CertiK: หลังจากศึกษาโครงการที่กำลังดำเนินอยู่ 40 โครงการ 7 ประเด็นเหล่านี้ควรค่าแก่การเตือน

CertiK

特邀专栏作者

2023-04-07 04:30

บทความนี้มีประมาณ 3478 คำ การอ่านทั้งหมดใช้เวลาประมาณ 5 นาที

Rug pull เป็นภัยคุกคามอย่างต่อเนื่องต่อระบบนิเวศของ Web 3.0 เราควรระบุและป้องกันตนเองจาก "การหลบ

สรุปโดย AI

ขยาย

ออกจากการหลอกลวง สิ่งที่เรามักเรียกกันว่าโครงการหนี เรียกอีกอย่างว่า "Rug Pull" เป็นวิธีการฉ้อโกงทางอาญาในฟิลด์ Web 3.0

แนวทางปฏิบัติทั่วไปของ Rug Pull คือการสร้างปริมาณธุรกรรมและหมายเลขผู้ใช้ที่เป็นเท็จหลังจากสร้างโครงการ DeFi ที่ดูเหมือนจะถูกต้องตามกฎหมายเพื่อปรับปรุงชื่อเสียงของโครงการและดึงดูดนักลงทุนเข้ามาในโครงการมากขึ้น หลังจากไปถึงระดับหนึ่ง นักต้มตุ๋นหรือทีมจะถอนเงินจำนวนมากในโครงการและปิดโครงการในทันที ทำให้โทเค็นที่ถือโดยนักลงทุนสูญเสียมูลค่าในที่สุด

แม้ว่าจะมีสถิติมากมายที่แสดงให้เห็นความแพร่หลายและผลกระทบของการหลอกลวงทางออกในช่วงหลายปีที่ผ่านมา แต่ก็มีข้อมูลและรายงานจำนวนน้อยกว่าที่ตรวจสอบลักษณะเฉพาะและผู้กระทำความผิด และการวิจัยเช่นนี้สามารถปรับปรุงความพยายามในการต่อต้านการฟอกเงิน (AML) เพิ่มการคุ้มครองผู้บริโภค และความสมบูรณ์ของตลาด Web 3.0 โดยรวม

ด้วยการศึกษาวงจรของกลโกง Exit ตั้งแต่ต้นจนจบ เราสามารถแยกแยะโครงสร้างของกลโกงได้ดีขึ้น และเข้าใจปัจจัยเสี่ยงและลักษณะทั่วไปที่ทำให้พวกเขามีอยู่จริง ด้วยการระบุสัญญาณและตัวบ่งชี้เหล่านี้ เราสามารถใช้แนวทางและกลยุทธ์ด้านความปลอดภัยที่ชาญฉลาดยิ่งขึ้นเพื่อปกป้องโลกของ Web 3.0 ได้อย่างมีประสิทธิภาพยิ่งขึ้น

ชื่อระดับแรก

นิยามแนวคิด

สำหรับวัตถุประสงค์ของการวิจัยนี้ เราให้คำจำกัดความของ Rug Pull ว่า: โครงการที่มีแผนอาชญากรรมและวัตถุประสงค์ที่ใช้การตลาดและโฆษณาเกินจริงเพื่อฉ้อฉลนักลงทุน จากนั้นมีสมาชิกในทีมยักยอกเงินของพวกเขา

วิธีการ

ชื่อระดับแรก

การวิเคราะห์อาชญากรรม

Hard Rug Pull จะต้องเกิดขึ้นพร้อมกับปัญหาภายในภายในทีมงานโครงการ เข้าใจได้ไม่ยากว่าหากทีมงานรับผิดชอบและไม่มีทีท่าว่าจะวิ่งหนี เหตุการณ์ดังกล่าวจะถือว่าเป็นเหตุการณ์แฮ็ก

ในงานวิจัยของเราเกี่ยวกับ Rug Pull โครงการหนีถูกแบ่งออกเป็นสี่ประเภท: ทีมโครงการหนี การก่อวินาศกรรมของนักพัฒนาที่เป็นอันตราย เจ้าของโครงการก่ออาชญากรรม และบุคลากรหรือทีมที่ไม่รู้จักก่ออาชญากรรม คำจำกัดความและข้อสรุปสำหรับแต่ละประเภทมีรายละเอียดเพิ่มเติมด้านล่าง:

งานวิจัยนี้เน้นย้ำถึงความสำคัญของการตรวจสอบประวัติในการประเมินโครงการใหม่และความเสี่ยงที่เกี่ยวข้อง เนื่องจากการดึงพรมส่วนใหญ่ทำโดยทีมงานโครงการ จึงเป็นเรื่องสำคัญที่จะต้องพิจารณาแรงจูงใจของทีมและประวัติการทำงานก่อนที่จะลงทุนในโครงการ

