1. Phân tích

Sự gia tăng của các vụ lừa đảo DeFi Rug Pull nêu bật các chiến thuật lừa đảo tiền điện tử tiên tiến

  • 12/12/2024

Khám phá thế giới đen tối của các vụ lừa đảo Rug Pull và các chiến lược thao túng phức tạp mà chúng sử dụng.

Khi thị trường tiền điện tử tiếp tục tăng vọt, đạt mức vốn hóa thị trường đỉnh điểm là 3,89 nghìn tỷ đô la, lĩnh vực tài chính phi tập trung (DeFi) đã trải qua sự gia tăng đáng kể trong các vụ lừa đảo Rug Pull.

Vào ngày 14 tháng 11, số lượng các vụ lừa đảo Rug Pull đã đạt mức đáng kinh ngạc là 31 trong một ngày, với tổng thiệt hại hàng tháng lên tới 15 triệu đô la, cho thấy sự tinh vi ngày càng tăng của các kẻ lừa đảo.

Mặc dù hầu hết các vụ việc liên quan đến số tiền tương đối nhỏ, với thiệt hại thường dưới 100.000 đô la, nhưng số lượng lớn và sự phức tạp ngày càng tăng của những vụ lừa đảo này đặt ra mối đe dọa nghiêm trọng đến tính toàn vẹn của thị trường DeFi.

Phân bố của các vụ lừa đảo Rug Pull từ giữa tháng 10 đến tháng 11. Nguồn: TenArmor

Allen Zhang, đồng sáng lập và giám đốc công nghệ của một công ty bảo mật Web3, đã lưu ý rằng loại lừa đảo Rug Pull phổ biến nhất là lừa đảo “token honeypot”, đã ảnh hưởng đến hơn 5.688 token kể từ tháng 11.

Ông giải thích rằng các kẻ lừa đảo hiện đại đang sử dụng các chiến lược kiểm soát đa ví tiên tiến, làm phức tạp việc đánh giá rủi ro dựa hoàn toàn vào các chỉ số tập trung của người nắm giữ.

Các Kẻ Lừa Đảo Crypto Thích Nghi Chiến Thuật Của Họ

Từ góc nhìn bên ngoài, lừa đảo Rug Pull hiện đại đã chuyển từ việc đánh cắp đơn giản sang một hoạt động tâm lý phức tạp.

Michael Heinrich, đồng sáng lập của một nhà cung cấp cơ sở hạ tầng Web3, đã quan sát thấy rằng các kẻ lừa đảo hiện đang sử dụng các chiến thuật tiếp thị có thể cạnh tranh với những chiến thuật của các công ty khởi nghiệp hợp pháp.

“Chúng tôi đang thấy những câu chuyện được xây dựng cẩn thận nhằm thu hút những nhà đầu tư không ngờ tới,” ông nói. “Sự thiếu hụt các giao thức Kiểm Tra Khách Hàng Nghiêm Ngặt cho phép các nhà phát triển độc hại ra mắt và quảng bá các token giả mạo một cách ẩn danh, khiến cho việc theo dõi và truy tố của cơ quan chức năng trở nên khó khăn.”

Việc ra mắt gần đây của memecoin Peanut (PNUT) minh họa xu hướng này. Chỉ bảy ngày sau khi ra mắt vào ngày 1 tháng 11, PNUT đã trải qua sự tăng giá 161 lần, thu hút các kẻ lừa đảo tạo ra các phiên bản giả mạo và thực hiện được các vụ lừa đảo Rug Pull tổng cộng hơn 103.000 đô la.

Các bot front-running, giám sát các giao dịch trong mempool để xác định mục tiêu tấn công, đã trở thành một công cụ đặc biệt nguy hiểm trong những vụ lừa đảo này.

Zhang chỉ ra rằng các diễn viên độc hại hiện đang phát triển các chiến lược ra mắt token tự động để khai thác các bot này.

Ông tin rằng điều này đã dẫn đến một kịch bản lý thuyết trò chơi phức tạp, nơi mà những người phát hành token và các công cụ giao dịch tự động đang trong một cuộc chiến trí tuệ không ngừng.

Steven Walbroehl, đồng sáng lập và giám đốc công nghệ của một công ty bảo mật Web3, giải thích rằng các bot front-running đóng vai trò quan trọng trong các vụ lừa đảo Rug Pull, đặc biệt là trong các lần ra mắt token.

“Chúng khởi động một chu kỳ ‘hype và nhu cầu’. Các bot front-running phát hiện ra các danh sách token mới và thực hiện các lệnh mua nhanh chóng để vượt qua các nhà đầu tư hợp pháp.”

