Bubblemaps công bố phát hiện một chiến dịch Sybil nhắm vào đợt airdrop AVNT, thu về khoảng 4 triệu USD qua hơn 300 địa chỉ được điều phối đồng bộ.
Chuỗi hành vi gồm nhận tiền từ Coinbase, nhận USDC từ nhóm gửi nhỏ, trao đổi trên Avantis, claim airdrop, hợp nhất Token vào vài địa chỉ rồi chuyển đồng loạt tới sàn tập trung (Bybit/Gate), cho thấy hoạt động có tổ chức.
Phát hiện tổng quát
Bubblemaps báo cáo một thực thể hoặc mạng lưới thu về ~4 triệu USD từ airdrop AVNT thông qua hơn 300 địa chỉ có hành vi giống nhau.
Chuỗi phân tích cho thấy mô thức lặp lại: nạp tiền, nhận USDC từ một nhóm hạn chế, đổi sang AVNT trên Avantis, claim airdrop, gom Token và chuyển tập trung tới sàn Bybit/Gate.
Dấu hiệu nhận biết Sybil attack trong vụ AVNT
Dấu hiệu rõ ràng gồm: ví trước đó không hoạt động, nguồn tiền đầu vào từ vài nguồn giống nhau, giao dịch trao đổi tập trung và chuyển đồng bộ vào vài địa chỉ trung gian.
Những đặc điểm này thường cho thấy bot hoặc mạng lưới nhiều tài khoản được điều phối để chiếm ưu thế khi airdrop, làm giảm tính công bằng và tăng rủi ro cho dự án.
Tác động tới dự án và người dùng
Hành vi Sybil làm xói mòn mục tiêu phân phối công bằng của airdrop, có thể ảnh hưởng tới giá Token và niềm tin người dùng.
Dự án có thể phải rà soát lại tiêu chí airdrop, tăng biện pháp chống Sybil như KYC, giới hạn giao dịch, hoặc áp dụng cơ chế phân phối phức tạp hơn để giảm rủi ro lạm dụng.
Làm sao phát hiện chiến dịch Sybil như vậy?
Phân tích mẫu giao dịch: ví mới hoặc im lặng trước đó, nguồn nạp giống nhau, luồng Token lặp lại, và chuyển tập trung tới vài địa chỉ/sàn là các chỉ báo chính.
Việc chuyển đến Bybit/Gate có ý nghĩa gì?
Chuyển sang sàn tập trung thường nhằm thanh khoản nhanh; nếu bị phát hiện, sàn có thể hỗ trợ điều tra, nhưng với khối lượng lớn nó làm tăng rủi ro cho thị trường Token.
Người dùng bình thường cần làm gì để tránh rủi ro?
Theo dõi thông báo chính thức của dự án, tránh tham gia airdrop từ nguồn không rõ ràng, và cẩn trọng khi tương tác với ví hoặc hợp đồng lạ.