Rug Pull เปิดใช้งานเป็นเวลาเฉลี่ย 93 วันก่อนที่จะมีการหลอกลวงผู้หลบหนีในที่สุด เราต้องระวังโครงการที่เพิ่งปรับใช้ซึ่งนักพัฒนาไม่เปิดเผยตัวตนโดยเจตนาหรือไม่รู้จักโดยสิ้นเชิง โดยไม่มีข้อผูกมัดต่อความโปร่งใสหรือการกระจายอำนาจ

เพื่อต่อสู้กับกลโกงดังกล่าว ลดความเสี่ยง และช่วยให้ผู้ใช้ตัดสินใจอย่างรอบรู้ CertiK ได้พัฒนาขึ้นโปรแกรมตรา KYCชื่อระดับแรก

ชื่อเรื่องรอง

กรณีโครงการ ①: การหลอกลวงของทีม

ผู้ตรวจสอบของ CertiK สัมภาษณ์หัวหน้าโครงการของโครงการที่ไม่ระบุตัวตน (เราจะเรียกโครงการนี้ง่ายๆ ว่าโครงการ ① ต่อไปนี้) ในระหว่างการสัมภาษณ์กับหัวหน้าโปรแกรม เราพบประเด็นสำคัญหลายประการ รวมถึงความลังเลของผู้สมัครและความยากลำบากในการจำชื่อสมาชิกคนอื่นๆ ของทีมโปรแกรม พวกเขาอ้างว่ามีความรู้เพียงเล็กน้อยเกี่ยวกับโครงการและโครงสร้างของโครงการ

นอกจากนี้ หัวหน้าโครงการและสมาชิกในทีมไม่เคยมีประสบการณ์กับ Web 3.0 มาก่อน และไม่สามารถให้คำอธิบายใดๆ สำหรับวัตถุประสงค์ของโครงการได้ พวกเขาระบุว่าเป้าหมายของโครงการคือการบริจาคให้กับองค์กรการกุศลเฉพาะ แต่ไม่มีแผนที่จะสนับสนุนโครงการการกุศลและไม่สามารถระบุชื่อองค์กรการกุศลที่เฉพาะเจาะจงได้ ข้อความการกุศลดูเหมือนจะเป็นเพียงอุบายทางการตลาดหรือแม้แต่เหยื่อล่อเพื่อดึงดูดนักลงทุน

ชื่อเรื่องรอง

รายการ ②: การหลอกลวงนักพัฒนาที่เป็นอันตราย

ซึ่งแตกต่างจากโครงการ ① ที่ทั้งทีมเป็นผู้มีส่วนร่วมในการหลอกลวง บุคคลที่รับผิดชอบการหลอกลวงในโครงการ ② คือนักพัฒนานิรนามที่ขโมยเงินโครงการทั้งหมดเพียงลำพัง การสนทนาระหว่าง CertiK และผู้รับผิดชอบโครงการ ② เกิดขึ้นเพียงไม่กี่วันก่อนงาน Rug Pull

ยกเว้นผู้พัฒนา สมาชิกคนอื่นๆ ของโครงการ ② มีความสัมพันธ์สาธารณะกับโครงการ ด้วยความเข้าใจเชิงลึกของหัวหน้าโครงการ ชื่อและตัวตนของสมาชิกทุกคนในทีมจึงถูกเปิดเผย แต่แม้แต่หัวหน้าโครงการเองก็ไม่รู้อะไรเลยเกี่ยวกับผู้พัฒนา

นักพัฒนาซอฟต์แวร์ไม่ระบุตัวตนอย่างสมบูรณ์และใช้นามแฝง ไม่เคยเข้าร่วมการโทรด้วยเสียงหรือวิดีโอแบบทีมต่อทีม และไม่เคยเปิดเผยข้อมูลส่วนบุคคลใดๆ เนื่องจากนักพัฒนาอ้างว่ามีประสบการณ์มากมายใน Web 3.0 และพูดถึงโครงการที่เขาเคยทำมาก่อน ผู้รับผิดชอบจึงเชื่อคำพูดของนักพัฒนาที่ไม่เปิดเผยตัวตน: นักพัฒนาส่วนใหญ่ไม่เปิดเผยตัวตนในทีมโครงการ ซึ่งไม่ใช่ความเสี่ยงและปัญหา

