Trong lúc ngành công nghiệp tiền điện tử tiếp tục vươn tới các đỉnh cao mới, gần đây đạt mức vốn hóa thị trường lên tới 3,89 nghìn tỷ USD, lĩnh vực DeFi (DeFi) đã chứng kiến sự gia tăng mạnh mẽ số lượng vụ rug pull.
Ngày 14 tháng 11, số vụ rug pull đạt đỉnh với con số đáng báo động 31 vụ chỉ trong một ngày, trong khi tổng thiệt hại hàng tháng của chúng lên tới 15 triệu USD, cho thấy sự tinh vi ngày càng tăng của những kẻ lừa đảo.
Mặc dù hầu hết các vụ này liên quan đến những khoản tiền tương đối nhỏ, với các thiệt hại thường dưới 100.000 USD, khối lượng khổng lồ và sự phức tạp ngày càng gia tăng của các âm mưu này đã gây ra một mối đe dọa đáng kể đối với sự bình an trong thị trường DeFi.
Phân bố các vụ rug pull từ giữa tháng 10 đến tháng 11. Nguồn: TenArmor
Allen Zhang, đồng sáng lập kiêm giám đốc công nghệ của công ty an ninh mạng Web3 GoPlus, nói với TinTucBitcoin rằng loại rug pull phổ biến nhất là vụ lừa đảo “honeypot Token”, đã được phát hiện trên hơn 5.688 Token kể từ tháng 11.
Ông cho biết các kẻ lừa đảo hiện đại đã thích nghi bằng cách triển khai các chiến lược kiểm soát ví đa dạng, làm cho việc đánh giá rủi ro chỉ dựa vào các chỉ số tập trung của chủ sở hữu trở nên khó khăn.
Các kẻ lừa đảo trong tiền điện tử thay đổi chiến thuật
Từ cái nhìn bên ngoài, kiểu rug pull hiện đại đã phát triển từ một hoạt động tấn công và chiếm đoạt thô sơ thành một chiến dịch tâm lý phức tạp.
Michael Heinrich, đồng sáng lập công ty cơ sở hạ tầng Web3 0G Labs, nói với TinTucBitcoin rằng các kẻ lừa đảo hiện nay sử dụng các chiến lược tiếp thị chuyên nghiệp khiến nhiều startup hợp pháp phải ghen tị.
“Chúng ta đang thấy những câu chuyện được chế tạo tỉ mỉ để lừa đảo các nhà đầu tư không nghi ngờ gì,” ông nói, “Việc thiếu các quy trình xác định khách hàng nghiêm ngặt cho phép các nhà phát triển ác ý tạo và quảng bá các Token lừa đảo mà không tiết lộ danh tính của họ, làm khó cho các cơ quan thực thi pháp luật trong việc truy tìm và xử lý trách nhiệm của họ.”
Sự ra mắt gần đây của đồng memecoin Peanut (PNUT) là một ví dụ hoàn hảo. Trong vòng bảy ngày từ khi ra mắt ngày 1 tháng 11, PNUT đã thấy mức tăng giá đáng kinh ngạc 161 lần, thu hút các kẻ lừa đảo tạo ra các phiên bản lừa đảo của Token. Các kẻ lừa đảo đã có thể rug pull hơn 103.000 USD.
Trong khía cạnh này, việc vũ khí hóa các bot front-running — các ứng dụng giám sát giao dịch trong mempool để xác định mục tiêu cho một cuộc tấn công front-running — đã trở thành một phương pháp độc hại đáng ngại.
Zhang nói rằng những kẻ ác ý bắt đầu phát triển các chiến lược ra mắt Token tự động được thiết kế cụ thể để khai thác các bot front-running.
Ông nhận định, điều này đã tạo ra một động thái lý thuyết trò chơi thú vị, nơi cuộc cạnh tranh giữa các nhà phát hành Token và các công cụ giao dịch tự động đã trở nên ngày càng trưởng thành và thông minh hơn.
Steven Walbroehl, đồng sáng lập và giám đốc công nghệ của công ty an toàn Web3 Halborn, nói với TinTucBitcoin rằng các bot front-running đang hỗ trợ các vụ rug pull, đặc biệt là trong thời điểm ra mắt Token.
