深入解析DeFi骗局:Rug Pull套路剖析

近年来，加密货币行业中最常见的骗局之一是Rug Pull(直译为"拉地毯",意为项目方突然撤离)。尽管不少案例已被揭露,但相信仍有许多尚未被发现。数据显示,在以太坊、某公链和其他主流公链上,至少部署了18.8万个潜在的Rug Pull骗局项目。

Rug Pull项目分布情况

数据表明,某公链上12%的代币表现出欺诈特征,而以太坊上则有8%的代币显示欺诈迹象。同时,约9.1亿美元与欺诈相关的ETH是通过中心化或受监管的加密货币交易所处理的。另外,数据显示10月份有11个DeFi协议遭到攻击,影响了7.18亿美元的加密资产,创下今年迄今为止加密损失的最高月度记录。

某大型交易平台作为区块链生态系统中规模最大的加密交易平台之一,其不断添加的新功能和扩大的用户群可能是诈骗者和黑客的主要目标。该平台似乎已意识到其网络上智能合约诈骗的普遍性,目前已集成风险监测工具来实时检测风险并及时通知用户潜在风险项目,包括Rug Pull和其他骗局。

Rug Pull项目常见"套路"

Rug Pull也被称为"欺诈代币"或"DeFi诈骗",相关项目会在智能合约中精心设计代码,以从散户投资者窃取资金。其代码设计目标通常涉及:

1. 禁止二级销售
2. 允许项目开发者自由铸造新代币
3. 向买家收取100%销售费用

项目方将这些脚本隐藏在代币中,一旦不明真相的散户投资者购买,就会面临巨大风险。大多数情况下,Rug Pull代币看起来与市场上其他加密货币一模一样,也都会"遵守"区块链的同质化代币标准,但真正的问题其实隐藏在更深一层的智能合约源代码中。

随着加密货币行业的发展,欺诈者也摸清了底层套路,可以对约束区块链上记录交易条件和规则的底层智能合约进行大量修改。为执行Rug Pull,欺诈者往往会将恶意规则以硬编码的方式嵌入到智能合约中,不仅让自己获得额外权力,也能剥夺买家的基本权利。

当代币部署完成后,欺诈者就会在去中心化交易所(DEX)上创建流动资金池,然后将这个代币与其他"合法"加密货币建立交易对。接下来,他们会人为大规模制造交易量并通过这种方式夸大代币价值,最终吸引散户投资者的兴趣。

除此之外,Rug Pull项目还可能通过以下方式"包装"自己的合法性:

1. 打造虚假网站和虚假项目发展路线图
2. 分享虚假的合作伙伴关系,挂出一些虚假的知名开发者"头像"
3. 在社交媒体上投放广告

随着购买Rug Pull项目代币的人越来越多,项目背后的欺诈者就会开始酝酿抛售,当有足够多的用户购买代币之后,他们就会快速出售代币并在去中心化交易所里兑换成其他加密货币。短时间内的大规模抛售将会让代币价格迅速归零,这场Rug Pull阴谋也就此得逞。

Rug Pull代币欺诈类型盘点

欺诈者在Rug Pull代币的智能合约里部署恶意代码的手段很多,但当前市场主要有三种类型:

1. 暗藏部署蜜罐漏洞
2. 暗藏私造代币功能
3. 暗藏余额修改后门

蜜罐漏洞通常会阻止代币购买者进行转售,而只有开发人员可以出售自己持有的加密货币。普通投资者在交易时往往会受到类似于"由于错误未定义交易无法成功;可能是由于你兑换的某个代币出现问题"这样的提示,造成无法提款。一个典型例子是某游戏代币,该项目利用了热播剧的名字吸引了许多人购买,但项目方却在智能合约中嵌入了一个蜜罐漏洞,导致上线短短几天就有超过336万美元资金入场,但最终被项目方洗劫一空。截至2022年10月25日,市场上暗藏蜜罐漏洞的代币项目数量约有96,008个。

私造代币功能是欺诈者最常使用的手段之一,他们会赋予一个或多个"外部拥有账户(EOA)"特定权限,让他们可以使用代币合约中的隐藏功能铸造新代币。当欺诈者成功调用铸币功能之后,会拥有大量代币然后将其倾销到市场上,结果会导致其他持有者的代币价值大打折扣,甚至变得一文不值。截至2022年10月25日,市场上暗藏私造代币功能的代币项目数量约有40,569个。

部署余额修改后门和部署私造代币功能有些相似,欺诈者会赋予一个或多个"外部拥有账户(EOA)"特定权限,让他们可以修改代币持有者的余额。当"外部拥有账户(EOA)"将代币持有者的余额设置为零时,他们就不能出售提款,而欺诈者们就能移除流动性或是铸造/出售代币以退出。

总结

加密骗局日益增多,更糟糕的是,至今仍有许多骗局没有被发现。投资者在选择加密项目时需要评估加密欺诈风险,而监管机构应加大打击力度防止消费者受到伤害,最终让市场诚信、透明度、以及消费者保护标准得到进一步提升。