ชื่อระดับแรก

ชื่อเรื่องรอง

สัญญาณไฟแดงที่หนึ่ง: การลงทะเบียนเว็บไซต์

จาก 40 โครงการที่วิเคราะห์ในบทความนี้ 37.5% (15) ใช้ Namecheap เป็นผู้รับจดทะเบียนโดเมน Namecheap เป็นผู้ให้บริการความเป็นส่วนตัวของโดเมนที่ให้คุณจดทะเบียนชื่อโดเมนโดยไม่มีข้อมูลส่วนบุคคล บริการเหล่านี้อาจใช้ข้อมูลบริการส่วนตัวและอีเมลที่สร้างขึ้นแบบสุ่มแทนข้อมูลติดต่อจริงที่เกี่ยวข้องกับชื่อโดเมน การปฏิบัติที่ไม่ขอข้อมูลส่วนตัวหรือข้อมูลระบุตัวตนเพื่อลงทะเบียนกับเว็บไซต์อาจเป็นเรื่องที่น่าสนใจอย่างยิ่งสำหรับนักต้มตุ๋น Rug Pull

เป็นที่น่าสังเกตว่า 4 ใน 40 โครงการไม่มีชื่อโดเมนเว็บไซต์ที่ชัดเจนหรือไม่มีข้อมูลในชื่อโดเมนเว็บไซต์ที่เกี่ยวข้อง โครงการที่ลงทะเบียนผ่าน Namecheap และโครงการที่ไม่รู้จักรวมกันคิดเป็น 45% ของตัวอย่างทั้งหมด

ชื่อเรื่องรอง

สัญญาณไฟแดงที่สอง: อายุการใช้งานโครงการ

ตัวแปรสำคัญอีกประการหนึ่งที่ต้องพิจารณาเมื่อทำการวิจัย Rug Pulls คืออายุที่ยืนยาวของโครงการ ในบริบทของการศึกษานี้ อายุโครงการถูกกำหนดเป็นจำนวนวันจากวันที่เริ่มต้นโครงการจนถึงวันที่ Rug Pull (เช่น เวลาดำเนินการ) วันที่เริ่มต้นของโครงการคำนวณจากวันที่สร้างโซเชียลมีเดีย วันที่สร้างกระเป๋าเงินออนไลน์ และวันที่เว็บไซต์ (โดยทั่วไปจะใช้ค่าเฉลี่ยของวันที่ที่มีอยู่)

ในการศึกษาโครงการ 40 โครงการของเรา มีการระบุวันที่เปิดตัวสำหรับ 36 โครงการ วันที่เริ่มต้นและเวลาดึงพรมถูกรวบรวมเพื่อคำนวณอายุเฉลี่ยและอายุเฉลี่ยของโครงการ: โครงการมีอายุเฉลี่ย 92 วันและค่ามัธยฐาน 57 วัน

ชื่อเรื่องรอง

สัญญาณไฟแดง #3: กลวิธีหลอกลวง

ชื่อเรื่องรอง

สัญญาณไฟแดงที่สี่: แผนงานและเอกสารไวท์เปเปอร์

จาก 31 โครงการที่สามารถเข้าสู่ระบบเว็บไซต์และรวบรวมข้อมูลโครงการ CertiK พบว่าโครงการส่วนใหญ่ไม่ได้จัดทำแผนงานหรือเอกสารทางเทคนิคอย่างต่อเนื่อง แม้ในที่ที่มีโรดแมปหรือเอกสารไวท์เปเปอร์ คุณภาพอาจต่ำ (ข้อผิดพลาดทางไวยากรณ์จำนวนมาก ข้อมูลที่ขาดหายไป) และมักมีการใช้ข้อมูลที่เป็นการฉ้อฉลในเอกสารเหล่านี้ โครงการที่ค่อนข้างสมบูรณ์ด้วยโรดแมปและสมุดปกขาวจะมุ่งเน้นไปที่สื่อการตลาดที่ส่งเสริมความชอบธรรมที่ผิดพลาด

ชื่อเรื่องรอง

Red Light Five: การแนะนำทีมที่น่าสงสัย

ตัวแปรสำคัญอีกประการในการศึกษานี้คือการแนะนำทีมในโครงการ และการระบุว่าทีมนั้นไม่เปิดเผยตัวตน กึ่งไม่ระบุตัวตน หรือสามารถระบุตัวตนได้แบบสาธารณะ ในตัวอย่างของเรา เรารวบรวมโปรไฟล์ของทีมสำหรับ 31 โครงการ แต่ไม่มีการเปิดเผยทีมใดเลย

