CertiK: 40개의 실행 중인 프로젝트를 연구한 후 이 7가지 사항은 경고할 가치가 있습니다.

우리가 일반적으로 프로젝트 폭주라고 부르는 사기를 종료하십시오. "Rug Pull"이라고도 생생하게 알려진 Web 3.0 분야의 범죄 사기 수법입니다.

Rug Pull의 일반적인 관행은 겉보기에 합법적인 DeFi 프로젝트를 생성한 후 허위 거래량과 사용자 수를 생성하여 프로젝트의 평판을 높이고 더 많은 투자자를 프로젝트에 끌어들이는 것입니다. 특정 규모에 도달하면 사기꾼이나 팀이 프로젝트에서 갑자기 많은 양의 자금을 인출하고 프로젝트를 종료하여 결국 투자자가 보유한 토큰의 가치를 잃게 됩니다.

지난 몇 년간 출구 사기의 확산과 영향을 보여주는 많은 통계가 있지만, 그들의 특성과 가해자를 조사하는 데이터와 보고서는 적습니다. 이와 같은 연구는 자금 세탁 방지(AML) 노력을 개선하고 소비자 보호를 강화하며 Web 3.0 시장 전체의 무결성을 향상시킬 수 있습니다.

출구 사기의 전체 주기를 처음부터 끝까지 연구함으로써 우리는 사기의 구조를 더 잘 분석하고 근본적인 위험 요소와 사기를 발생시키는 공통점을 이해할 수 있습니다. 이러한 신호와 지표를 식별함으로써 더 스마트한 보안 접근 방식과 전략을 채택하여 Web 3.0 세계를 보다 효과적으로 보호할 수 있습니다.

첫 번째 레벨 제목

개념 정의

이 연구의 목적을 위해 우리는 Rug Pull을 다음과 같이 정의합니다. 마케팅과 과대 광고를 적극적으로 사용하여 투자자를 속이고 팀원이 자금을 빼돌리는 범죄 계획과 목적을 가진 프로젝트입니다.

방법론

방법론

첫 번째 레벨 제목

범죄 분석

Hard Rug Pull은 프로젝트 팀 내부의 문제와 함께 발생해야 합니다. 팀에 책임이 있고 도망칠 기미가 없다면 해킹 사건으로 간주된다는 점을 이해하는 것은 어렵지 않습니다.

Rug Pull에 대한 연구에서 폭주 프로젝트는 프로젝트 팀 폭주, 악의적인 개발자 사보타주, 범죄를 저지르는 프로젝트 소유자, 범죄를 저지르는 알 수 없는 직원 또는 팀의 네 가지 범주로 나뉩니다. 각 범주에 대한 정의 및 결론은 아래에 자세히 설명되어 있습니다.

이 연구는 새로운 프로젝트 및 관련 위험을 평가할 때 배경 조사의 중요성을 강조합니다. 대부분의 러그 풀은 프로젝트 팀에서 수행하므로 프로젝트에 투자하기 전에 팀의 동기와 실적을 고려하는 것이 중요합니다.

Rug Pull은 궁극적인 폭주 사기가 발생하기 전 평균 93일 동안 활동했습니다. 투명성이나 탈중앙화에 대한 약속 없이 개발자가 의도적으로 익명이거나 완전히 알려지지 않은 새로 배포된 프로젝트를 경계해야 합니다.

이러한 사기에 대처하고, 위험을 줄이고, 사용자가 정보에 입각한 결정을 내릴 수 있도록 돕기 위해 CertiK는KYC 배지 프로그램첫 번째 레벨 제목

보조 제목

사례 ①: 팀 스캠

CertiK 조사관은 익명의 프로젝트(이하 이 프로젝트를 프로젝트 ①라고 함)의 프로젝트 리더를 인터뷰했습니다. 프로그램 리더와의 인터뷰에서 우리는 지원자가 주저하고 프로그램 팀의 다른 구성원의 이름을 기억하는 데 어려움을 포함하여 몇 가지 주목할만한 점을 발견했습니다. 그들은 또한 프로젝트와 그 구조에 대한 지식이 거의 없다고 주장합니다.