“Chúng thường bắt đầu với một chu kỳ ‘hi vọng và yêu cầu’. Các bot front-running tự động phát hiện các Token mới được niêm yết và thực hiện các lệnh mua nhanh chóng để vượt mặt các nhà đầu tư hợp pháp.”
“Những hành động này làm tăng giả tạo giá và khối lượng của Token, tạo ra ảo tưởng về nhu cầu cao và lôi kéo thêm nhiều nhà đầu tư tham gia.”
Kết quả là, các công ty cung cấp bảo mật hiện nay cần thực hiện các phân tích chi tiết hơn bằng cách sử dụng các phương pháp vượt ra ngoài các chỉ số tập trung đơn giản và tích hợp các chỉ báo tinh vi hơn về hoạt động có thể có nguy cơ.
Giải thích thêm về sự tinh vi ngày càng tăng của các vụ lừa đảo này, Heinrich giới thiệu một khu vực rug pull mới đang phát triển: “phát hành phi tập trung” các Token memecoin. Ông nói rằng 90% số ví trên Pump.fun — một thị trường dựa trên Solana cho phép người dùng tạo và phân phối các Token của riêng họ, chủ yếu là các Memecoin — có liên quan với nhau.
Điều này có nghĩa là các nhà phát triển đang tiêm các Token meme vào Pump.fun và sử dụng các bot cùng với các chiến thuật khác để đẩy giá lên trước khi bán ra trên những người dùng bán lẻ không biết.
Một ví dụ gần đây đã xảy ra khi một người 13 tuổi có thể kiếm được 30.000 USD bằng cách sử dụng chiến thuật này.
Kid makes a coin then dumps on people for 30K USD while live-streaming 😭pic.twitter.com/LoanyydtYX
— TTI (@TikTokInvestors) November 20, 2024
Walbroehl nói rằng đã có một xu hướng gia tăng các dự án gian lận tự liên kết mình với các thương hiệu nổi tiếng để có được sự tín nhiệm. “Vụ rug pull ‘Lego’ đã liên quan một dự án tự mạo danh là liên kết với thương hiệu Lego nổi tiếng, thu hút các nhà đầu tư dưới danh nghĩa giả trước khi thực hiện âm mưu lừa đảo,” ông bổ sung.
Phát hiện, ngăn ngừa và bảo vệ cộng đồng
Với sự gia tăng của các vụ lừa đảo memecoin, cộng đồng an ninh blockchain đã bắt đầu phát động một cuộc phản công tinh vi.
Công ty nghiên cứu an ninh Anaxi Labs và CyLab của Đại học Carnegie Mellon đã phát triển các thuật toán để đơn giản hóa các thành phần blockchain và tăng cường tính minh bạch.
Kate Shen, đồng sáng lập Anaxi Labs, nói với TinTucBitcoin rằng những tháng tới có thể là bước ngoặt cho an ninh blockchain và tính minh bạch, đặc biệt khi công ty đầu tư mạo hiểm Andreessen Horowitz đã ra mắt sản phẩm lớn đầu tiên do công ty sản xuất, Jolt, vào đầu năm nay.
“[Mục tiêu của Jolt là cung cấp các công cụ dễ sử dụng, nhanh chóng, và dễ kiểm toán hơn so với trải nghiệm phát triển hiện tại, vốn thường ‘cần nhiều nỗ lực’ và có diện tích bề mặt lớn cho các lỗi liên quan đến an ninh xâm nhập,” cô nói.
GoPlus đã giới thiệu giao thức SafeToken, cung cấp các mẫu bảo mật tiêu chuẩn hóa để giảm thiểu các vụ rug pull được thực hiện thông qua mã độc hại. “Bằng cách cung cấp các mẫu bảo mật tiêu chuẩn hóa này, chúng tôi đang giúp thiết lập nền tảng an toàn hơn cho việc ra mắt Token trong hệ sinh thái Web3,” đồng sáng lập Zhang nói.
Ngoài các giải pháp cụ thể này, Nanak Nihal Khalsa, đồng sáng lập giao thức an ninh Web3 Holonym, nói với TinTucBitcoin rằng các ví tiền điện tử nên sử dụng các công cụ quét mã tự động khi người dùng tương tác với một hợp đồng.