โครงการส่วนใหญ่ไม่ระบุชื่อโดยสมบูรณ์ คิดเป็น 24 จาก 31 โครงการ (77.4%) โครงการที่เหลืออีก 7 โครงการได้รับการระบุว่าเป็นแบบกึ่งไม่ระบุตัวตน (22.6% ของกลุ่มตัวอย่าง) โดยไม่มีข้อมูลอื่นที่สามารถระบุตัวตนได้นอกจากรายชื่อของสมาชิกในทีมโครงการ รูปภาพและชื่อที่ใช้โดยทีมอื่นถูกระบุว่าเป็นข้อมูลเท็จหลังจากได้รับการยืนยันจากผู้ตรวจสอบของเรา

ชื่อระดับแรก

ใช้การวิเคราะห์ การตรวจจับ และการป้องกันอาชญากรรม

CertiK ระบุและวิเคราะห์ตัวแปรสำคัญ 7 ตัวที่เกี่ยวข้องกับลักษณะและแนวโน้มของโครงการ Rug Pull ตัวแปรเหล่านี้มีลักษณะทั่วไปร่วมกันจำนวนมาก ซึ่งบ่งชี้ว่า Rug Pulls ทำงานคร่าวๆ ในลักษณะเดียวกัน

อย่างไรก็ตาม แม้ว่าจะมีความคล้ายคลึงกันหลายอย่าง แต่โครงการ Rug Pull ยังปรับปรุงเทคโนโลยีและกลยุทธ์อย่างต่อเนื่องเพื่อปรับให้เข้ากับตลาดและ "ก้าวหน้าตามกาลเวลา" ในสภาพแวดล้อมที่เปลี่ยนแปลง

นี่คือบทสรุปของผลการวิจัยข้างต้น: โครงการ Rug Pull ส่วนใหญ่มีอายุการใช้งานสั้น ส่วนใหญ่ดำเนินการโดยทีมงานโครงการทั้งหมด และส่วนใหญ่ใช้ผู้รับจดทะเบียนชื่อโดเมนที่ไม่เก็บข้อมูลส่วนบุคคลของผู้ลงทะเบียนในระหว่าง ขั้นตอนการจัดตั้ง แน่นอนว่า การสำรวจยังพบข้อยกเว้นบางประการ ดังนั้นคุณลักษณะข้างต้นสามารถใช้เป็นข้อมูลอ้างอิงได้ แต่ไม่ใช่เป็นมาตรฐานที่สมบูรณ์สำหรับการประเมิน

นักต้มตุ๋นโครงการใช้กลวิธีมากที่สุดเท่าที่จะเป็นไปได้เพื่อล่อลวงนักลงทุนที่มีศักยภาพ ดังนั้น จึงเป็นเรื่องสำคัญที่ต้องทำการตรวจสอบวิเคราะห์สถานะของคุณเองและอ้างอิงข้อมูลที่เชื่อถือได้จากผู้เชี่ยวชาญที่มีความเชี่ยวชาญด้านความปลอดภัยของ Web 3.0 ก่อนตัดสินใจลงทุน

การใช้ผู้ตรวจสอบความปลอดภัยบุคคลที่สามเพื่อทำการตรวจสอบประวัติสามารถเพิ่มประสิทธิภาพและประสิทธิผลของมาตรการรักษาความปลอดภัยได้ ทีม KYC ของ CertiK ประกอบด้วยผู้เชี่ยวชาญด้านการสืบสวน นอกเหนือจากการตรวจสอบประวัติอย่างละเอียดและการประเมินความเสี่ยงแล้ว CertiK ยังรักษาฐานข้อมูลเฉพาะของผู้ฉ้อโกง Web 3.0 และเครื่องมือเชิงคุณภาพและเชิงปริมาณผ่านตัวบ่งชี้ความเสี่ยงเพื่อช่วยตรวจจับการฉ้อโกง

การดึงพรมเป็นภัยคุกคามอย่างต่อเนื่องต่อระบบนิเวศของ Web 3.0 แม้ว่าเราจะระบุปัจจัยเสี่ยงสูงจากตัวอย่าง 40 ตัวอย่าง และ KYC ของเราจะช่วยให้โครงการคุณภาพสูงโดดเด่น แต่ภัยคุกคามเหล่านี้ก็ไม่สามารถกำจัดได้ทั้งหมด

ด้วยการยกระดับความปลอดภัยและความโปร่งใส CertiK หวังที่จะให้หลักฐานที่น่าเชื่อถือแก่โครงการเหล่านั้นที่มีอุดมคติอย่างแท้จริง และในขณะเดียวกันก็หวังว่าจะช่วยให้ผู้ใช้มีข้อมูลประกอบและตัดสินใจได้อย่างถูกต้อง และป้องกันไม่ให้ผู้คนจำนวนมากขึ้นตกเป็นเหยื่อของ Rug Pull .

ความปลอดภัย

นักพัฒนา

ลงทุน

ผู้สร้าง

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily