cuối cùng đội ngũ chính thức chỉ đưa ra một thông báo mơ hồ.
Hai, Sisyphus cầm trịch Anubis và tự mình đạo diễn vụ Rug
Tác giả "NFTethics" đã thu thập được nhật ký trò chuyện nội bộ của các thành viên trong nhóm Anubis vài ngày trước khi tiền bị đánh cắp.
Theo điều tra và suy luận, Sisyphus dường như mới là lãnh đạo thực sự đằng sau dự án, gần như mọi việc đều cần sự chấp thuận và ký duyệt của anh ta, từ cách diễn đạt chính xác của từng bài tweet cho đến mọi vấn đề kỹ thuật/tài chính. Hơn nữa, vụ Rug Pull của dự án có vẻ như do chính Sisyphus tự dàn dựng, và thành công đổ lỗi cho một thành viên khác tên là "Beerus".
(Phân công nhiệm vụ nhóm)
Trong bảng phân công nhiệm vụ, Sisyphus tự mô tả vai trò của mình là “phụ trách quan hệ công chúng bên ngoài và giúp gắn kết các thành viên DAO”, nhưng thực tế anh ta mới là người ra lệnh.
Thành viên nhóm "AureliusBTC" nói trong cuộc trò chuyện: “Không ai trong chúng tôi thực sự hiểu về LBP (bể dẫn thanh khoản), nhưng chỉ cần Sisyphus hiểu là được”. Khi thành viên khác tên "Beerus" đăng tweet công bố thành viên mới gia nhập Anubis, Sisyphus lập tức ra lệnh xóa bài, Beerus đã làm theo. Thêm vào đó, Sisyphus còn nói trong tin nhắn rằng anh ta có liên hệ với Alameda Research (công ty tiền mã hóa thuộc SBF), và họ cũng đã mua token ANKH của Anubis.
(Sisyphus giải thích tình hình liên quan LBP)
Chúng ta hãy quay lại sự kiện LBP bị rút sạch thanh khoản. Sau khi sự việc xảy ra, Sisyphus tuyên bố với bên ngoài rằng “các thành viên DAO đồng ý để Beerus triển khai LBP vì họ hoặc bận rộn hoặc không muốn chịu trách nhiệm”. Tuy nhiên, trong tin nhắn nội bộ không hề có bằng chứng nào hỗ trợ lời nói này – thực tế, ban đầu Sisyphus nói họ dùng “một trong những multisig tốt nhất từng có”, nhưng sau đó lại nói anh ta không thể ký xác nhận – do đó, có thể suy đoán anh ta đã tìm cách thay đổi multisig ban đầu thành chỉ do một mình Beerus chịu trách nhiệm, tạo điều kiện cho vụ tấn công sau này. Diễn biến tiếp theo như sau:
-
Đêm 28/10, Sisyphus nói anh ta sẽ đi ngủ, dự định ngủ 6 tiếng, tin nhắn cuối cùng dừng ở 00:16;
-
Sáng hôm sau anh ta tham gia lại nhóm lúc 07:18, và vẫn trả lời vài câu hỏi trong nhóm;
-
07:20, email của “Beerus” – người nắm quyền quản lý LBP – nhận được một email từ địa chỉ email của Sisyphus, chứa file PDF có SAFT (thỏa thuận đơn giản cho token tương lai); Beerus sau đó nói file PDF này chứa virus Trojan, làm hỏng máy tính và đánh cắp quyền quản lý LBP;
-
07:26, Sisyphus và Beerus trao đổi một lúc, nhắc nhở Beerus phải tỉnh táo đến khi LBP kết thúc, cuộc trò chuyện kéo dài đến 07:44, lúc này còn 4 tiếng nữa LBP mới kết thúc;
-
07:48, thanh khoản LBP cạn kiệt, toàn bộ ETH bị rút từ tài khoản quản lý sang một địa chỉ mới, chỉ còn lại đống token ANKH vô giá trị.
