Điều tra sâu về các vụ Rug Pull, vạch trần tình trạng hỗn loạn trong hệ sinh thái token Ethereum
Tuyển chọn TechFlowTuyển chọn TechFlow
Điều tra sâu về các vụ Rug Pull, vạch trần tình trạng hỗn loạn trong hệ sinh thái token Ethereum
Hãy luôn cảnh giác trước những vụ lừa đảo ngày càng tinh vi và thực hiện kịp thời các biện pháp phòng ngừa cần thiết để bảo vệ an toàn tài sản của bản thân.
Chuyên sâu báo cáo Web3Tác giả: CertiK
Giới thiệu
Trong thế giới Web3, các token mới liên tục xuất hiện. Bạn có từng tự hỏi mỗi ngày có bao nhiêu token mới được phát hành? Những token mới này có an toàn không?
Những câu hỏi này hoàn toàn có cơ sở. Trong vài tháng qua, đội ngũ an ninh CertiK đã phát hiện hàng loạt vụ gian lận "Rug Pull". Đáng chú ý, tất cả các token liên quan đến những vụ việc này đều là những token vừa mới lên blockchain.
Sau đó, CertiK tiến hành điều tra sâu về các trường hợp Rug Pull và phát hiện ra背 sau chúng là các nhóm tội phạm có tổ chức, đồng thời tổng kết được những đặc điểm mang tính khuôn mẫu của các vụ lừa đảo này. Thông qua phân tích kỹ lưỡng phương thức hoạt động của các nhóm này, CertiK phát hiện ra một kênh quảng bá khả nghi mà các nhóm gian lận Rug Pull có thể đang sử dụng: các nhóm Telegram. Các nhóm này lợi dụng chức năng “New Token Tracer” trong các nhóm Telegram như Banana Gun, Unibot để dụ người dùng mua token lừa đảo và cuối cùng thu lợi từ các vụ Rug Pull.
CertiK đã thống kê dữ liệu thông báo token trên các nhóm Telegram từ tháng 11/2023 đến đầu tháng 8/2024, phát hiện có tổng cộng 93.930 loại token mới được quảng bá, trong đó có tới 46.526 loại liên quan đến Rug Pull, chiếm tỷ lệ cao tới 49,53%. Theo thống kê, tổng chi phí đầu tư ban đầu của các nhóm này cho các vụ Rug Pull là 149.813,72 ETH, thu lợi nhuận lên tới 282.699,96 ETH với tỷ suất lợi nhuận đạt 188,7%, tương đương khoảng 800 triệu USD.
Để đánh giá tỷ lệ token mới được quảng bá trên các nhóm Telegram so với tổng số token mới phát hành trên mạng chính Ethereum, CertiK đã thống kê dữ liệu phát hành token mới trên mạng chính Ethereum trong cùng khoảng thời gian. Dữ liệu cho thấy trong giai đoạn này đã có tổng cộng 100.260 loại token mới được phát hành, trong đó các token được quảng bá qua nhóm Telegram chiếm tới 89,99% tổng số token trên mạng chính. Trung bình mỗi ngày có khoảng 370 token mới ra đời, vượt xa mức kỳ vọng hợp lý. Sau quá trình điều tra sâu hơn, chúng tôi phát hiện ra sự thật đáng lo ngại — ít nhất 48.265 loại trong số này là token lừa đảo, chiếm tỷ lệ lên tới 48,14%. Nói cách khác, gần như cứ hai token mới trên mạng chính Ethereum thì có một token là lừa đảo.
Hơn nữa, CertiK cũng phát hiện ra nhiều vụ Rug Pull hơn nữa trên các mạng blockchain khác. Điều này cho thấy không chỉ riêng Ethereum, tình trạng an toàn của hệ sinh thái token mới trong toàn bộ Web3 nghiêm trọng hơn nhiều so với dự đoán. Vì vậy, CertiK viết báo cáo nghiên cứu này nhằm giúp tất cả thành viên Web3 nâng cao nhận thức phòng ngừa, luôn cảnh giác trước những hình thức lừa đảo层出不穷 và kịp thời thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ tài sản của mình.
Token ERC-20
Trước khi bắt đầu báo cáo, hãy cùng tìm hiểu một số khái niệm cơ bản.
Token ERC-20 là một trong những tiêu chuẩn token phổ biến nhất trên blockchain hiện nay, định nghĩa một tập quy tắc giúp token có thể tương tác giữa các hợp đồng thông minh và ứng dụng phi tập trung (dApp). Tiêu chuẩn ERC-20 quy định các chức năng cơ bản của token như chuyển tiền, kiểm tra số dư, ủy quyền quản lý token cho bên thứ ba. Nhờ vào giao thức chuẩn hóa này, các nhà phát triển có thể dễ dàng phát hành và quản lý token, đơn giản hóa quá trình tạo và sử dụng token. Thực tế, bất kỳ cá nhân hay tổ chức nào cũng có thể phát hành token riêng theo tiêu chuẩn ERC-20 và gây quỹ khởi nghiệp cho các dự án tài chính thông qua hình thức bán trước. Chính vì sự phổ biến của ERC-20, nó đã trở thành nền tảng cho nhiều ICO và dự án tài chính phi tập trung.
Các token quen thuộc như USDT, PEPE, DOGE đều thuộc loại ERC-20, người dùng có thể mua những token này trên các sàn giao dịch phi tập trung. Tuy nhiên, một số nhóm lừa đảo cũng có thể tự phát hành các token độc hại chứa mã độc, niêm yết trên các sàn giao dịch phi tập trung rồi dụ người dùng mua.
Một vụ lừa đảo điển hình với token Rug Pull
Tại đây, chúng ta sẽ dùng một ví dụ về vụ lừa đảo token Rug Pull để tìm hiểu sâu hơn mô hình vận hành của các vụ lừa đảo token độc hại. Trước tiên cần làm rõ, Rug Pull là hành vi gian lận mà bên phát hành rút đột ngột toàn bộ vốn hoặc bỏ rơi dự án trong các dự án tài chính phi tập trung, khiến nhà đầu tư chịu tổn thất nặng nề. Còn token Rug Pull là loại token được phát hành chuyên biệt để thực hiện hành vi gian lận này.
Token Rug Pull được nhắc đến trong bài viết này đôi khi còn được gọi là "token mật ong" (Honey Pot) hoặc "token lừa đảo rút lui" (Exit Scam), nhưng từ nay về sau sẽ thống nhất gọi là token Rug Pull.
