深入解析DeFi騙局:Rug Pull套路剖析

近年來，加密貨幣行業中最常見的騙局之一是Rug Pull(直譯爲"拉地毯",意爲項目方突然撤離)。盡管不少案例已被揭露,但相信仍有許多尚未被發現。數據顯示,在以太坊、某公鏈和其他主流公鏈上,至少部署了18.8萬個潛在的Rug Pull騙局項目。

Rug Pull項目分布情況

數據表明,某公鏈上12%的代幣表現出欺詐特徵,而以太坊上則有8%的代幣顯示欺詐跡象。同時,約9.1億美元與欺詐相關的ETH是通過中心化或受監管的加密貨幣交易所處理的。另外,數據顯示10月份有11個DeFi協議遭到攻擊,影響了7.18億美元的加密資產,創下今年迄今爲止加密損失的最高月度記錄。

某大型交易平台作爲區塊鏈生態系統中規模最大的加密交易平台之一,其不斷添加的新功能和擴大的用戶羣可能是詐騙者和黑客的主要目標。該平台似乎已意識到其網路上智能合約詐騙的普遍性,目前已集成風險監測工具來實時檢測風險並及時通知用戶潛在風險項目,包括Rug Pull和其他騙局。

Rug Pull項目常見"套路"

Rug Pull也被稱爲"欺詐代幣"或"DeFi詐騙",相關項目會在智能合約中精心設計代碼,以從散戶投資者竊取資金。其代碼設計目標通常涉及:

1. 禁止二級銷售
2. 允許項目開發者自由鑄造新代幣
3. 向買家收取100%銷售費用

項目方將這些腳本隱藏在代幣中,一旦不明真相的散戶投資者購買,就會面臨巨大風險。大多數情況下,Rug Pull代幣看起來與市場上其他加密貨幣一模一樣,也都會"遵守"區塊鏈的同質化代幣標準,但真正的問題其實隱藏在更深一層的智能合約原始碼中。

隨着加密貨幣行業的發展,欺詐者也摸清了底層套路,可以對約束區塊鏈上記錄交易條件和規則的底層智能合約進行大量修改。爲執行Rug Pull,欺詐者往往會將惡意規則以硬編碼的方式嵌入到智能合約中,不僅讓自己獲得額外權力,也能剝奪買家的基本權利。

當代幣部署完成後,欺詐者就會在去中心化交易所(DEX)上創建流動資金池,然後將這個代幣與其他"合法"加密貨幣建立交易對。接下來,他們會人爲大規模制造交易量並通過這種方式誇大代幣價值,最終吸引散戶投資者的興趣。

除此之外,Rug Pull項目還可能通過以下方式"包裝"自己的合法性:

1. 打造虛假網站和虛假項目發展路線圖
2. 分享虛假的合作夥伴關係,掛出一些虛假的知名開發者"頭像"
3. 在社交媒體上投放廣告

隨着購買Rug Pull項目代幣的人越來越多,項目背後的欺詐者就會開始醞釀拋售,當有足夠多的用戶購買代幣之後,他們就會快速出售代幣並在去中心化交易所裏兌換成其他加密貨幣。短時間內的大規模拋售將會讓代幣價格迅速歸零,這場Rug Pull陰謀也就此得逞。

Rug Pull代幣欺詐類型盤點

欺詐者在Rug Pull代幣的智能合約裏部署惡意代碼的手段很多,但當前市場主要有三種類型:

1. 暗藏部署蜜罐漏洞
2. 暗藏私造代幣功能
3. 暗藏餘額修改後門

蜜罐漏洞通常會阻止代幣購買者進行轉售,而只有開發人員可以出售自己持有的加密貨幣。普通投資者在交易時往往會受到類似於"由於錯誤未定義交易無法成功;可能是由於你兌換的某個代幣出現問題"這樣的提示,造成無法提款。一個典型例子是某遊戲代幣,該項目利用了熱播劇的名字吸引了許多人購買,但項目方卻在智能合約中嵌入了一個蜜罐漏洞,導致上線短短幾天就有超過336萬美元資金入場,但最終被項目方洗劫一空。截至2022年10月25日,市場上暗藏蜜罐漏洞的代幣項目數量約有96,008個。

私造代幣功能是欺詐者最常使用的手段之一,他們會賦予一個或多個"外部擁有帳戶(EOA)"特定權限,讓他們可以使用代幣合約中的隱藏功能鑄造新代幣。當欺詐者成功調用鑄幣功能之後,會擁有大量代幣然後將其傾銷到市場上,結果會導致其他持有者的代幣價值大打折扣,甚至變得一文不值。截至2022年10月25日,市場上暗藏私造代幣功能的代幣項目數量約有40,569個。

部署餘額修改後門和部署私造代幣功能有些相似,欺詐者會賦予一個或多個"外部擁有帳戶(EOA)"特定權限,讓他們可以修改代幣持有者的餘額。當"外部擁有帳戶(EOA)"將代幣持有者的餘額設置爲零時,他們就不能出售提款,而欺詐者們就能移除流動性或是鑄造/出售代幣以退出。

總結

加密騙局日益增多,更糟糕的是,至今仍有許多騙局沒有被發現。投資者在選擇加密項目時需要評估加密欺詐風險,而監管機構應加大打擊力度防止消費者受到傷害,最終讓市場誠信、透明度、以及消費者保護標準得到進一步提升。