CertiK: Nghiên cứu 40 dự án đang chạy, 7 điểm đáng cảnh báo

Thoát khỏi lừa đảo, cái mà chúng ta thường gọi là dự án chạy trốn. Còn được gọi một cách sinh động là "Rug Pull", đây là một phương thức lừa đảo tội phạm trong lĩnh vực Web 3.0.

Phương pháp phổ biến của Rug Pull là tạo khối lượng giao dịch và số lượng người dùng giả sau khi tạo một dự án DeFi có vẻ hợp pháp để cải thiện danh tiếng của dự án và thu hút nhiều nhà đầu tư hơn vào dự án. Sau khi đạt đến một quy mô nhất định, kẻ lừa đảo hoặc nhóm sẽ đột ngột rút một lượng lớn tiền trong dự án và đóng dự án, cuối cùng khiến các mã thông báo do các nhà đầu tư nắm giữ bị mất giá trị.

Mặc dù có rất nhiều số liệu thống kê cho thấy mức độ phổ biến và tác động của các vụ lừa đảo khi thoát lệnh trong những năm qua, nhưng có ít dữ liệu và báo cáo kiểm tra các đặc điểm và thủ phạm của chúng. Và nghiên cứu như thế này có thể cải thiện các nỗ lực chống rửa tiền (AML), tăng cường bảo vệ người tiêu dùng và tính toàn vẹn của toàn bộ thị trường Web 3.0.

Bằng cách nghiên cứu toàn bộ chu trình của các trò gian lận thoát lệnh từ đầu đến cuối, chúng ta có thể phân tích rõ hơn cấu trúc của các trò gian lận và hiểu các yếu tố rủi ro tiềm ẩn cũng như những điểm chung khiến chúng tồn tại. Bằng cách xác định các tín hiệu và chỉ báo này, chúng ta có thể áp dụng các phương pháp và chiến lược bảo mật thông minh hơn để bảo vệ thế giới Web 3.0 hiệu quả hơn.

tiêu đề cấp đầu tiên

định nghĩa khái niệm

Với mục đích của nghiên cứu này, chúng tôi định nghĩa Rug Pull là: một dự án có kế hoạch và mục đích phạm tội tích cực sử dụng hoạt động tiếp thị và quảng cáo cường điệu để lừa gạt các nhà đầu tư, sau đó để (các) thành viên trong nhóm bòn rút tiền của họ.

phương pháp luận

phương pháp luận

tiêu đề cấp đầu tiên

phân tích tội phạm

Hard Rug Pull phải xảy ra cùng với các vấn đề nội bộ trong nhóm dự án. Không khó hiểu nếu đội ngũ chịu trách nhiệm và không có dấu hiệu bỏ trốn thì vụ việc sẽ được coi là một vụ hack.

Trong nghiên cứu của chúng tôi về Rug Pull, các dự án bỏ trốn được chia thành bốn loại: nhóm dự án bỏ trốn, phá hoại của nhà phát triển độc hại, chủ dự án phạm tội và nhân viên hoặc nhóm không xác định phạm tội. Các định nghĩa và kết luận cho từng loại được trình bày chi tiết hơn dưới đây:

Nghiên cứu này nhấn mạnh tầm quan trọng của việc kiểm tra lý lịch khi đánh giá các dự án mới và các rủi ro liên quan của chúng. Vì phần lớn các hoạt động kéo thảm được thực hiện bởi các nhóm dự án nên điều quan trọng là phải xem xét động lực của nhóm và thành tích của họ trước khi đầu tư vào một dự án.

Rug Pull đã hoạt động trung bình 93 ngày trước khi vụ lừa đảo bỏ trốn cuối cùng xảy ra. Chúng ta cần cảnh giác với các dự án mới được triển khai mà các nhà phát triển cố tình ẩn danh hoặc hoàn toàn không được biết đến, không có cam kết về tính minh bạch hoặc phân cấp.

Để chống lại những trò gian lận như vậy, giảm rủi ro và giúp người dùng đưa ra quyết định sáng suốt, CertiK đã phát triểnChương trình huy hiệu KYCtiêu đề cấp đầu tiên

tiêu đề phụ

Trường hợp dự án ①: Đội lừa đảo

Các điều tra viên của CertiK đã phỏng vấn trưởng dự án của một dự án ẩn danh (chúng tôi sẽ gọi dự án này đơn giản là dự án ① trong phần sau). Trong cuộc phỏng vấn với trưởng chương trình, chúng tôi nhận thấy một số điểm đáng chú ý, bao gồm sự do dự của ứng viên và khó nhớ tên của các thành viên khác trong nhóm chương trình. Họ cũng tuyên bố có ít kiến ​​thức về dự án và cấu trúc của nó.