· Ví dụ
Kẻ tấn công (nhóm Rug Pull) sử dụng địa chỉ Deployer (0x4bAF) triển khai token TOMMI, sau đó dùng 1,5 ETH và 100.000.000 TOMMI tạo nhóm thanh khoản, đồng thời dùng các địa chỉ khác chủ động mua token TOMMI để giả lập khối lượng giao dịch lớn trong nhóm thanh khoản, nhằm thu hút người dùng và các bot săn token mới mua TOMMI. Khi có một lượng đủ lớn bot săn token mắc bẫy, kẻ tấn công dùng địa chỉ Rug Puller (0x43a9) thực hiện Rug Pull, Rug Puller dùng 38.739.354 TOMMI đổ vào nhóm thanh khoản, đổi được khoảng 3,95 ETH. Số token của Rug Puller đến từ việc cấp phép approve độc hại trong hợp đồng token TOMMI — khi triển khai hợp đồng, nhóm Rug Pull đã cấp quyền approve nhóm thanh khoản cho địa chỉ Rug Puller, cho phép Rug Puller trực tiếp rút token từ nhóm thanh khoản để thực hiện Rug Pull.
· Các địa chỉ liên quan
-
Deployer: 0x4bAFd8c32D9a8585af0bb6872482a76150F528b7
-
Token TOMMI: 0xe52bDD1fc98cD6c0cd544c0187129c20D4545C7F
-
Rug Puller: 0x43A905f4BF396269e5C559a01C691dF5CbD25a2b
-
Người dùng giả mạo bởi Rug Puller (một trong số): 0x4027F4daBFBB616A8dCb19bb225B3cF17879c9A8
-
Địa chỉ trung chuyển tiền Rug Pull: 0x1d3970677aa2324E4822b293e500220958d493d0
-
Địa chỉ lưu giữ tiền Rug Pull: 0x28367D2656434b928a6799E0B091045e2ee84722
· Giao dịch liên quan
-
Deployer lấy vốn khởi nghiệp từ sàn tập trung: 0x428262fb31b1378ea872a59528d3277a292efe7528d9ffa2bd926f8bd4129457
-
Triển khai token TOMMI: 0xf0389c0fa44f74bca24bc9d53710b21f1c4c8c5fba5b2ebf5a8adfa9b2d851f8
-
Tạo nhóm thanh khoản: 0x59bb8b69ca3fe2b3bb52825c7a96bf5f92c4dc2a8b9af3a2f1dddda0a79ee78c
-
Địa chỉ trung chuyển gửi tiền cho một người dùng giả mạo (một trong số): 0x972942e97e4952382d4604227ce7b849b9360ba5213f2de6edabb35ebbd20eff
-
Người dùng giả mạo mua token (một trong số): 0x814247c4f4362dc15e75c0167efaec8e3a5001ddbda6bc4ace6bd7c451a0b231
-
Thực hiện Rug Pull: 0xfc2a8e4f192397471ae0eae826dac580d03bcdfcb929c7423e174d1919e1ba9c
-
Gửi tiền thu được từ Rug Pull đến địa chỉ trung chuyển: 0xf1e789f32b19089ccf3d0b9f7f4779eb00e724bb779d691f19a4a19d6fd15523
-
Địa chỉ trung chuyển gửi tiền đến địa chỉ lưu giữ: 0xb78cba313021ab060bd1c8b024198a2e5e1abc458ef9070c0d11688506b7e8d7
· Quy trình Rug Pull
1. Chuẩn bị vốn tấn công.
Kẻ tấn công nạp 2,47309009 ETH vào địa chỉ Token Deployer (0x4bAF) thông qua sàn tập trung làm vốn khởi nghiệp cho Rug Pull.
Hình 1: Thông tin giao dịch lấy vốn từ sàn của Deployer
2. Triển khai token Rug Pull có lỗ hổng.
Deployer tạo token TOMMI, đào trước 100.000.000 token và phân bổ cho chính mình.
Hình 2: Thông tin giao dịch tạo token TOMMI của Deployer
3. Tạo nhóm thanh khoản ban đầu.
Deployer dùng 1,5 ETH và toàn bộ token đào trước để tạo nhóm thanh khoản, nhận được khoảng 0,387 LP token.
Hình 3: Lưu chuyển vốn trong giao dịch tạo nhóm thanh khoản của Deployer
4. Hủy toàn bộ lượng token đào trước.
Token Deployer gửi toàn bộ LP token đến địa chỉ 0 để hủy. Do hợp đồng TOMMI không có chức năng Mint nên lúc này về lý thuyết Deployer đã mất khả năng thực hiện Rug Pull. (Đây cũng là một trong những điều kiện cần để thu hút bot săn token, Deployer còn đặt Owner của hợp đồng thành địa chỉ 0 nhằm đánh lừa chương trình chống gian lận của các bot săn token).
Hình 4: Thông tin giao dịch hủy LP token của Deployer
5. Giả lập khối lượng giao dịch.
Kẻ tấn công dùng nhiều địa chỉ chủ động mua token TOMMI từ nhóm thanh khoản để thổi phồng khối lượng giao dịch, thu hút thêm bot săn token (căn cứ xác định các địa chỉ này do kẻ tấn công giả mạo: nguồn vốn đến từ địa chỉ trung chuyển vốn lịch sử của nhóm Rug Pull).
Hình 5: Thông tin giao dịch và lưu chuyển vốn khi các địa chỉ khác của kẻ tấn công mua token TOMMI
6. Kẻ tấn công dùng địa chỉ Rug Puller (0x43A9) thực hiện Rug Pull, tận dụng lỗ hổng trong token để rút trực tiếp 38.739.354 token từ nhóm thanh khoản, sau đó dùng số token này đổ vào nhóm để rút khoảng 3,95 ETH.
Hình 6: Thông tin giao dịch và lưu chuyển vốn trong giao dịch Rug Pull
7. Kẻ tấn công gửi tiền thu được từ Rug Pull đến địa chỉ trung chuyển 0xD921.
Hình 7: Thông tin giao dịch gửi lợi nhuận từ Rug Puller đến địa chỉ trung chuyển
8. Địa chỉ trung chuyển 0xD921 gửi tiền đến địa chỉ lưu giữ 0x2836. Có thể thấy sau khi Rug Pull hoàn tất, Rug Puller sẽ gửi tiền đến một địa chỉ lưu giữ. Đây là nơi chúng tôi quan sát thấy dòng tiền của hàng loạt vụ Rug Pull hội tụ. Địa chỉ lưu giữ sẽ chia nhỏ phần lớn tiền thu được để bắt đầu chuỗi Rug Pull mới, còn lại một phần nhỏ sẽ rút qua sàn tập trung. Chúng tôi đã phát hiện ra một số địa chỉ lưu giữ như vậy, 0x2836 là một trong số đó.
