Hiểu rõ chiêu trò Rugpull đằng sau khoản thất thoát 15 triệu đô la Mỹ
Tuyển chọn TechFlowTuyển chọn TechFlow
Hiểu rõ chiêu trò Rugpull đằng sau khoản thất thoát 15 triệu đô la Mỹ
Đừng nên giẫm phải mìn nữa.
Chuyên sâu báo cáo Web3Tác giả: Ada
TenArmor và GoPlus sở hữu hệ thống phát hiện Rugpull mạnh mẽ. Gần đây, hai bên đã hợp tác chặt chẽ để tiến hành phân tích rủi ro và nghiên cứu điển hình sâu rộng về tình trạng Rugpull ngày càng nghiêm trọng, phơi bày những thủ đoạn và xu hướng mới nhất của các cuộc tấn công Rugpull, đồng thời đưa ra các khuyến nghị bảo vệ an toàn hiệu quả cho người dùng.
Thống kê sự kiện Rugpull
Hệ thống phát hiện của TenArmor mỗi ngày đều phát hiện hàng loạt sự kiện Rugpull. Nhìn lại dữ liệu trong một tháng qua, số lượng sự kiện Rugpull có xu hướng gia tăng, đặc biệt vào ngày 14 tháng 11, riêng ngày đó đã ghi nhận tới 31 vụ Rugpull. Chúng tôi cho rằng cần thiết phải vạch trần hiện tượng này trước cộng đồng.
Phần lớn các sự kiện Rugpull này gây thất thoát trong khoảng từ 0 - 100K USD, tổng cộng thiệt hại lên tới 15 triệu USD.
Mô hình Rugpull điển hình nhất trong lĩnh vực Web3 là "Pí Xiū Pan". Công cụ kiểm tra an toàn token của GoPlus có thể phát hiện được token nào là Pí Xiū Pan. Trong vòng một tháng qua, GoPlus đã phát hiện tổng cộng 5688 token dạng Pí Xiū Pan. Để biết thêm dữ liệu liên quan đến an toàn, hãy truy cập bảng điều khiển dữ liệu của GoPlus trên DUNE tại đây.
TÓM TẮT NHANH (TL;DR)
Dựa trên đặc điểm hiện tại của các sự kiện Rugpull, chúng tôi tóm tắt các điểm phòng tránh như sau:
1. Không nên chạy theo đám đông mù quáng, khi mua các loại tiền nóng, cần kiểm tra xem địa chỉ token có phải là địa chỉ thật hay không. Tránh mua phải token giả và rơi vào bẫy lừa đảo.
2. Khi đầu cơ coin mới (FOMO), cần thực hiện kiểm tra kỹ lưỡng, xem lưu lượng giao dịch ban đầu có đến từ các địa chỉ liên kết với người triển khai hợp đồng hay không. Nếu đúng như vậy, rất có thể đây là một bẫy lừa đảo, hãy cố gắng tránh xa.
3. Kiểm tra mã nguồn hợp đồng, đặc biệt cảnh giác với việc triển khai các hàm transfer/transferFrom, xem liệu có thể mua vào và bán ra bình thường hay không. Với các mã nguồn bị làm rối (obfuscated), hãy tránh xa.
4. Khi đầu tư, kiểm tra phân bổ holder, nếu thấy sự tập trung vốn rõ ràng thì nên tránh.
5. Xem xét nguồn vốn của người phát hành hợp đồng, cố gắng truy ngược tối đa 10 bước, kiểm tra xem nguồn vốn của người phát hành có đến từ các sàn giao dịch đáng ngờ hay không.
6. Theo dõi thông tin cảnh báo do TenArmor phát hành để cắt lỗ kịp thời. TenArmor có khả năng phát hiện sớm các token lừa đảo loại này — hãy theo dõi tài khoản X của TenArmor tại đây để nhận cảnh báo tức thì.
7. Hệ thống TenTrace hiện đã tích lũy dữ liệu thư viện địa chỉ Scam/Phishing/Exploit từ nhiều nền tảng, có thể hiệu quả nhận diện dòng tiền vào/ra từ các địa chỉ đen. TenArmor cam kết cải thiện môi trường an toàn cho cộng đồng, chào đón các đối tác có nhu cầu hợp tác.
ĐẶC ĐIỂM CỦA SỰ KIỆN RUGPULL
Thông qua phân tích hàng loạt sự kiện Rugpull, chúng tôi nhận thấy các vụ Rugpull gần đây có những đặc điểm sau:
Mạo danh các đồng tiền nổi tiếng
Từ ngày 1 tháng 11, hệ thống phát hiện của TenArmor đã ghi nhận 5 vụ Rugpull mạo danh token PNUT. Theo bài đăng này, PNUT bắt đầu hoạt động từ ngày 1 tháng 11 và tăng giá 161 lần trong vòng 7 ngày, thu hút sự chú ý mạnh mẽ từ nhà đầu tư. Thời điểm PNUT bắt đầu vận hành và tăng giá trùng khớp với thời điểm các kẻ lừa đảo bắt đầu mạo danh PNUT. Việc mạo danh PNUT giúp chúng dễ dàng dụ dỗ những người không hiểu rõ sự việc.
Các vụ Rugpull mạo danh PNUT đã chiếm đoạt tổng cộng 103,1K USD. TenArmor nhắc nhở người dùng: đừng chạy theo đám đông, khi mua tiền nóng, luôn kiểm tra xem địa chỉ token có phải là chính xác hay không.
Chiêu bài nhằm vào bot FOMO (đầu cơ coin mới)
Việc phát hành đồng tiền hoặc dự án mới thường thu hút sự chú ý lớn từ thị trường. Giá biến động mạnh ngay khi niêm yết, thậm chí chênh lệch lớn chỉ trong vài giây, tốc độ giao dịch trở thành yếu tố then chốt để kiếm lời. Robot giao dịch vượt trội hơn hẳn con người về tốc độ và phản ứng, do đó các bot FOMO hiện nay rất được ưa chuộng.
Tuy nhiên, các kẻ lừa đảo cũng nhanh chóng nhận ra sự tồn tại phổ biến của các bot FOMO và lập bẫy chờ chúng sập bẫy. Ví dụ, địa chỉ 0xC757349c0787F087b4a2565Cd49318af2DE0d0d7 kể từ tháng 10 năm 2024 đã thực hiện hơn 200 vụ lừa đảo, mỗi vụ từ lúc triển khai hợp đồng bẫy đến khi rút sạch thanh khoản (Rugpull) chỉ diễn ra trong vài giờ.
Lấy vụ lừa đảo gần đây nhất do địa chỉ này thực hiện làm ví dụ: kẻ lừa đảo trước tiên sử dụng 0xCd93 để tạo token FLIGHT, sau đó tạo cặp giao dịch FLIGHT/ETH.
Sau khi cặp giao dịch được tạo, rất nhiều bot FOMO Banana Gun lập tức đổ vào đổi một lượng nhỏ token. Phân tích cho thấy các bot này thực chất do chính kẻ lừa đảo kiểm soát, nhằm tạo ra lưu lượng ảo.
Sau khoảng 50 giao dịch nhỏ tạo đủ “lưu lượng”, đã thu hút được các nhà đầu tư thật sự. Phần lớn những nhà đầu tư này cũng sử dụng bot FOMO Banana Gun để giao dịch.
Sau một thời gian giao dịch, kẻ lừa đảo triển khai hợp đồng dùng để Rugpull — có thể thấy nguồn vốn của hợp đồng này đến từ địa chỉ 0xC757. Chỉ sau 1 giờ 42 phút kể từ lúc triển khai hợp đồng, chúng đã rút sạch thanh khoản, thu lợi 27 ETH.
Phân tích thủ đoạn này, ta thấy rõ: kẻ lừa đảo trước tiên tạo lưu lượng ảo bằng các giao dịch nhỏ để dụ bot FOMO, sau đó triển khai hợp đồng Rugpull, rút tiền khi đạt mục tiêu lợi nhuận. TenArmor cho rằng, dù bot FOMO giúp mua nhanh và giành lợi thế, nhưng người dùng vẫn cần cảnh giác với các kẻ lừa đảo. Khi FOMO, hãy kiểm tra kỹ xem lưu lượng ban đầu có đến từ địa chỉ liên kết với người triển khai hay không — nếu đúng, hãy tránh xa.
Mã nguồn ẩn chứa bẫy
Thuế giao dịch (Transaction Tax)
Hình dưới là mã triển khai hàm chuyển tiền của token FLIGHT. Có thể thấy rõ sự khác biệt lớn so với chuẩn ERC-20. Mỗi lần chuyển tiền đều phải căn cứ vào điều kiện hiện tại để quyết định có thu thuế hay không. Loại thuế này hạn chế cả việc mua vào và bán ra — rất có thể đây là token lừa đảo.
Trường hợp như vậy, người dùng chỉ cần kiểm tra mã nguồn token là có thể phát hiện điểm bất thường, tránh rơi vào bẫy.
Mã nguồn bị làm rối (Obfuscation)
Như đề cập trong bài viết mới nhất của TenArmor: Tổng quan 5 năm về các sự kiện Rug Pull lớn: Cách nhà đầu tư và người dùng nên ứng phó, một số kẻ lừa đảo cố tình làm rối mã nguồn để che giấu ý đồ, khiến mã khó đọc. Khi gặp trường hợp này, hãy lập tức tránh xa.
Rõ mặt chữ "rugApproved"
Trong vô số sự kiện Rugpull mà TenArmor phát hiện, có không ít vụ hành động trắng trợn. Ví dụ, giao dịch này trực tiếp bộc lộ ý đồ.
Thông thường giữa thời điểm triển khai hợp đồng Rugpull và thời điểm thực hiện Rugpull sẽ có một "khoảng trống thời gian". Trong ví dụ này, khoảng trống gần 3 giờ. Để phòng tránh kiểu lừa đảo này, hãy theo dõi tài khoản X của TenArmor — chúng tôi sẽ gửi thông báo ngay khi phát hiện các hợp đồng rủi ro, nhắc người dùng rút vốn kịp thời.
Bên cạnh đó, các hàm như rescueEth/recoverStuckETH cũng là các interface Rugpull phổ biến. Tất nhiên, chỉ riêng việc tồn tại hàm này chưa chắc đã là lừa đảo — cần kết hợp các đặc điểm khác để nhận diện.
Holder tập trung cao
Gần đây, TenArmor phát hiện các sự kiện Rugpull có đặc điểm phân bổ holder rất rõ rệt. Chúng tôi chọn ngẫu nhiên 3 token liên quan đến các vụ Rugpull để phân tích. Kết quả như sau:
0x5b226bdc6b625910961bdaa72befa059be829dbf5d4470adabd7e3108a32cc1a
0x9841cba0af59a9622df4c0e95f68a369f32fbdf6cabc73757e7e1d2762e37115
0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Trong cả 3 ví dụ, Uniswap V2 pair là holder lớn nhất, chiếm ưu thế tuyệt đối về số lượng token nắm giữ. TenArmor nhắc nhở người dùng: nếu phát hiện một token có holder tập trung quá mức vào một địa chỉ duy nhất (ví dụ như Uniswap V2 pair), hãy thận trọng khi giao dịch.
Nguồn vốn
Chúng tôi chọn ngẫu nhiên 3 vụ Rugpull do TenArmor phát hiện để phân tích nguồn vốn.
Ví dụ 1
tx: 0x0f4b9eea1dd24f1230f9d388422cfccf65f45cf79807805504417c11cf12a291
Truy ngược 6 bước, phát hiện dòng tiền từ FixedFloat.