“Những hành động này làm tăng giá token và khối lượng giao dịch một cách giả tạo, tạo ra ảo tưởng về nhu cầu cao và dụ dỗ thêm nhiều nhà đầu tư tham gia.”

Vì vậy, các nhà cung cấp bảo mật hiện nay phải sử dụng các phân tích sâu hơn vượt ra ngoài các chỉ số tập trung cơ bản và bao gồm các chỉ số phức tạp về hoạt động độc hại tiềm năng.

Heinrich đã nêu bật một lĩnh vực mới nổi khác của các vụ lừa đảo Rug Pull: việc “ra mắt công bằng” của các token memecoin. Ông lưu ý rằng 90% ví trên Pump.fun, một thị trường dựa trên Solana để tạo và phân phối token, đều liên kết với nhau.

Điều này có nghĩa là các nhà phát triển đang tiêm các token meme vào Pump.fun và sử dụng các bot và các chiến thuật khác để thổi phồng giá trước khi bán ra cho các nhà đầu tư bán lẻ không ngờ tới. Một trường hợp gần đây liên quan đến một thiếu niên 13 tuổi đã kiếm được 30.000 đô la bằng phương pháp này.

Walbroehl đề cập đến một xu hướng ngày càng tăng của các dự án gian lận liên kết mình với các thương hiệu nổi tiếng để tăng tính thuyết phục. “Vụ lừa đảo Rug Pull ‘Lego’ liên quan đến một dự án đã lừa đảo liên kết mình với thương hiệu Lego, thu hút các nhà đầu tư dưới những lời hứa giả dối trước khi thực hiện vụ lừa đảo,” ông nói thêm.

Phát Hiện, Ngăn Chặn và Phòng Thủ Cộng Đồng

Với sự gia tăng của các vụ lừa đảo memecoin, cộng đồng bảo mật blockchain đang triển khai một cuộc tấn công phản công tinh vi.

Một công ty nghiên cứu bảo mật và phòng thí nghiệm an ninh mạng của một trường đại học đã phát triển các thuật toán để đơn giản hóa các thành phần blockchain và tăng cường tính minh bạch.

Kate Shen, đồng sáng lập của một công ty nghiên cứu bảo mật, tin rằng những tháng tới có thể là bước ngoặt cho bảo mật blockchain và khả năng kiểm toán, đặc biệt là với một công ty vốn đầu tư mạo hiểm ra mắt sản phẩm trong nhà đầu tiên của mình trong năm nay.

“Mục tiêu của nó là cung cấp các công cụ đơn giản hơn, nhanh hơn, dễ kiểm toán hơn so với trải nghiệm phát triển hiện tại, thường rất tốn công sức và dễ mắc phải các lỗi bảo mật quan trọng,” bà nói.

Một công ty bảo mật mạng đã giới thiệu Giao thức SafeToken, cung cấp các mẫu bảo mật tiêu chuẩn để giảm thiểu việc xảy ra các vụ lừa đảo Rug Pull thông qua mã độc. “Bằng cách cung cấp các mẫu tiêu chuẩn, an toàn này, chúng tôi đang giúp thiết lập một nền tảng an toàn hơn cho việc ra mắt token trong hệ sinh thái Web3,” đồng sáng lập cho biết.

Nanak Nihal Khalsa, đồng sáng lập của một giao thức bảo mật Web3, đã đề xuất rằng các ví tiền điện tử nên sử dụng các công cụ quét mã tự động khi người dùng tương tác với các hợp đồng.

“Điều này không phải là điều mà người dùng có thể khắc phục, nhưng các ví có thể. Các ví nên bắt đầu làm điều này ngoài việc mô phỏng giao dịch,” ông nói.

Heinrich khuyến nghị rằng các nền tảng DeFi nên thường xuyên thuê các công ty kiểm toán bên thứ ba có uy tín để kiểm tra hợp đồng và thúc đẩy sự phát triển mã nguồn mở trên các nền tảng như GitHub. “Thiết kế các hợp đồng không thể thay đổi sau khi triển khai, hoàn toàn,” ông nói thêm.

Khía Cạnh Tâm Lý Của Các Vụ Lừa Đảo Rug Pull Bị Đánh Giá Thấp

Các vụ lừa đảo Rug Pull thường liên quan đến các hình thức thao túng tâm lý phức tạp. Ben Caselin, giám đốc tiếp thị tại một nền tảng giao dịch tài sản kỹ thuật số, đã lưu ý rằng hầu hết các nhà giao dịch tiền điện tử đã chấp nhận bản chất rủi ro cao của những thị trường này, nói rằng:

“Họ thực chất đang đánh bạc, đầu tư vào nhiều token có vốn hóa thị trường thấp với hy vọng rằng một hoặc hai token có thể thành công trong ngắn hạn.”

Tâm lý này tạo ra một môi trường màu mỡ cho các vụ lừa đảo, nơi mà các nhà đầu tư, bị thúc đẩy bởi nỗi sợ bỏ lỡ (FOMO) và sự hấp dẫn của lợi nhuận nhanh chóng, dễ bị lừa đảo hơn.

Heinrich đề cập rằng các kẻ lừa đảo ngày nay rất giỏi trong việc tạo ra các mặt tiền chuyên nghiệp. “Tôi nhận được ít nhất một email mỗi tuần từ một ‘quỹ đầu tư’ bày tỏ sự quan tâm đến dự án của tôi,” ông tiết lộ.

Ảnh hưởng của mạng xã hội và tiếp thị ảnh hưởng đã trở nên không thể phủ nhận, với các sự ủng hộ giả mạo, câu chuyện thành công giả mạo và các chiến dịch tiếp thị phối hợp trở thành các chiến thuật tiêu chuẩn.

“Các kẻ lừa đảo chạy các chiến dịch FOMO trên mạng xã hội để khai thác hành vi đầu tư bốc đồng. Đáng lo ngại, một số kẻ lừa đảo lặp lại cùng một chiến lược trên nhiều dự án, tinh chỉnh cách tiếp cận của họ để nhắm vào nhóm nạn nhân tiếp theo,” Shen nói.

Nhận Diện Các Dấu Hiệu Cảnh Báo

Có một số dấu hiệu mà các nhà giao dịch có thể sử dụng để phát hiện một vụ lừa đảo Rug Pull tiềm năng.

Một là “sự tập trung token.” Khalsa giải thích rằng các kẻ lừa đảo tạo ra vẻ ngoài của sự phân phối bằng cách kiểm soát nhiều ví, tưởng chừng như độc lập.

“Càng tập trung nguồn cung token, rủi ro và tác động của một vụ lừa đảo Rug Pull tiềm năng càng cao,” ông nói.

Các dự án lừa đảo thường niêm yết các token với tính thanh khoản thấp, làm cho việc thực hiện các vụ lừa đảo Rug Pull dễ dàng hơn đối với những người nắm giữ tập trung. Các dự án có phân phối cộng đồng hạn chế đặc biệt dễ bị tổn thương, vì việc phân tán token rộng rãi hơn giảm thiểu rủi ro thao túng.

Việc làm cho nguồn cung token tập trung có vẻ phân tán là tương đối dễ dàng, chẳng hạn như chia nhỏ tiền vào nhiều địa chỉ do một người kiểm soát hoặc tạo ra một hợp đồng token ERC-20 giả mạo báo cáo sai về nguồn cung và số dư của người dùng. “Mặc dù những thủ thuật này có thể được phát hiện, nhưng người dùng trung bình thường không thể bắt được chúng,” Khalsa nói.

Shen đề xuất rằng các công cụ như Etherscan và Token Sniffer có thể giúp xác định các dự án nơi mà một vài ví hàng đầu kiểm soát phần lớn quyền sở hữu tiền điện tử.

Khalsa nhấn mạnh rằng mặc dù không thể loại bỏ hoàn toàn mọi rủi ro, nhưng vẫn có thể giảm đáng kể chúng thông qua giáo dục, đổi mới công nghệ và xây dựng một văn hóa trách nhiệm tập thể.

Theo Cointelegraph

Tin khác

Danh sách 'xu hướng' của Memecoin bị kẻ lừa đảo khai thác để đánh cắp tiền điện tử

  • 30/09/2024

Itheum: Cách mạng hóa quản lý dữ liệu cho ngành công nghiệp AI và Trò chơi

  • 03/10/2024

Phần mềm độc hại được điều khiển bởi AI xuất hiện: Mối đe dọa mới trong an ninh mạng

  • 04/10/2024

Các vụ tấn công tiền điện tử giảm xuống mức thấp nhất trong ba năm vào quý 3 năm 2024, nhưng tỷ lệ khôi phục giảm mạnh

  • 04/10/2024

Solana Tự Hào Có 100 Triệu Ví Hoạt Động, Nhưng Đa Số Vẫn Trống Rỗng

  • 09/10/2024