Hình 8: Thông tin chuyển tiền từ địa chỉ trung chuyển
· Lỗ hổng mã code trong Rug Pull
Mặc dù đã hủy LP token để chứng minh họ không thể thực hiện Rug Pull, nhưng thực tế kẻ tấn công đã để lại một lỗ hổng approve độc hại trong hàm openTrading của hợp đồng token TOMMI. Lỗ hổng này khi tạo nhóm thanh khoản sẽ cho phép nhóm thanh khoản approve quyền chuyển token cho địa chỉ Rug Puller, giúp địa chỉ này rút trực tiếp token từ nhóm thanh khoản.
Hình 9: Hàm openTrading trong hợp đồng token TOMMI
Hình 10: Hàm onInit trong hợp đồng token TOMMI
Hàm openTrading được thực hiện như Hình 9, chức năng chính là tạo nhóm thanh khoản mới, nhưng kẻ tấn công đã gọi hàm hậu môn onInit (Hình 10) bên trong, khiến uniswapV2Pair approve quyền chuyển token với số lượng type(uint256) cho địa chỉ _chefAddress. Trong đó uniswapV2Pair là địa chỉ nhóm thanh khoản, _chefAddress là địa chỉ Rug Puller, được chỉ định khi triển khai hợp đồng (_chefAddress ở Hình 11).
Hình 11: Hàm khởi tạo trong hợp đồng token TOMMI
· Đặc điểm khuôn mẫu
Thông qua phân tích ví dụ TOMMI, chúng tôi rút ra 4 đặc điểm sau:
1. Deployer lấy vốn từ sàn tập trung: Kẻ tấn công đầu tiên cung cấp nguồn vốn cho địa chỉ triển khai (Deployer) thông qua sàn tập trung.
2. Deployer tạo nhóm thanh khoản và hủy LP token: Sau khi tạo xong token Rug Pull, triển khai viên sẽ lập tức tạo nhóm thanh khoản và hủy LP token nhằm tăng độ tin cậy cho dự án, thu hút thêm nhà đầu tư.
3. Rug Puller dùng lượng lớn token để đổi ETH trong nhóm thanh khoản: Địa chỉ Rug Pull (Rug Puller) dùng lượng lớn token (thường vượt xa tổng cung) để đổi ETH trong nhóm thanh khoản. Trong các trường hợp khác, Rug Puller cũng có thể rút thanh khoản để lấy ETH.
4. Rug Puller chuyển ETH thu được từ Rug Pull đến địa chỉ lưu giữ: Rug Puller sẽ chuyển số ETH thu được đến địa chỉ lưu giữ, đôi khi qua địa chỉ trung gian.
Những đặc điểm trên phổ biến trong các vụ việc chúng tôi ghi nhận, cho thấy hành vi Rug Pull có đặc điểm khuôn mẫu rõ rệt. Hơn nữa, sau khi hoàn thành Rug Pull, tiền thường được tập trung về một địa chỉ lưu giữ, điều này ám chỉ rằng đằng sau những vụ Rug Pull tưởng như độc lập có thể là cùng một nhóm hoặc một băng đảng lừa đảo.
Dựa trên những đặc điểm này, chúng tôi trích xuất mô hình hành vi Rug Pull và dùng mô hình này quét các vụ việc được giám sát nhằm xây dựng chân dung khả dĩ của các băng đảng lừa đảo.
Băng đảng thực hiện Rug Pull
· Khai thác địa chỉ lưu giữ tiền
Như đã nói, các vụ Rug Pull thường kết thúc bằng việc tập trung tiền về địa chỉ lưu giữ. Dựa trên mô hình này, chúng tôi chọn ra một vài địa chỉ lưu giữ có hoạt động mạnh mẽ và đặc điểm thủ pháp rõ ràng để phân tích sâu.
Có 7 địa chỉ lưu giữ nằm trong tầm ngắm, liên quan đến tổng cộng 1.124 vụ Rug Pull, đều được hệ thống giám sát tấn công trên chuỗi của chúng tôi (CertiK Alert) ghi nhận thành công. Sau khi thực hiện thành công vụ lừa đảo, nhóm Rug Pull sẽ tập trung lợi nhuận bất chính về các địa chỉ này. Các địa chỉ lưu giữ sau đó chia nhỏ tiền để dùng cho các vụ Rug Pull mới như tạo token mới, thao túng nhóm thanh khoản. Một phần nhỏ tiền được rút qua sàn tập trung hoặc nền tảng hoán đổi nhanh.
Thống kê dữ liệu vốn của các địa chỉ lưu giữ như Bảng 1:
Thống kê chi phí và doanh thu của tất cả các vụ Rug Pull liên quan đến mỗi địa chỉ lưu giữ, chúng tôi có dữ liệu trong Bảng 1.
Trong một vụ Rug Pull hoàn chỉnh, nhóm thường dùng một địa chỉ làm triển khai viên (Deployer) token Rug Pull, lấy vốn khởi nghiệp từ sàn tập trung để tạo token và nhóm thanh khoản. Khi thu hút đủ người dùng hoặc bot săn token dùng ETH mua token Rug Pull, nhóm sẽ dùng một địa chỉ khác làm người thực hiện Rug Pull (Rug Puller) để chuyển tiền về địa chỉ lưu giữ.
Trong quá trình này, chúng tôi coi ETH mà Deployer lấy từ sàn hoặc ETH Deployer đầu tư khi tạo nhóm thanh khoản là chi phí (cách tính cụ thể tùy theo hành vi của Deployer). ETH mà Rug Puller chuyển về địa chỉ lưu giữ (hoặc địa chỉ trung gian khác) sau khi hoàn thành Rug Pull là doanh thu, từ đó có dữ liệu doanh thu và chi phí trong Bảng 1, lợi nhuận USD được quy đổi theo giá ETH/USD (1 ETH = 2.513,56 USD, thời điểm lấy giá là 31/8/2024), tính theo giá thực tế tại thời điểm tổng hợp dữ liệu.
Lưu ý rằng khi thực hiện lừa đảo, nhóm Rug Pull cũng chủ động dùng ETH mua token Rug Pull do mình tạo để mô phỏng hoạt động nhóm thanh khoản bình thường, thu hút bot săn token. Nhưng chi phí này không được tính vào, do đó dữ liệu trong Bảng 1 phóng đại lợi nhuận thực tế của nhóm, lợi nhuận thật sự thấp hơn.
Hình 12: Biểu đồ tỷ lệ lợi nhuận của các địa chỉ lưu giữ
Dùng dữ liệu lợi nhuận từ Bảng 1 để tạo biểu đồ tỷ lệ lợi nhuận như Hình 12. Ba địa chỉ có tỷ lệ lợi nhuận cao nhất lần lượt là 0x1607, 0xDF1a và 0x2836. Địa chỉ 0x1607 có lợi nhuận cao nhất, khoảng 2.668,17 ETH, chiếm 27,7% tổng lợi nhuận của tất cả địa chỉ.
Thực tế, dù tiền cuối cùng đổ về các địa chỉ lưu giữ khác nhau, nhưng do các vụ việc liên quan có nhiều điểm chung (như cách cài lỗ hổng, đường rút tiền...), chúng tôi nghi ngờ mạnh rằng các địa chỉ này có thể thuộc về cùng một nhóm.
Vậy giữa các địa chỉ lưu giữ này có mối liên hệ nào không?
· Khai thác mối liên hệ giữa các địa chỉ lưu giữ
Hình 13: Sơ đồ lưu chuyển vốn giữa các địa chỉ lưu giữ
Một chỉ số quan trọng để xác định mối liên hệ giữa các địa chỉ lưu giữ là xem xét liệu có chuyển khoản trực tiếp giữa chúng hay không. Để kiểm tra, chúng tôi crawl và phân tích lịch sử giao dịch của các địa chỉ này.
Trong hầu hết các trường hợp trước đây, lợi nhuận từ mỗi vụ Rug Pull cuối cùng chỉ chảy về một địa chỉ lưu giữ, nên không thể dùng dòng tiền để liên kết các địa chỉ lưu giữ khác nhau. Vì vậy, chúng tôi phải kiểm tra lưu chuyển vốn giữa các địa chỉ lưu giữ để tìm mối liên hệ trực tiếp, kết quả như Hình 13.
Lưu ý rằng trong Hình 13, địa chỉ 0x1d39 và 0x6348 là các địa chỉ hợp đồng cơ sở hạ tầng dùng chung cho các vụ Rug Pull. Các địa chỉ lưu giữ dùng hai hợp đồng này để chia nhỏ vốn và gửi đến các địa chỉ khác, các địa chỉ này dùng vốn để giả lập khối lượng giao dịch cho token Rug Pull.
Theo mối quan hệ chuyển ETH trực tiếp trong Hình 13, có thể chia 7 địa chỉ lưu giữ thành 3 tập hợp:
1. 0xDF1a và 0xDEd0;
2. 0x1607 và 0x4856;
3. 0x2836, 0x0573, 0xF653 và 0x7dd9.
Các địa chỉ trong cùng tập hợp có chuyển khoản trực tiếp, nhưng giữa các tập hợp thì không. Vậy có vẻ như 7 địa chỉ lưu giữ này thuộc về 3 nhóm khác nhau. Tuy nhiên, cả 3 tập hợp đều dùng chung các hợp đồng cơ sở hạ tầng để chia nhỏ ETH cho các vụ Rug Pull tiếp theo, khiến 3 nhóm tưởng như rời rạc này gắn kết lại thành một thể thống nhất. Liệu điều này có thể cho thấy thực chất tất cả các địa chỉ lưu giữ này đều thuộc về cùng một nhóm?
Câu hỏi này tạm thời không đi sâu, bạn đọc có thể tự suy ngẫm.
· Khai thác cơ sở hạ tầng dùng chung
Hai địa chỉ cơ sở hạ tầng dùng chung được nhắc đến trước đó là:
0x1d3970677aa2324E4822b293e500220958d493d0 và 0x634847D6b650B9f442b3B582971f859E6e65eB53.
Trong đó, địa chỉ cơ sở hạ tầng 0x1d39 chủ yếu có hai hàm: “multiSendETH” và “0x7a860e7e”. “multiSendETH” dùng để chia nhỏ chuyển khoản, các địa chỉ lưu giữ dùng hàm “Multi Send ETH” của 0x1d39 chia nhỏ một phần vốn đến nhiều địa chỉ nhằm giả lập khối lượng giao dịch cho token Rug Pull, thông tin giao dịch như Hình 14.
Thao tác chia nhỏ này giúp kẻ tấn công giả lập mức độ hoạt động của token, khiến chúng trông hấp dẫn hơn, dụ thêm người dùng hoặc bot săn token mua vào. Bằng thủ thuật này, nhóm Rug Pull có thể tăng thêm mức độ phức tạp và tính lừa đảo.
Hình 14: Thông tin giao dịch chia nhỏ vốn của địa chỉ lưu giữ qua 0x1d39
Hàm “0x7a860e7e” dùng để mua token Rug Pull, các địa chỉ giả làm người dùng thường sau khi nhận vốn chia nhỏ từ địa chỉ lưu giữ, hoặc trực tiếp tương tác với Router Uniswap để mua token Rug Pull, hoặc dùng hàm “0x7a860e7e” của 0x1d39 để mua, nhằm giả lập khối lượng giao dịch sôi động.
Chức năng chính của địa chỉ cơ sở hạ tầng 0x6348 tương tự 0x1d39, chỉ đổi tên hàm mua token Rug Pull thành “0x3f8a436c”, không trình bày thêm.
Để hiểu sâu hơn việc nhóm Rug Pull sử dụng cơ sở hạ tầng này, chúng tôi crawl và phân tích lịch sử giao dịch của 0x1d39 và 0x6348, thống kê tần suất sử dụng hai hàm trên bởi các địa chỉ ngoài, kết quả như Bảng 2 và Bảng 3.
Từ dữ liệu Bảng 2 và Bảng 3, có thể thấy đặc điểm rõ rệt trong việc nhóm Rug Pull sử dụng cơ sở hạ tầng: họ chỉ dùng một số ít địa chỉ lưu giữ hoặc trung gian để chia nhỏ vốn, nhưng dùng rất nhiều địa chỉ khác để giả lập khối lượng giao dịch. Ví dụ, số địa chỉ dùng 0x6348 để giả lập khối lượng lên tới 6.224. Quy mô địa chỉ lớn như vậy làm tăng khó khăn rất nhiều trong việc phân biệt địa chỉ kẻ tấn công và nạn nhân.
Cần nói rõ rằng, cách giả lập khối lượng của nhóm Rug Pull không chỉ giới hạn ở việc dùng các địa chỉ cơ sở hạ tầng, một số địa chỉ cũng trực tiếp dùng sàn giao dịch để hoán đổi token.
Hơn nữa, chúng tôi cũng thống kê việc 7 địa chỉ lưu giữ trên sử dụng các hàm của hai địa chỉ 0x1d39 và 0x6348, cũng như lượng ETH liên quan đến mỗi hàm, dữ liệu cuối cùng như Bảng 4 và Bảng 5.
Từ Bảng 4 và Bảng 5, có thể thấy các địa chỉ lưu giữ đã chia nhỏ vốn tổng cộng 3.616 lần qua cơ sở hạ tầng, với tổng số tiền lên tới 9.369,98 ETH. Ngoài ra, trừ địa chỉ 0xDF1a, tất cả các địa chỉ lưu giữ khác chỉ dùng cơ sở hạ tầng để chia nhỏ chuyển khoản, còn việc mua token Rug Pull do các địa chỉ nhận vốn chia nhỏ thực hiện. Điều này cho thấy trong quá trình作案, nhóm có tư duy rõ ràng, phân công nhiệm vụ minh bạch.
Địa chỉ 0x0573 không dùng cơ sở hạ tầng để chia nhỏ vốn, các vụ Rug Pull liên quan dùng vốn giả lập khối lượng từ các địa chỉ khác, cho thấy phong cách作案 giữa các địa chỉ lưu giữ có sự khác biệt nhất định.
Thông qua phân tích mối liên hệ vốn và việc sử dụng cơ sở hạ tầng giữa các địa chỉ lưu giữ, chúng tôi có cái nhìn toàn diện hơn về mối liên hệ giữa chúng. Phương thức作案 của các nhóm Rug Pull chuyên nghiệp và chuẩn hóa hơn tưởng tượng, cho thấy có tổ chức tội phạm đứng sau lên kế hoạch tỉ mỉ và thực hiện các hoạt động lừa đảo có hệ thống.
· Khai thác nguồn vốn作案
Khi thực hiện Rug Pull, nhóm thường dùng một địa chỉ EOA mới làm Deployer để triển khai token Rug Pull, và các địa chỉ Deployer này thường lấy vốn khởi nghiệp từ sàn tập trung hoặc nền tảng hoán đổi nhanh. Vì vậy, chúng tôi phân tích nguồn vốn của các vụ Rug Pull liên quan đến các địa chỉ lưu giữ trên, nhằm nắm rõ thông tin chi tiết về nguồn vốn作案.
Bảng 6 thể hiện phân bố số lượng nhãn nguồn vốn của Deployer trong các vụ Rug Pull liên quan đến từng địa chỉ lưu giữ.
Từ Bảng 6, có thể thấy trong các vụ Rug Pull liên quan đến các địa chỉ lưu giữ, phần lớn vốn của Deployer đến từ sàn tập trung (CEX). Trong tổng số 1.124 vụ Rug Pull phân tích, có tới 1.069 vụ lấy vốn từ ví nóng sàn tập trung, chiếm tỷ lệ cao tới 95,11%. Điều này có nghĩa là đối với đa số vụ Rug Pull, chúng ta có thể truy ngược về chủ tài khoản cụ thể thông qua thông tin KYC và lịch sử rút tiền của sàn, từ đó có được manh mối phá án then chốt.
Khi nghiên cứu sâu hơn, chúng tôi phát hiện nhóm Rug Pull thường lấy vốn作案 từ nhiều ví nóng sàn khác nhau, và mức độ sử dụng (số lần, tỷ lệ) của các ví này tương đương nhau. Điều này cho thấy nhóm cố tình tăng tính độc lập về dòng tiền giữa các vụ Rug Pull, nhằm tăng độ khó truy nguồn và độ phức tạp khi theo dõi.
Thông qua phân tích chi tiết các địa chỉ lưu giữ và các vụ Rug Pull, chúng tôi vẽ nên chân dung của các nhóm này: huấn luyện bài bản, phân công rõ ràng, có mưu đồ và tổ chức chặt chẽ. Những đặc điểm này cho thấy mức độ chuyên nghiệp cao và tính hệ thống trong hoạt động gian lận của chúng.
Trước những tội phạm tổ chức chặt chẽ như vậy, chúng tôi không khỏi thắc mắc và tò mò về kênh quảng bá của chúng: nhóm Rug Pull dùng cách gì để người dùng phát hiện và mua các token Rug Pull? Để trả lời câu hỏi này, chúng tôi bắt đầu chú ý đến các địa chỉ nạn nhân trong các vụ Rug Pull và cố gắng làm rõ cách nhóm này dụ người dùng tham gia lừa đảo.
· Khai thác địa chỉ nạn nhân
Thông qua phân tích liên kết vốn, chúng tôi duy trì danh sách địa chỉ nhóm Rug Pull và coi đây là danh sách đen, lọc ra tập hợp các địa chỉ nạn nhân từ ghi chép giao dịch nhóm thanh khoản tương ứng với token Rug Pull.
Sau khi phân tích các địa chỉ nạn nhân, chúng tôi có được thông tin về các địa chỉ nạn nhân liên quan đến địa chỉ lưu giữ (Bảng 7) và tình hình gọi hợp đồng của các địa chỉ nạn nhân (Bảng 8).
Từ dữ liệu Bảng 7, có thể thấy trong các vụ Rug Pull được hệ thống giám sát trên chuỗi (CertiK Alert) ghi nhận, trung bình mỗi vụ có 26,82 địa chỉ nạn nhân. Con số này thực tế cao hơn kỳ vọng ban đầu, cũng có nghĩa là mức độ gây hại của các vụ Rug Pull lớn hơn tưởng tượng.
Từ dữ liệu Bảng 8, có thể thấy ngoài các cách mua thông thường như Uniswap và MetaMask Swap, có tới 30,40% token Rug Pull được mua thông qua các nền tảng bot săn trên chuỗi nổi tiếng như Maestro và Banana Gun.
Phát hiện này nhắc nhở chúng tôi rằng các bot săn trên chuỗi có thể là một kênh quảng bá quan trọng của nhóm Rug Pull. Thông qua các bot này, nhóm có thể nhanh chóng thu hút người tham gia, đặc biệt là những người chuyên săn token mới. Vì vậy, chúng tôi tập trung vào các bot săn trên chuỗi để tìm hiểu sâu hơn vai trò và cơ chế quảng bá của chúng trong các vụ lừa đảo Rug Pull.
Kênh quảng bá token Rug Pull
Chúng tôi khảo sát hệ sinh thái săn token mới hiện nay trong Web3, nghiên cứu mô hình vận hành của các bot săn trên chuỗi, kết hợp với một số thủ thuật xã hội học, cuối cùng khoanh vùng hai kênh quảng cáo khả dĩ của nhóm Rug Pull: Twitter và các nhóm Telegram.
Cần nhấn mạnh rằng, các nhóm Twitter và Telegram này không phải do nhóm Rug Pull tự tạo, mà tồn tại như thành phần cơ bản trong hệ sinh thái săn token mới. Chúng do các đội ngũ vận hành bot săn trên chuỗi hoặc các nhóm săn chuyên nghiệp bên thứ ba duy trì, chuyên quảng bá token mới lên sàn cho người săn token. Những nhóm này trở thành kênh quảng cáo tự nhiên cho nhóm Rug Pull, dụ người dùng mua token độc hại thông qua việc đẩy tin token mới, từ đó thực hiện lừa đảo.
· Quảng cáo trên Twitter
Hình 15: Quảng cáo token TOMMI trên Twitter
Hình 15 cho thấy quảng cáo trên Twitter của token TOMMI đã đề cập. Có thể thấy nhóm Rug Pull đã lợi dụng dịch vụ đẩy tin token mới của Dexed.com để công khai token lừa đảo của họ, thu hút thêm nạn nhân. Trong khảo sát thực tế, chúng tôi phát hiện khá nhiều token Rug Pull có quảng cáo tương ứng trên Twitter, và các quảng cáo này thường đến từ tài khoản Twitter của các tổ chức bên thứ ba khác nhau.
· Quảng cáo trên nhóm Telegram
Hình 16: Nhóm Telegram đẩy tin token mới của Banana Gun
Hình 16 cho thấy nhóm Telegram chuyên dùng để đẩy tin token mới lên sàn do đội ngũ bot săn trên chuỗi Banana Gun vận hành. Nhóm này không chỉ đẩy tin thông tin cơ bản của token mới mà còn cung cấp cổng mua tiện lợi cho người dùng. Khi người dùng cấu hình xong cài đặt cơ bản của Banana Gun Sniper Bot, chỉ cần nhấn nút “Snipe” trong tin nhắn đẩy token tương ứng trên nhóm (phần được đóng khung đỏ trong Hình 16), có thể mua nhanh token đó.
Chúng tôi kiểm tra ngẫu nhiên các token được đẩy trên nhóm này, phát hiện tỷ lệ lớn trong số đó là token Rug Pull. Phát hiện này càng củng cố giả thuyết rằng nhóm Telegram rất có thể là một kênh quảng cáo quan trọng của nhóm Rug Pull.
Câu hỏi đặt ra là, trong các token mới được bên thứ ba đẩy tin, tỷ lệ token Rug Pull là bao nhiêu? Quy mô作案 của các nhóm Rug Pull lớn đến mức nào? Để làm rõ vấn đề này, chúng tôi quyết định quét và phân tích hệ thống dữ liệu token mới được đẩy trên các nhóm Telegram, nhằm vén màn quy mô rủi ro và sức ảnh hưởng của hành vi gian lận.
Phân tích hệ sinh thái token Ethereum
· Phân tích các token được đẩy trên nhóm Telegram
Để nghiên cứu tỷ lệ token Rug Pull trong các token mới được đẩy trên nhóm Telegram, chúng tôi dùng API Telegram crawl dữ liệu thông báo token mới trên các nhóm Telegram của Banana Gun, Unibot và các nhóm tin nhắn token bên thứ ba khác từ tháng 10/2023 đến tháng 8/2024, phát hiện trong thời gian này các nhóm đã đẩy tổng cộng 93.930 token.
Theo phân tích các vụ Rug Pull, nhóm Rug Pull thường dùng token Rug Pull tạo nhóm thanh khoản trên Uniswap V2, đầu tư một lượng ETH nhất định. Sau khi có người dùng hoặc bot săn token mua token trên nhóm, kẻ tấn công kiếm lời bằng cách xả hàng hoặc rút thanh khoản. Toàn bộ quá trình thường kết thúc trong vòng 24 giờ.
Vì vậy, chúng tôi tổng kết các quy tắc phát hiện token Rug Pull sau và dùng các quy tắc này quét 93.930 token, nhằm xác định tỷ lệ token Rug Pull trong các token mới được đẩy trên nhóm Telegram:
1. Trong 24 giờ gần nhất, token mục tiêu không có hành vi chuyển tiền: token Rug Pull sau khi xả hàng thường không còn hoạt động;
2. Tồn tại nhóm thanh khoản giữa token mục tiêu và ETH trên Uniswap V2: nhóm Rug Pull sẽ tạo nhóm thanh khoản giữa token và ETH trên Uniswap V2;
3. Tổng số sự kiện Transfer của token từ khi tạo đến thời điểm kiểm tra không vượt quá 1.000: token Rug Pull giao dịch ít, do đó số lần chuyển tiền tương đối ít;
4. Trong 5 giao dịch cuối cùng liên quan đến token, có hành vi rút thanh khoản lớn hoặc xả hàng: token Rug Pull khi kết thúc vụ lừa đảo sẽ thực hiện rút thanh khoản lớn hoặc xả hàng.
Dùng các quy tắc này để kiểm tra các token được đẩy trên nhóm Telegram, kết quả như Bảng 10.
Như Bảng 9 cho thấy, trong 93.930 token được đẩy trên nhóm Telegram, phát hiện 46.526 token Rug Pull, chiếm tỷ lệ cao tới 49,53%. Điều này có nghĩa là gần một nửa số token được đẩy trên nhóm Telegram là token Rug Pull.
Cần lưu ý rằng một số bên phát hành sau khi dự án thất bại cũng có thể rút lại thanh khoản, hành vi này không nên đơn giản xếp vào loại gian lận Rug Pull được đề cập trong bài. Vì vậy, cần xem xét ảnh hưởng của các trường hợp sai sót này đến kết quả phân tích. Mặc dù quy tắc 3 đã lọc được phần lớn trường hợp tương tự, vẫn có thể xảy ra sai lệch.
Để hiểu rõ hơn ảnh hưởng tiềm tàng của các sai sót, chúng tôi thống kê thời gian hoạt động của 46.526 token bị phát hiện là Rug Pull, kết quả như Bảng 10. Phân tích thời gian hoạt động giúp chúng tôi phân biệt rõ hơn giữa hành vi Rug Pull thực sự và việc rút thanh khoản do dự án thất bại, từ đó đánh giá chính xác hơn quy mô thực tế của Rug Pull.
Qua thống kê thời gian hoạt động, chúng tôi phát hiện 41.801 token Rug Pull có thời gian hoạt động (từ khi tạo token đến khi thực hiện Rug Pull) dưới 72 giờ, chiếm tỷ lệ cao tới 89,84%. Trong điều kiện bình thường, 72 giờ không đủ để đánh giá một dự án thất bại, vì vậy bài viết cho rằng hành vi Rug Pull có thời gian hoạt động dưới 72 giờ không phải là hành vi rút vốn bình thường của bên phát hành.
Vì vậy, ngay cả trong trường hợp xấu nhất, nếu 4.725 token còn lại có thời gian hoạt động trên 72 giờ đều không thuộc loại gian lận Rug Pull được định nghĩa trong bài, phân tích của chúng tôi vẫn có giá trị tham khảo cao do 89,84% trường hợp phù hợp kỳ vọng. Thực tế, ngưỡng 72 giờ vẫn khá thận trọng, vì trong kiểm tra chọn mẫu thực tế, nhiều token có thời gian hoạt động trên 72 giờ vẫn thuộc loại gian lận Rug Pull được đề cập.
Đáng chú ý, số lượng token có thời gian hoạt động dưới 3 giờ là 25.622, chiếm tỷ lệ cao tới 55,07%. Điều này cho thấy nhóm Rug Pull作案 với hiệu suất rất cao, phong cách作案 thiên về “ngắn, nhanh, gọn”, tốc độ luân chuyển vốn cực kỳ cao.
Chúng tôi cũng đánh giá phương pháp rút tiền và cách gọi hợp đồng của 46.526 vụ Rug Pull này, nhằm xác nhận xu hướng作案 của nhóm Rug Pull.
Đánh giá phương pháp rút tiền chủ yếu thống kê số vụ tương ứng với các phương pháp khác nhau mà nhóm Rug Pull dùng để lấy ETH từ nhóm thanh khoản. Các phương pháp chính gồm:
1. Xả hàng: nhóm Rug Pull dùng token có được qua phân bổ trước hoặc lỗ hổng mã để đổi toàn bộ ETH trong nhóm thanh khoản.
2. Rút thanh khoản: nhóm Rug Pull rút toàn bộ vốn đã thêm vào nhóm thanh khoản.
Đánh giá cách gọi hợp đồng là xem xét đối tượng hợp đồng mục tiêu mà nhóm Rug Pull gọi khi thực hiện Rug Pull. Đối tượng chính gồm:
1. Hợp đồng Router sàn phi tập trung: dùng để thao tác trực tiếp nhóm thanh khoản.
2. Hợp đồng tấn công tự xây dựng của nhóm Rug Pull: hợp đồng tùy chỉnh, dùng để thực hiện các thao tác gian lận phức tạp.
Thông qua đánh giá phương pháp rút tiền và cách gọi hợp đồng, chúng tôi có thể hiểu sâu hơn mô hình và đặc điểm作案 của nhóm Rug Pull, từ đó phòng ngừa và nhận diện các hành vi gian lận tương tự tốt hơn.
Dữ liệu đánh giá phương pháp rút tiền như Bảng 11.
Từ dữ liệu đánh giá, có thể thấy số vụ nhóm Rug Pull rút tiền bằng cách rút thanh khoản là 32.131, chiếm tỷ lệ cao tới 69,06%. Điều này cho thấy nhóm Rug Pull thiên về rút thanh khoản để rút tiền, có thể do cách này đơn giản, trực tiếp, không cần viết hợp đồng phức tạp hay thao tác thêm. So với đó, rút tiền bằng cách xả hàng đòi hỏi nhóm phải cài lỗ hổng trong mã hợp đồng token để có được token xả hàng miễn phí, quy trình này rườm rà hơn và có thể tăng rủi ro, do đó số vụ chọn cách này ít hơn.
Dữ liệu đánh giá cách gọi hợp đồng như Bảng 12.
Từ dữ liệu Bảng 12, rõ ràng thấy nhóm Rug Pull thiên về dùng hợp đồng Router của Uniswap để thực hiện Rug Pull, thực hiện tổng cộng 40.887 lần, chiếm 76,35% tổng số lần. Tổng số lần thực hiện Rug Pull là 53.552, cao hơn số lượng token Rug Pull 46.526, cho thấy trong một số vụ việc, nhóm Rug Pull thực hiện nhiều lần để tối đa hóa lợi nhuận hoặc rút tiền theo đợt từ các nạn nhân khác nhau.
Tiếp theo, chúng tôi thống kê và phân tích dữ liệu chi phí và lợi nhuận của 46.526 vụ Rug Pull. Cần nói rõ rằng, chúng tôi coi ETH mà nhóm Rug Pull lấy từ sàn tập trung hoặc dịch vụ hoán đổi nhanh trước khi triển khai token là chi phí, ETH thu hồi khi thực hiện Rug Pull là doanh thu để thống kê. Do không tính ETH mà một số nhóm Rug Pull tự đầu tư để giả lập khối lượng nhóm thanh khoản, dữ liệu chi phí thực tế có thể cao hơn.
Dữ liệu chi phí và lợi nhuận như Bảng 13.
Trong thống kê 46.526 token Rug Pull này, tổng lợi nhuận cuối cùng là 282.699,96 ETH, tỷ suất lợi nhuận đạt 188,70%, tương đương khoảng 800 triệu USD. Mặc dù lợi nhuận thực tế có thể thấp hơn dữ liệu trên, quy mô vốn tổng thể vẫn rất đáng kinh ngạc, cho thấy nhóm Rug Pull thu được lợi nhuận khổng lồ từ gian lận.