또한 프로젝트 리더와 팀원은 Web 3.0에 대한 이전 경험이 없었으며 프로젝트 목적에 대한 설명을 제공할 수 없었습니다. 그들은 프로젝트의 목표가 특정 자선 단체에 기부하는 것이라고 말하지만 자선 활동을 지원할 계획이 없으며 특정 자선 단체의 이름을 지정할 수 없습니다. 자선 성명은 단지 마케팅 전략이거나 심지어 투자자를 유치하기 위한 미끼로 보입니다.

보조 제목

항목 ②: 악성 개발자 사기

팀 전체가 스캠 참여자인 프로젝트 ①과 달리 프로젝트 ②의 스캠 책임자는 혼자서 모든 프로젝트 자금을 훔친 익명의 개발자입니다. CertiK와 프로젝트 책임자 간의 대화는 Rug Pull이 있기 불과 며칠 전에 일어났습니다.

개발자를 제외하고 프로젝트의 다른 모든 구성원은 프로젝트와 공개 관계를 가집니다. 프로젝트 리더에 대한 깊은 이해로 팀원 모두의 이름과 신상이 공개됐지만, 프로젝트 리더 자신도 개발자에 대해 아는 바가 없었다.

개발자는 완전히 익명이며 가명을 사용하고 팀 간 음성 또는 화상 통화에 참여한 적이 없으며 개인 정보를 공개한 적이 없습니다. 개발자가 Web 3.0에 대한 풍부한 경험이 있다고 주장하고 이전에 수행한 프로젝트에 대해 이야기했기 때문에 담당자는 익명 개발자의 수사를 믿었습니다. 대부분의 개발자는 프로젝트 팀에서 익명이며 이는 위험 및 문제가 아닙니다.

첫 번째 레벨 제목

보조 제목

빨간불 신호 1: 웹사이트 등록

이 기사에서 분석한 40개 프로젝트 중 37.5%(15개)가 도메인 등록 기관으로 Namecheap을 사용했습니다. Namecheap은 개인 정보 없이 도메인 이름을 등록할 수 있는 도메인 프라이버시 공급자입니다. 이러한 서비스는 도메인 이름과 관련된 실제 연락처 정보 대신 개인 서비스 정보와 임의로 생성된 이메일을 사용할 수 있습니다. 사이트에 등록하기 위해 개인 또는 식별 정보를 요구하지 않는 관행은 Rug Pull 사기꾼이 될 가능성이 매우 높습니다.

40개 프로젝트 중 4개가 명시적인 웹사이트 도메인 이름이 없거나 관련 웹사이트 도메인 이름에 대한 데이터가 없다는 점은 주목할 가치가 있습니다. Namecheap을 통해 등록된 프로젝트와 알려지지 않은 프로젝트가 전체 샘플의 45%를 차지했습니다.

보조 제목

빨간불 신호 2: 프로젝트 수명

Rug Pulls를 조사할 때 고려해야 할 또 다른 중요한 변수는 프로젝트 수명입니다. 이 연구의 맥락에서 프로젝트 수명은 프로젝트 시작 날짜부터 Rug Pull(즉, 실행 시간) 날짜까지의 일수로 정의됩니다. 프로젝트 시작 날짜는 소셜 미디어 생성 날짜, 온체인 지갑 생성 날짜 및 웹 사이트 날짜(일반적으로 사용 가능한 날짜의 평균을 취함)로 계산됩니다.

이 40개 프로젝트에 대한 연구에서 그 중 36개에 대한 시작 날짜가 확인되었습니다. 시작 날짜와 Rug Pull 시간을 수집하여 프로젝트의 평균 및 중간 수명을 계산했습니다. 프로젝트의 평균 수명은 92일, 중앙값은 57일이었습니다.