Ngoài ra, trưởng dự án và các thành viên trong nhóm không có kinh nghiệm trước đó với Web 3.0 và không thể đưa ra bất kỳ lời giải thích nào cho mục đích của dự án. Họ nói rằng mục tiêu của dự án là quyên góp cho các tổ chức từ thiện cụ thể, nhưng họ không có kế hoạch hỗ trợ các sáng kiến ​​từ thiện và không thể nêu tên các tổ chức từ thiện cụ thể. Tuyên bố từ thiện dường như chỉ là một mánh khóe tiếp thị hoặc thậm chí là mồi nhử để thu hút các nhà đầu tư.

tiêu đề phụ

Mục ②: Lừa đảo của nhà phát triển độc hại

Không giống như dự án ① nơi cả nhóm đều tham gia lừa đảo, người chịu trách nhiệm về vụ lừa đảo trong dự án ② là một nhà phát triển ẩn danh đã một mình đánh cắp tất cả tiền của dự án. Cuộc trò chuyện giữa CertiK và người phụ trách dự án ② diễn ra chỉ vài ngày trước Rug Pull.

Ngoại trừ nhà phát triển, tất cả các thành viên khác của dự án ② đều có mối quan hệ công khai với dự án. Với sự hiểu biết sâu rộng của trưởng dự án, tên và danh tính của tất cả các thành viên trong nhóm đã được tiết lộ, nhưng ngay cả bản thân trưởng dự án cũng không biết gì về các nhà phát triển.

Nhà phát triển hoàn toàn ẩn danh và sử dụng bút danh, chưa bao giờ tham gia vào bất kỳ cuộc gọi thoại hoặc video nào giữa các nhóm và chưa bao giờ tiết lộ bất kỳ thông tin cá nhân nào. Bởi vì nhà phát triển tuyên bố có nhiều kinh nghiệm về Web 3.0 và nói về các dự án mà anh ta đã thực hiện trước đây, nên người phụ trách tin vào lời hùng biện của nhà phát triển ẩn danh: hầu hết các nhà phát triển đều ẩn danh trong nhóm dự án, điều này không phải là rủi ro hay vấn đề.

tiêu đề cấp đầu tiên

tiêu đề phụ

Tín hiệu đèn đỏ Một: Đăng ký trang web

Trong số 40 dự án được phân tích trong bài viết này, 37,5% (15) đã sử dụng Namecheap làm công ty đăng ký tên miền của họ. Namecheap là nhà cung cấp quyền riêng tư tên miền cho phép bạn đăng ký tên miền mà không cần bất kỳ thông tin cá nhân nào. Các dịch vụ này có thể sử dụng thông tin dịch vụ riêng tư và email được tạo ngẫu nhiên thay cho thông tin liên hệ thực tế được liên kết với tên miền. Việc không yêu cầu thông tin cá nhân hoặc thông tin nhận dạng để đăng ký với trang web có thể cực kỳ hấp dẫn đối với những kẻ lừa đảo Rug Pull.

Điều đáng chú ý là 4 trong số 40 dự án không có tên miền website rõ ràng hoặc không có dữ liệu về tên miền website liên quan. Các dự án được đăng ký thông qua Namecheap và các dự án không xác định cộng lại chiếm 45% toàn bộ mẫu.

tiêu đề phụ

Tín hiệu đèn đỏ thứ hai: Tuổi thọ dự án

Một biến số quan trọng khác cần xem xét khi nghiên cứu Rug Pulls là tuổi thọ của dự án. Trong bối cảnh của nghiên cứu này, tuổi thọ của dự án được định nghĩa là số ngày kể từ ngày bắt đầu dự án đến ngày Rug Pull (tức là thời gian chạy). Ngày bắt đầu của dự án được tính từ ngày tạo phương tiện truyền thông xã hội, ngày tạo ví trên chuỗi và ngày trang web (thường lấy giá trị trung bình của các ngày có sẵn).

