Rug pull là một trong những chiêu trò lừa đảo phổ biến nhất trong ngành công nghiệp Crypto, và trong khi nhiều vụ đã bị phanh phui, thì chắc chắn nhiều vụ hiện vẫn chưa bị phát hiện. Theo dữ liệu của SolidusLabs, ít nhất đã có 188.000 vụ Rugpulls đã được thực hiện trên Ethereum, BNB Chain và một số Blockchain Layer1 hàng đầu khác.
Blockchain nào có nhiều dự án RugPulls nhất?
Theo dữ liệu được nghiên cứu cho thấy có tổng cộng 12% token BEP-20 trên BNB Chain có dấu hiệu lừa đảo, bên cạnh đó 8% token ERC-20 trên Ethereum có dấu hiệu lừa đảo và khoảng 910 triệu đô la ETH liên quan đến lửa đảo đã được xử lý bởi những ứng dụng tập trung ví dụ như các sàn điện tử tập trung. Theo dữ liệu từ Blockchain Chainalysis, 11 DeFi Protocol đã bị tấn công vào tháng 10, ảnh hưởng đến 718 triệu đô la tài sản tiền điện tử, lập kỷ lục về khoản lỗ tiền điện tử hàng tháng cao nhất cho đến nay trong năm nay.
Là một trong những sàn giao dịch tiền điện tử lớn nhất trong hệ sinh thái Blockchain, việc liên tục bổ sung các tính năng mới và mở rộng cơ sở người dùng có thể là lý do chính khiến những kẻ lừa đảo và tin tặc nhắm mục tiêu vào Binance. Binance dường như đã nhận thức được sự phổ biến của các trò lừa đảo sử dụng hợp đồng thông minh trên mạng Blockchain của mình và hiện đã tích hợp các công cụ giám sát rủi ro để phát hiện rủi ro ngay lập tức và thông báo kịp thời cho người dùng về các dự án tiềm ẩn rủi ro, bao gồm RugPulls và các trò lừa đảo khác, vậy bản chất RugPulls là như thế nào? Cùng mình tìm hiểu nhé!
“Quy trình” Rug Pulls
RugPulls, còn được gọi là “gian lận token” hoặc “lừa đảo DeFi”, là các dự án thiết kế mã cẩn thận trong các hợp đồng thông minh để ăn cắp tiền từ các nhà đầu tư nhỏ lẻ. Những kẻ lừa đảo thiết kế các hợp đồng thông minh thường hướng đến các mục tiêu chính như:
1. Token cần mua bán ở thị trường thứ cấp
2. Cho phép các nhà phát triển dự án có thể tự do đúc các đồng token mới
3. Tính 100% phí người mua khiến họ mất hết tiền
Các dự án RugPulls giấu các đoạn mã có những chức năng này trong các token, và một khi token được mua bởi các nhà đầu tư bán nhỏ lẻ ngu ngốc, họ sẽ phải đối mặt với rủi ro rất lớn. Phần lớn, RugPulls token sẽ trông giống hệt như tất cả các loại tiền điện tử khác trên thị trường và sẽ “tuân thủ” tiêu chuẩn token đồng nhất của blockchain, nhưng vấn đề thực sự nằm ở mã nguồn hợp đồng thông minh sâu bên trong.
Kể từ khi Bitcoin ra đời, ngành công nghiệp tiền điện tử đã ngày càng trở nên trưởng thành hơn. Đồng thời, những kẻ lừa đảo cũng đã tìm ra một quy trình cơ bản để có thể thực hiện những hành động trên các hợp đồng thông minh để chế các điều kiện thực hiện một giao dịch cũng như là những quy tắc trên blockchain. Họ sửa đổi để thực thi những vụ RugPulls, những kẻ lừa đảo thường mã hóa những quy tắc độc hại vào các hợp đồng thông minh, những quy tắc, mã lệnh này không chỉ giúp cho họ quyền hạn bổ sung mà họ còn có thể tước đi các quyền cơ bản của người mua.
Sau khi token được triển khai, những kẻ lừa đảo sẽ tạo ra các Pool thanh khoản trên các sàn giao dịch phi tập trung (DEX) và sau đó ghép token với các loại tiền điện tử “hợp pháp” khác. Tiếp theo, họ sẽ tự mình tạo ra một khối lượng giao dịch giả tạo, khiến cho token lừa đảo của họ tăng giá trị không ngừng, với mục tiêu cuối cùng là nhằm thu hút sự chú ý của những nhà đầu tư non tay.
Ngoài “phương tiện thông thường” như trên, dự án RugPulls cũng có thể bằng nhiều những bước cơ bản nữa để khiến cho những nhà đầu tư thiếu hiểu biết tin tưởng hơn vào dự án và tự tin xuống tiền:
1. Xây dựng một lộ trình phát triển cực kỳ đáng mong đợi, công nghệ đột phá.
2. Mạo danh những đội ngũ nhà phát triển dự án nổi tiếng cũng như là tự ý đăng tải tin tức về việc hợp tác với những đối tác lớn mạnh.
3. Đăng quảng cáo trên Twitter, Discord, Telegram hoặc các phương tiện truyền thông xã hội khác
Khi ngày càng có nhiều người mua token của dự án, những kẻ lừa đảo đằng sau dự án sẽ bắt đầu bán tháo. Khi đủ người dùng mua token, họ sẽ đưa chúng lên các sàn giao dịch phi tập trung, đổi chúng thành các loại tiền điện tử khác chẳng hạn như như ETH, USDT,… Và một đợt bán tháo lớn trong thời gian ngắn chắc chắn sẽ mau chóng đưa giá của token về 0, vậy là quá trình RugPulls của những kẻ lừa đảo đã thành công.
Những phương pháp để tạo ra những token Rugpulls lừa đảo
Có nhiều cách để những kẻ lừa đảo triển khai mã độc trong các hợp đồng thông minh của RugPulls token, nhưng có ba loại RugPulls chính trên thị trường hiện tại, đó là:
1. Triển khai ẩn các lỗ hổng Honeypot
2. Công cụ Private Token ẩn
3. Công cũ sửa đổi lại số dư token ẩn
Các lỗ hổng Honeypot thường ngăn người mua token được bán, trong khi chỉ các nhà phát triển mới có thể bán số tiền điện tử mà họ đang nắm giữ và các nhà đầu tư thông thường khi giao dịch sẽ gặp phải những lỗi tương tự như “Undefined transaction failed due to error; probably due to There is a problem with one of the tokens you exchanged”, dẫn đến họ không thể rút tiền. Các trò lừa đào Honeypot thường có dấu hiệu là đội ngũ phát triển sẽ đẩy giá token tăng mạnh trong một khoảng thời gian ngắn, từ đó khiến nhiều người dùng không biết thật giả mua. Ví dụ điển hình nhất là Squid Game Token (SQUID). Dự án đã nhúng lỗ hổng Honeypot vào hợp đồng thông minh, khiến Squid Game Token trông giống như một loại tiền điện tử đầy hứa hẹn, với hơn 3,36 triệu chỉ ví đã tham gia mua SQUID, nhưng cuối cùng bên dự án đã cướp hết tiền của họ. Theo dữ liệu, tính đến ngày 25 tháng 10 năm 2022, số lượng dự án có lỗ hổng Honeypot ẩn trên thị trường là khoảng 96,008.
Công cụ Private Function cũng là một trong những công cụ chiến thuật phổ biến nhất được những kẻ lừa đảo sử dụng, chúng sẽ cấp cho họ một hoặc nhiều “tài khoản chủ sở hữu phía bên ngoài” với mức độ quyền hạn cụ thể, cho phép chúng sử dụng các chức năng ẩn trong hợp đồng thông minh token để đúc ra các token mới. Khi một kẻ lừa đảo kích hoạt thành công chức năng đúc tiền, sẽ có một số lượng lớn token sẽ bị bán phá giá trên thị trường, dẫn đến giá trị token của những người nắm giữ khác bị giảm đáng kể hoặc thậm chí là vô giá trị. Theo dữ liệu, tính đến ngày 25 tháng 10 năm 2022, đã có khoảng 40,569 token ở trên thị trường đã ẩn chức năng tạo đúc Private Token.
Chiến thuật triển khai, sửa đổi lại số dư token cũng khá giống với việc triển khai chức năng Private Token. Những kẻ lừa đảo sẽ cấp một hoặc nhiều quyền cụ thể cho “Tài khoản chủ sở hữu phía bên ngoài”, cho phép chúng sửa đổi số dư token của họ. Khi tài khoản đó đặt số dư của các token Holder thành 0, Holders sẽ không thể bán tiền, rút tiền và những kẻ lừa đảo có thể mau chóng phá thanh khoản hoặc bán token ra để chạy thoát.
Tổng kết
Các trò lừa đảo tiền điện tử hiện vẫn đang dần ngày càng gia tăng và một điều còn tồi tệ hơn, là vẫn còn rất nhiều vụ Rug pool chưa được phát hiện. Các nhà đầu tư bắt buộc phải đánh giá rủi ro lừa đảo tiền điện tử khi lựa chọn xuống tiền đối với một dự án nào đó và các cơ quan quản lý nên đẩy mạnh nỗ lực của họ để ngăn chặn tác hại của những chiêu trò lừa đảo này và cuối cùng là cải thiện tính toàn vẹn, minh bạch của thị trường cũng như là các tiêu chuẩn bảo vệ người tiêu dùng.