보조 제목

적색등 신호 #3: 기만 전술

보조 제목

Red Light Signal Four: 로드맵 및 백서

CertiK는 웹 사이트에 로그인하여 프로젝트 정보 데이터를 수집할 수 있는 31개 프로젝트 중 대부분이 로드맵이나 백서를 지속적으로 제공하지 않는 것으로 나타났습니다. 로드맵이나 백서가 있는 경우에도 품질이 낮을 수 있으며(많은 문법 오류, 정보 누락) 이러한 자료에 사기성 정보가 사용되는 경우가 많습니다. 로드맵과 백서가 있는 상대적으로 성숙한 프로젝트는 잘못된 합법성을 조장하는 마케팅 자료에 중점을 둡니다.

보조 제목

Red Light Five: 수상한 팀 소개

이 연구에서 또 다른 중요한 변수는 프로젝트에 팀을 소개하고 팀이 익명인지, 반익명인지 또는 공개적으로 식별 가능한지 여부였습니다. 샘플에서 31개 프로젝트에 대한 팀 프로필을 수집했지만 어느 팀도 완전히 공개되지 않았습니다.

대부분의 프로젝트는 완전히 익명이며 31개 프로젝트 중 24개(77.4%)를 차지합니다. 나머지 7개의 프로젝트는 반익명(샘플의 22.6%)으로 식별되었으며 프로젝트 팀원의 이름을 나열하는 것 외에 다른 식별 가능한 정보는 없습니다. 다른 팀에서 사용한 사진과 이름은 당사 조사팀의 확인 결과 허위 자료로 확인되었습니다.

첫 번째 레벨 제목

범죄 시그니처 분석, 탐지 및 예방 활용

CertiK는 Rug Pull 프로젝트의 특성 및 추세와 관련된 7가지 중요한 변수를 식별하고 분석했습니다. 이러한 변수는 많은 공통점을 공유하며 Rug Pull이 대략 동일한 방식으로 작동함을 나타냅니다.

그러나 많은 공통점이 있지만 Rug Pull 프로젝트는 변화하는 환경에서 시장에 적응하고 "시대와 함께 발전"하기 위해 기술과 전략을 지속적으로 업데이트하고 있습니다.

위의 연구 결과를 요약하면 다음과 같습니다. 대부분의 Rug Pull 프로젝트는 수명이 짧고, 대부분 프로젝트 팀 전체에서 수행되며, 대부분은 등록자의 개인 정보를 유지하지 않는 도메인 이름 등록 업체를 사용합니다. 설립 과정. 물론 조사에서 일부 예외도 발견되었으므로 위의 특성을 참고할 수는 있지만 절대적인 평가 기준은 아니다.

프로젝트 사기꾼은 잠재적인 투자자를 유인하기 위해 가능한 한 많은 전술을 사용하므로 투자하기 전에 스스로 실사를 수행하고 Web 3.0 보안 전문 지식을 갖춘 전문가의 권위 있는 정보를 참조하는 것이 중요합니다.

타사 보안 감사자를 사용하여 백그라운드 확인을 수행하면 보안 조치의 효율성과 효과를 높일 수 있습니다. CertiK의 KYC 팀은 조사 전문가로 구성되어 있습니다. 철저한 배경 조사 및 위험 평가 외에도 CertiK는 Web 3.0 사기꾼의 고유한 데이터베이스와 위험 지표를 통해 사기를 감지하는 데 도움이 되는 정성 및 정량 도구를 유지 관리합니다.

러그 당김은 Web 3.0 생태계에 대한 지속적인 위협입니다. 40개의 샘플에서 몇 가지 고위험 요소를 식별하고 KYC가 고품질 프로젝트를 돋보이게 하는 데 도움이 되지만 이러한 위협을 완전히 제거할 수는 없습니다.

안전과 투명성에 대한 기준을 높임으로써 CertiK는 실제로 이상이 있는 프로젝트에 신뢰할 수 있는 증거를 제공하고 동시에 사용자가 정보에 입각한 올바른 결정을 내리도록 돕고 더 많은 사람들이 Rug Pull의 희생자가 되는 것을 방지하기를 희망합니다. .