Trong nghiên cứu của chúng tôi về 40 dự án này, ngày ra mắt đã được xác định cho 36 dự án trong số đó. Ngày bắt đầu và thời gian Rug Pull được thu thập để tính tuổi thọ trung bình và trung bình của các dự án: các dự án có tuổi thọ trung bình là 92 ngày và trung bình là 57 ngày.

tiêu đề phụ

Tín Hiệu Đèn Đỏ #3: Chiến Thuật Đánh Lừa

tiêu đề phụ

Tín hiệu đèn đỏ thứ tư: Lộ trình và Sách trắng

Trong số 31 dự án có thể đăng nhập vào trang web và thu thập dữ liệu thông tin dự án, CertiK nhận thấy rằng hầu hết trong số họ không cung cấp lộ trình hoặc sách trắng trên cơ sở liên tục. Ngay cả khi có lộ trình hoặc sách trắng, chất lượng có thể kém (nhiều lỗi ngữ pháp, thiếu thông tin) và thông tin lừa đảo thường được sử dụng trong các tài liệu này. Các dự án tương đối chín muồi với lộ trình và sách trắng tập trung vào các tài liệu tiếp thị thúc đẩy tính hợp pháp sai lầm.

tiêu đề phụ

Red Light Five: Giới thiệu nhóm đáng ngờ

Một biến quan trọng khác trong nghiên cứu này là việc giới thiệu nhóm trong dự án và liệu nhóm có ẩn danh, bán ẩn danh hay có thể nhận dạng công khai hay không. Trong mẫu của chúng tôi, chúng tôi đã thu thập hồ sơ nhóm cho 31 dự án, nhưng không có nhóm nào được tiết lộ đầy đủ.

Hầu hết các dự án đều ẩn danh hoàn toàn, chiếm 24 trong tổng số 31 dự án (77,4%). 7 dự án còn lại được xác định là bán ẩn danh (22,6% mẫu)—không có thông tin nhận dạng nào khác ngoài việc liệt kê tên của các thành viên trong nhóm dự án. Ảnh và tên do các nhóm khác sử dụng đã được xác định là tài liệu giả sau khi được các điều tra viên của chúng tôi xác nhận.

tiêu đề cấp đầu tiên

Sử dụng phân tích chữ ký tội phạm, phát hiện và ngăn chặn

CertiK đã xác định và phân tích 7 biến số quan trọng liên quan đến đặc điểm và xu hướng của các dự án Rug Pull, những biến số này có nhiều điểm tương đồng, cho thấy Rug Pulls hoạt động gần như giống nhau.

Tuy nhiên, dù có nhiều điểm chung nhưng dự án Rug Pull cũng không ngừng cập nhật công nghệ, chiến lược để thích ứng với thị trường và “tiến cùng thời đại” trong sự thay đổi của môi trường.

Dưới đây là tóm tắt các kết quả nghiên cứu trên: Hầu hết các dự án Rug Pull đều có thời gian tồn tại ngắn, hầu hết chúng được thực hiện bởi cả nhóm dự án và hầu hết chúng sử dụng các công ty đăng ký tên miền không lưu giữ thông tin cá nhân của người đăng ký trong quá trình thực hiện. quá trình thành lập. Tất nhiên, một số trường hợp ngoại lệ cũng được tìm thấy trong cuộc khảo sát, vì vậy các đặc điểm trên có thể được sử dụng làm tài liệu tham khảo, nhưng không phải là tiêu chuẩn tuyệt đối để đánh giá.

Những kẻ lừa đảo dự án sử dụng nhiều chiến thuật nhất có thể để thu hút các nhà đầu tư tiềm năng, vì vậy, điều quan trọng là bạn phải tự mình thẩm định và tham khảo thông tin có thẩm quyền từ các chuyên gia có kiến ​​thức chuyên môn về bảo mật Web 3.0 trước khi đầu tư.

Sử dụng kiểm toán viên bảo mật bên thứ ba để tiến hành kiểm tra lý lịch có thể tăng hiệu quả và hiệu quả của các biện pháp bảo mật. Nhóm KYC của CertiK bao gồm các chuyên gia điều tra. Ngoài việc kiểm tra lý lịch kỹ lưỡng và đánh giá rủi ro, CertiK duy trì một cơ sở dữ liệu duy nhất về những kẻ lừa đảo trên Web 3.0 và các công cụ định tính và định lượng thông qua các chỉ số rủi ro để giúp phát hiện gian lận.

Thảm kéo là mối đe dọa thường xuyên đối với hệ sinh thái Web 3.0. Mặc dù chúng tôi đã xác định được một số yếu tố rủi ro cao từ 40 mẫu và KYC của chúng tôi sẽ giúp các dự án chất lượng cao trở nên nổi bật, nhưng không thể loại bỏ hoàn toàn những mối đe dọa này.

Bằng cách nâng cao tiêu chuẩn về tính an toàn và minh bạch, CertiK hy vọng sẽ cung cấp bằng chứng đáng tin cậy cho những dự án thực sự có lý tưởng, đồng thời giúp người dùng đưa ra quyết định sáng suốt và đúng đắn, đồng thời ngăn chặn nhiều người trở thành nạn nhân của Rug Pull .