Từ phân tích dữ liệu token trên toàn bộ nhóm Telegram, hệ sinh thái Ethereum hiện nay đã tràn ngập token Rug Pull. Tuy nhiên, chúng tôi cần xác nhận một câu hỏi quan trọng: liệu các token được đẩy trên nhóm Telegram có bao phủ toàn bộ token mới lên sàn trên mạng chính Ethereum không? Nếu không, tỷ lệ của chúng là bao nhiêu?
Trả lời câu hỏi này sẽ giúp chúng tôi có cái nhìn toàn diện về hệ sinh thái token Ethereum hiện nay. Vì vậy, chúng tôi bắt đầu phân tích sâu hệ sinh thái token trên mạng chính Ethereum để xác định mức độ bao phủ của các token được đẩy trên nhóm Telegram trong toàn bộ token trên mạng chính. Qua phân tích này, chúng tôi có thể làm rõ hơn mức độ nghiêm trọng của vấn đề Rug Pull trong toàn bộ hệ sinh thái Ethereum, cũng như sức ảnh hưởng của các nhóm Telegram trong việc đẩy tin và quảng bá token.
· Phân tích các token phát hành trên mạng chính Ethereum
Chúng tôi crawl dữ liệu khối từ các nút RPC trong cùng khoảng thời gian phân tích dữ liệu nhóm Telegram (tháng 10/2023 đến tháng 8/2024), lấy các token mới triển khai từ các khối này (không bao gồm token triển khai qua proxy do token dạng này liên quan đến Rug Pull rất ít). Cuối cùng thu được 154.500 token, trong đó có 54.240 token nhóm thanh khoản (LP) của Uniswap V2, không nằm trong phạm vi quan sát của bài viết.
Vì vậy, sau khi lọc token LP, cuối cùng thu được 100.260 token. Thông tin liên quan như Bảng 14.
Chúng tôi áp dụng quy tắc phát hiện Rug Pull lên 100.260 token này, kết quả như Bảng 15.
Trong 100.260 token được kiểm tra, phát hiện 48.265 token là Rug Pull, chiếm 48,14%, tỷ lệ này tương đương với tỷ lệ token Rug Pull trong các token được đẩy trên nhóm Telegram.
Để phân tích sâu hơn mối quan hệ bao hàm giữa hai nhóm token, chúng tôi so sánh chi tiết thông tin hai nhóm này, kết quả như Bảng 16.
Từ dữ liệu Bảng 16, có thể thấy giao của hai nhóm token là 90.228, chiếm 89,99% token mạng chính. Có 3.703 token trên nhóm Telegram không nằm trong token mạng chính, sau kiểm tra chọn mẫu, các token này đều là token triển khai qua proxy, và khi crawl token mạng chính chúng tôi không bao gồm token dạng proxy.
Về phần 10.032 token mạng chính không được đẩy trên nhóm Telegram, nguyên nhân có thể do các token này bị quy tắc đẩy tin của nhóm Telegram lọc ra, lý do lọc có thể do thiếu sức hút hoặc không đạt tiêu chuẩn đẩy tin nhất định.
Để phân tích sâu hơn, chúng tôi riêng biệt kiểm tra 3.703 token triển khai qua proxy, cuối cùng chỉ phát hiện 10 token Rug Pull. Vì vậy, các token proxy này không gây nhiễu nhiều đến kết quả phát hiện Rug Pull trên nhóm Telegram, cho thấy kết quả phát hiện Rug Pull giữa token nhóm Telegram và token mạng chính rất nhất quán.
10 địa chỉ token Rug Pull triển khai qua proxy này được liệt kê trong Bảng 17, nếu quan tâm bạn đọc có thể tự xem chi tiết, bài viết không đi sâu.
Thông qua phân tích này, chúng tôi xác nhận token được đẩy trên nhóm Telegram có tỷ lệ Rug Pull rất giống với token mạng chính, tiếp tục xác minh tầm quan trọng và sức ảnh hưởng của các kênh đẩy tin này trong hệ sinh thái Rug Pull hiện nay.
Bây giờ chúng ta có thể trả lời câu hỏi: token được đẩy trên nhóm Telegram có bao phủ toàn bộ token mới lên sàn trên mạng chính Ethereum không? Nếu không, tỷ lệ là bao nhiêu?
Câu trả lời là token được đẩy trên nhóm Telegram chiếm khoảng 90% mạng chính, và kết quả phát hiện Rug Pull giữa chúng và token mạng chính rất nhất quán. Vì vậy, việc phát hiện và phân tích dữ liệu Rug Pull trên token được đẩy nhóm Telegram cơ bản phản ánh đúng hiện trạng hệ sinh thái token mạng chính Ethereum hiện nay.
Như đã nói, tỷ lệ token Rug Pull trên mạng chính Ethereum khoảng 48,14%, nhưng với 51,86% token không phải Rug Pull còn lại, chúng tôi cũng rất quan tâm. Ngay cả khi loại bỏ token Rug Pull, vẫn còn 51.995 token ở trạng thái chưa rõ, con số này vượt xa kỳ vọng về số lượng token hợp lý. Vì vậy, chúng tôi thống kê thời gian từ khi tạo đến khi ngừng hoạt động của tất cả token trên mạng chính, kết quả như Bảng 18.
Từ dữ liệu Bảng 18, có thể thấy khi mở rộng tầm nhìn ra toàn bộ mạng chính Ethereum, số token có vòng đời dưới 72 giờ là 78.018, chiếm 77,82% tổng số. Con số này cao đáng kể so với số lượng token Rug Pull phát hiện, cho thấy quy tắc phát hiện Rug Pull trong bài không thể bao phủ toàn bộ các trường hợp. Thực tế, qua kiểm tra chọn mẫu, chúng tôi thực sự phát hiện một số token Rug Pull chưa được phát hiện. Đồng thời, điều này cũng có thể ám chỉ tồn tại một số hình thức gian lận khác chưa được bao phủ, ví dụ như tấn công phishing, mô hình Píxiū, v.v., vẫn cần chúng tôi tiếp tục khai thác và khám phá.
Hơn nữa, số lượng token có vòng đời trên 72 giờ cũng cao tới 22.242. Tuy nhiên, nhóm token này không phải trọng tâm khai thác của bài viết, nên vẫn có thể tồn tại những chi tiết khác chờ khám
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
CertiK