FixedFloat là một sàn giao dịch tiền mã hóa tự động không yêu cầu đăng ký hoặc xác minh KYC. Kẻ lừa đảo chọn FixedFloat để nạp tiền nhằm che giấu danh tính.
Ví dụ 2
tx: 0x52b6ddf2f57f2c4f0bd4cc7d3d3b4196d316d5e0a4fb749ed29e53e874e36725
Truy ngược 5 bước, phát hiện dòng tiền từ MEXC 1.
Ngày 15 tháng 3 năm 2024, Ủy ban Chứng khoán Hồng Kông (SFC) đăng cảnh báo về sàn MEXC, nêu rõ MEXC đang quảng bá dịch vụ tích cực tới nhà đầu tư Hồng Kông nhưng không có giấy phép hoặc đơn xin cấp phép từ SFC. Ngày 15 tháng 3 năm 2024, SFC đã đưa MEXC và trang web của họ vào danh sách cảnh báo các sàn giao dịch tài sản ảo đáng ngờ.
Ví dụ 3
tx: 0x8339e5ff85402f24f35ccf3b7b32221c408680421f34e1be1007c0de31b95f23
Truy ngược 5 bước, phát hiện dòng tiền từ Disperse.app.
Disperse.app dùng để phân tán ETH hoặc token tới nhiều địa chỉ khác nhau.
Phân tích giao dịch cho thấy người gọi Disperse.app lần này là 0x511E04C8f3F88541d0D7DFB662d71790A419a039, truy ngược thêm 2 bước lại thấy dòng tiền từ Disperse.app.
Phân tích tiếp, người gọi Disperse.app lần nữa là 0x97e8B942e91275E0f9a841962865cE0B889F83ac, truy ngược thêm 2 bước nữa thấy dòng tiền từ MEXC 1.
Phân tích ba ví dụ trên, ta thấy kẻ lừa đảo chọn các sàn không yêu cầu KYC và không có giấy phép để nạp tiền. TenArmor nhắc nhở người dùng: khi đầu tư coin mới, hãy kiểm tra xem nguồn vốn của người triển khai hợp đồng có đến từ các sàn giao dịch đáng ngờ hay không.
BIỆN PHÁP PHÒNG NGỪA
Dựa trên dữ liệu tổng hợp từ TenArmor và GoPlus, bài viết này đã hệ thống hóa toàn diện các đặc điểm kỹ thuật của Rugpull và trình bày các ví dụ điển hình. Từ những đặc điểm trên, chúng tôi tóm tắt các biện pháp phòng ngừa tương ứng như sau:
1. Không chạy theo đám đông mù quáng, khi mua tiền nóng cần kiểm tra địa chỉ token có đúng hay không. Tránh mua phải token giả, rơi vào bẫy lừa đảo.
2. Khi FOMO, cần kiểm tra kỹ, xem lưu lượng ban đầu có đến từ địa chỉ liên kết với người triển khai hay không — nếu đúng, có thể đây là bẫy lừa đảo, hãy tránh xa.
3. Kiểm tra mã nguồn hợp đồng, đặc biệt cảnh giác với hàm transfer/transferFrom, xem có thể mua/bán bình thường hay không. Tránh xa các mã nguồn bị làm rối.
4. Khi đầu tư, kiểm tra phân bổ holder — nếu thấy tập trung vốn rõ rệt, hãy tránh lựa chọn token đó.
5. Kiểm tra nguồn vốn của người phát hành hợp đồng, cố gắng truy ngược tối đa 10 bước, xem nguồn vốn có đến từ các sàn giao dịch đáng ngờ hay không.
6. Theo dõi cảnh báo từ TenArmor để cắt lỗ kịp thời. TenArmor có khả năng phát hiện sớm các token lừa đảo — hãy theo dõi tài khoản X của TenArmor để nhận cảnh báo tức thì.
Các địa chỉ độc hại liên quan đến các sự kiện Rugpull này đều được cập nhật thời gian thực vào hệ thống TenTrace. TenTrace là hệ thống chống rửa tiền (AML) do TenArmor tự phát triển, phù hợp với nhiều kịch bản như chống rửa tiền, chống lừa đảo, truy vết danh tính kẻ tấn công. Hiện TenTrace đã tích lũy thư viện địa chỉ Scam/Phishing/Exploit từ nhiều nền tảng, có thể hiệu quả nhận diện dòng tiền vào từ địa chỉ đen và chính xác giám sát dòng tiền ra. TenArmor cam kết cải thiện môi trường an toàn cho cộng đồng, chào đón các đối tác có nhu cầu hợp tác.
VỀ TENARMOR
TenArmor là hàng rào an toàn đầu tiên của bạn trong thế giới Web3. Chúng tôi cung cấp các giải pháp an toàn tiên tiến, chuyên giải quyết những thách thức độc đáo mà công nghệ blockchain mang lại. Thông qua các sản phẩm sáng tạo ArgusAlert và VulcanShield, chúng tôi đảm bảo bảo vệ thời gian thực và phản ứng nhanh trước các mối đe dọa tiềm tàng. Đội ngũ chuyên gia của chúng tôi am hiểu từ kiểm toán hợp đồng thông minh đến truy vết tiền mã hóa, trở thành đối tác tin cậy hàng đầu cho mọi tổ chức muốn bảo vệ tài sản số trong lĩnh vực phi tập trung.
Theo dõi chúng tôi tại @TenArmorAlert để nhận cảnh báo an toàn Web3 mới nhất.
Hãy liên hệ với chúng tôi:
X: @TenArmor
Email: team@tenarmor.com
Telegram: TenArmorTeam
Medium: TenArmor
VỀ GOPPLUS
GoPlus là mạng lưới bảo vệ an toàn trên chuỗi đầu tiên, hướng tới việc cung cấp cho mỗi người dùng biện pháp bảo vệ trên chuỗi dễ sử dụng và toàn diện nhất, đảm bảo an toàn cho mọi giao dịch và tài sản.
Cơ cấu dịch vụ an toàn chủ yếu gồm: ứng dụng GoPlus dành trực tiếp cho người dùng cuối (phiên bản web và tiện ích mở rộng trình duyệt), và GoPlus Intelligence phục vụ gián tiếp thông qua tích hợp/B2B. GoPlus đã phủ sóng nhóm người dùng Web3 rộng lớn nhất và đa dạng nhất các tình huống giao dịch, hướng tới xây dựng một mạng lưới bảo vệ an toàn trên chuỗi mở, lấy người dùng làm trung tâm:
Một mặt, mọi dự án đều có thể tự tích hợp GoPlus để cung cấp bảo vệ an toàn cho người dùng; mặt khác, GoPlus cho phép các nhà phát triển tận dụng thế mạnh của mình, triển khai các sản phẩm an toàn sáng tạo lên chợ an toàn GoPlus, người dùng có thể tự do lựa chọn và cấu hình các dịch vụ an toàn tiện lợi, cá nhân hóa — từ đó xây dựng một hệ sinh thái an toàn mở, phi tập trung, nơi nhà phát triển và người dùng cùng hợp tác.
Hiện GoPlus đã trở thành đối tác an toàn được ưa chuộng hàng đầu của các nhà xây dựng Web3. Dịch vụ an toàn trên chuỗi của GoPlus được tích hợp rộng rãi bởi Trust Wallet, CoinMarketCap, OKX, Bybit, DexScreener, SushiSwap... trung bình mỗi ngày xử lý hơn 34 triệu lượt gọi API, tổng cộng đã xử lý hơn 4 tỷ lượt, bao phủ hơn 90% giao dịch trên chuỗi của người dùng, nền tảng ứng dụng an toàn mở của GoPlus cũng đã phục vụ hơn 12 triệu người dùng trên chuỗi.
Cộng đồng của chúng tôi:
Discord: GoPlusSecurity
Medium: GoPlusSecurity
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
GoPlus Security