“Điều này không thể sửa trên cấp độ người dùng, nhưng có thể trên cấp độ ví. Ví nên bắt đầu thực hiện việc này ngoài mô phỏng giao dịch,” ông nói.
Heinrich tin rằng các nền tảng DeFi nên thường xuyên thuê các công ty uy tín bên thứ 3 để kiểm tra hợp đồng và khuyến khích phát triển mã nguồn mở trên các nền tảng như GitHub. “Thiết kế các hợp đồng không thể bị thay đổi sau khi triển khai, chấm hết,” ông bổ sung.
Khía cạnh tâm lý của các vụ rug pull ít được đề cập
Các vụ rug pull có thể sử dụng những hình thức thao túng tâm lý phức tạp. Ben Caselin, giám đốc marketing của nền tảng giao dịch tài sản số VALR, nói với TinTucBitcoin rằng hầu hết các nhà giao dịch tiền điện tử đã nội tại hóa đặc tính rủi ro cao của các thị trường này, bổ sung:
“Họ thực tế đang đánh bạc, đầu tư vào nhiều Token có vốn hóa thị trường thấp với hy vọng một hoặc hai trong số đó sẽ thành công trong ngắn hạn.”
Động thái này đã tạo ra môi trường lý tưởng cho các trò lừa gạt, nơi các nhà đầu tư, bị khao khát bỏ lỡ (FOMO) và sự hấp dẫn của lợi nhuận nhanh chóng thúc đẩy, đã trở nên dễ dàng bị lừa đảo.
Heinrich nói rằng những kẻ lừa đảo ngày nay đã trở nên khéo léo trong việc tạo ra các bề mặt giả cực kỳ chuyên nghiệp. “Tôi nhận được ít nhất một email mỗi tuần từ một ‘quỹ đầu tư’ tuyên bố quan tâm đến dự án của tôi,” ông tiết lộ.
Vai trò của mạng social và marketing ảnh hưởng cũng trở nên không thể phủ nhận, với các xác nhận giả, các câu chuyện thành công bịa đặt và các chiến dịch tiếp thị phối hợp trở thành công cụ tiêu chuẩn.
“Các kẻ lừa đảo thực hiện các chiến dịch FOMO trên mạng social để khai thác hành vi bốc đồng của nhà đầu tư. Đáng lo ngại, một số kẻ lừa đảo lặp lại cùng kịch bản trên nhiều dự án, tinh chỉnh chiến thuật của họ để nhắm tới làn sóng nạn nhân tiếp theo,” Shen nói.
Nhận diện các dấu hiệu cảnh báo
Có một số tín hiệu mà nhà giao dịch có thể tìm kiếm để nhận diện một vụ rug pull tiềm năng.
Một là “sự tập trung Token.” Khalsa nói rằng các kẻ lừa đảo tạo ra ảo tưởng phân phối bằng cách kiểm soát nhiều ví, dường như độc lập với nhau.
“Càng phân phối tập trung nguồn cung Token, khả năng và tác động của một vụ rug pull tiềm năng càng cao,” ông nói.
Các dự án lừa đảo thường xuyên niêm yết các Token với thanh khoản thấp, khiến cho các chủ sở hữu tổ chức dễ dàng thực hiện các vụ rug pull. Các dự án với sự phân phối cộng đồng tối thiểu đặc biệt dễ bị tổn thương, vì sự phân tán rộng rãi của Token làm tan loãng các rủi ro thao túng.
Đã dễ dàng biến nguồn cung Token tập trung trở nên phân tán, như bằng cách chia tách quỹ giữa nhiều địa chỉ một người kiểm soát hoặc viết một hợp đồng Token ERC-20 giả pretends về nguồn cung và số dư người dùng. “Mặc dù những thủ thuật này có thể bị phát hiện, người dùng bình thường không phải lúc nào cũng nhận ra,” Khalsa nói.
Trong bối cảnh này, Shen nói rằng các công cụ như Etherscan và Token Sniffer có thể giúp đánh dấu các dự án nơi một số ví hàng đầu thống trị số lượng sở hữu tiền điện tử.
Khalsa nói rằng trong khi không thể loại bỏ hoàn toàn tất cả các rủi ro, vẫn có thể giảm đáng kể chúng thông qua giáo dục, đổi mới công nghệ và văn hóa trách nhiệm tập thể.