Theo điều tra sau đó, các hợp đồng thông minh của nền tảng Copper và Balancer đều không bị xâm nhập hay phá vỡ. Điều đó có nghĩa là tài khoản ví của Beerus – người tạo LBP – hoặc thực sự bị hack như anh ta nói, hoặc là tự dàn dựng. Trong khi đó, Sisyphus khẳng định địa chỉ email của anh ta chưa từng gửi email nào như vậy.
(Beerus nói anh ta nhận được email virus)
Ai đang nói dối? Chúng ta hãy suy luận từ một số thông tin gián tiếp. Trước hết, không chỉ riêng Beerus nhận được email, các liên lạc viên VC khác cũng nhận được – điểm khác biệt là Beerus nhận email PDF lúc 07:20 sáng, trong khi những người khác muộn hơn nửa tiếng, thậm chí có người muộn vài tiếng. Một giải thích hợp lý là kẻ tấn công gửi hàng loạt email nhằm che giấu mục tiêu, đồng thời cố ý để Beerus có thời gian mở file PDF và bị nhiễm virus.
Hơn nữa, sau khi phân tích các file PDF nhận được từ những người khác, không thấy cảnh báo lừa đảo nào. SPF không đánh dấu địa chỉ Gmail trừ khi địa chỉ đó thực sự không phải từ Gmail; theo hình ảnh, địa chỉ này rất có thể đã gửi email thật sự. Nói cách khác, những email này thực sự được gửi từ địa chỉ email thật của Sisyphus – trong khi Sisyphus khẳng định chắc nịch rằng anh ta chưa từng gửi, còn giả vờ ngây thơ hỏi trong nhóm “ý này là sao?”.
Thêm nữa, phân tích email của những người khác cho thấy không có virus Trojan – thực tế có lẽ chỉ riêng file của Beerus là có, sau đó anh ta cũng đã nộp máy tính cho cảnh sát Hồng Kông để chứng minh sự trong sạch (hiện chưa có tiến triển mới, sự việc dường như chìm vào quên lãng).
Câu hỏi đặt ra: Làm sao kẻ tấn công biết được Beerus nắm quyền quản lý LBP? Ngoài một vài người nội bộ, không ai biết Beerus là người (duy nhất) có quyền kiểm soát. Thực tế, thành viên nhóm Anubis tên Convex đã đề cập điều này trong nhóm chat: “Tại sao Beerus lại nhận được phần mềm độc hại? Việc anh ta bị nhắm mục tiêu là vô lý. Ai cũng biết tôi và aureliusBTC mới là lập trình viên, mới là người có thể nắm private key. Người ngoài hoàn toàn không rõ tình hình cụ thể của Beerus.”
Thú vị hơn, Sisyphus còn hỏi Beerus: “Này, cậu vừa click cái gì vậy?”. Lúc này, Beerus vẫn chưa tiết lộ với mọi người rằng anh ta đã click vào file PDF email độc hại, những người khác đều chưa biết, vậy Sisyphus làm sao biết được?
Sau khi LBP bị rút sạch, Sisyphus đổ lỗi cho Beerus đã thực hiện Rug dự án, và nói “cậu đã hủy hoại danh tiếng của tôi”. Đồng thời, Sisyphus còn công bố địa chỉ IP của kẻ tấn công, nói rằng nó đến từ Hồng Kông – nơi Beerus sinh sống – thực tế, địa chỉ IP này đến từ nhà cung cấp VPS bên thứ ba, có thể thuê máy chủ ở nhiều khu vực khác nhau, nên không đáng tin cậy. Sau đó, Beerus bị cộng đồng truy lùng danh tính thật, hóa ra là con trai của Chang Shun-cheng – nhân vật nổi tiếng trong giới đua ngựa Hồng Kông – lúc đó mới 19 tuổi.
Một chi tiết nữa, Max Zim – người tham gia sớm PEPE đã đề cập trước đó – cũng tham gia đợt phát hành Anubis này. Sau đó, anh ta còn lên Twitter bênh vực Sisyphus, bởi mối quan hệ giữa hai người vốn rất thân thiết.
Ba, Sisyphus mở tài khoản phụ, danh tính thật là Kevin Pawlak – người đứng đầu OpenSea Ventures
Như đã nói ở trên, Sisyphus – người tuyên bố đã đầu tư 420.000 USD vào dự án Anubis – sau khi dự án bị Rug thì chẳng hề buồn bã. Sau khi viết một bài bào chữa, phủi sạch trách nhiệm, anh ta không còn quan tâm đến diễn biến sau đó.
Ngày 6/11 (một tuần sau vụ tấn công), Sisyphus mở một tài khoản Twitter khác, lấy tên là 「0x Magallan」 (hiện đã bị xóa). Tài khoản này trong hai năm qua rất năng động, đăng hơn 5.000 bài, tham gia quảng bá nhiều dự án, sở hữu hai ví ferdinand-magellan.eth và ukrainedonations.eth.
Thực tế, Sisyphus (Kevin Pawlak) còn gây tranh cãi ở nhiều điểm khác. Ví dụ, anh ta từng mua NFT đắt tiền Etherrock 72, sau đó phân mảnh nó trên giao thức Fractional thành token PEBBLE và bán với mức chênh lệch cực cao. Tính theo ETH, giá token PEBBLE đã giảm hơn 99% từ mức đỉnh. Dự án này đã đóng cửa vào năm 2023, ngừng mọi hoạt động; trang web pebble.xyz cũng đã hết hạn và đang rao bán.
Dường như từ trước đến nay, chưa ai từng thấy diện mạo thật của Sisyphus hay 0x Magallan, cũng không có thông tin nào trên mạng. Tuy nhiên, 「NFTethics」 đã xác minh danh tính thật của người này là Kevin Pawlak – người đứng đầu OpenSea Ventures – thông qua nhiều dữ liệu trên chuỗi và nhiều nguồn tin khác nhau.
Kevin Pawlak
Trước hết, dấu thời gian trên các địa chỉ pawlak.eth và sisyphus.eth hoàn toàn trùng khớp. Dữ liệu trên chuỗi cho thấy, họ cùng鑄 Zorbs (ZORB) trong vòng 1 phút, cùng鑄 sismo.eth DAO (SDAO) trong vòng 10 phút, đồng thời các thao tác khác cũng diễn ra gần như đồng thời, hai tài khoản hoạt động đồng bộ.
Thú vị hơn, Kevin Pawlak còn thường xuyên dùng tài khoản phụ 「Sisyphus」 đăng các bài chỉ trích OpenSea – có thể là để gây áp lực, khiến OpenSea ra mắt một dự án mà anh ta có thể hưởng lợi nhiều nhất, hoặc đơn giản chỉ là than vãn.
Nhiều người hơn nữa, bao gồm cả phóng viên Tim Copeland của The Block, xác nhận rằng danh tính thật của Sisyphus đúng là Kevin Pawlak – thực tế danh tính này vốn đã được biết rộng rãi trong giới nhỏ.
Hiện tại, anh ta đã đổi tên ví thành pawlak.eth. Địa chỉ ví là:
0xBB5BB336d1Db8471B77F936C210B15fa2A5b3cbb.
Kevin Pawlak rất thông minh, từng là bán kết viên trong cuộc thi nhân tài khoa học Intel, có bằng kỹ sư hóa học, từng ấp ủ giấc mơ trở thành bác sĩ phẫu thuật/nhà nghiên cứu khoa học, nhưng những người quen biết anh ta lại nhắc đến mặt tối: tàn nhẫn, phi đạo đức, chống đối xã hội, có thể nói dối mà không chút lương tâm hay hối hận.
Tháng 10 năm ngoái, Kevin Pawlak đã mua một bất động sản khác tại New York với giá 3,3 triệu USD. Theo nguồn tin, gần đây Kevin Pawlak đã mua một chiếc Rolls-Royce và Lamborghini tại Pháp (trị giá hơn 1 triệu USD), và bí mật khoe của cải cũng như lối sống xa hoa của mình.
(Căn nhà mới của Kevin Pawlak)
Hiện tại, Kevin Pawlak (Sisyphus) vẫn chưa có phản hồi trực tiếp nào trước những nghi vấn từ dư luận. Nếu có thông tin mới, Odaily星球日报 sẽ tiếp tục cập nhật sớm nhất.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Odaily
