freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SAFEIS安全报告:深度剖析加密行业的Rug Pull骗局及防骗指南
2022-07-30 14:03:29

“Rug Pull”是一种常见的加密骗局,往往发生于DeFi领域,通常是指加密行业项目方突然放弃某一个项目或撤出流动性池子,卷走用户投资资金的诈骗行为,通俗的讲就是卷款跑路。

诈骗者在“Rug Pull”之前,会先创建一个加密项目,通过各种营销手段吸引加密用户投资,并在合适的时机毫无征兆地卷走用户投资的资金,抛售加密资产,最终销声匿迹,投资该项目的用户也将蒙受巨大损失。

下文将深度剖析史上著名“Rug Pull”事件、“Rug Pull”的常见类型以及如何防范此类骗局。

一、史上著名“Rug Pull”事件

史上严重的“Rug Pull”事件当属发生在2021年的Thodex骗局,Thodex是一家位于土耳其的大型中心化交易所,在当地有较大的影响力和市场份额,在突然性地宣布交易所暂停提币后不久,该交易所高层就卷款跑路,此次“Rug Pull”事件中,该交易所用户共计损失超过20亿美元。

发生于2021年的AnubisDAO骗局恐是DeFi领域最严重的“Rug Pull”事件,该项目方通过各种手段持续造势,随着该项目迅速走热,大量用户涌入其中投资该项目,短短一天左右的时间就有5800万美元的资金流入该项目的流动性池子中,这之后不到一天的时间,该项目方抛售了池子中的所有加密货币,并通过一系列钱包来进行资金的转移,代币的价格也极速归零。

而对于国内用户最为熟知的“Rug Pull”事件当属SQUID骗局,该事件也发生于2021年,SQUID的名称来源于Netflix(网飞)热播现象级爆火剧《鱿鱼游戏(Squid Game)》,并声称与Netflix建立了合作关系,SQUID代币曾在一周左右的时间暴涨逾600倍,代币价格在达到历史高点后断崖式下跌,短短5分钟内就从90美元跌至接近归零状态。

鱿鱼币走势

二、“Rug Pull”都有哪些类型?

1、窃取流动性

这种类型的“Rug Pull”通常发生在DeFi领域,项目方会把流动性池子里的所有加密货币抛售或转移,这种项目往往没有进行严格的代码审计,代码中隐藏了恶意设置的漏洞,通过这样的方式项目方便可以轻松窃取流动性池子里的所有加密货币。

一旦发生此类“Rug Pull”,项目方发行的代币价格也会极速下跌,直至归零。

2、直接卷款跑路

这种类型的“Rug Pull”通常发生在中心化交易所等领域,这类项目通常是中心化的,也没有流动性功能,甚至没有发行代币,但掌握着巨额用户资产,因为中心化的种种缺陷,导致中心化的项目方能几乎不受限制地转移用户资产。

建立时间较短、注册信息虚假的中心化项目发生此类“Rug Pull”的风险极高。

3、控制卖盘

控制卖盘是指项目开发人员在编写代码时对卖盘进行限定,只有项目方的卖单能够出售,当用户购买其推出的加密代币并不断推高代币价格时,诈骗者会评估收益,一旦符合预期,就会抛售其发行的代币,用户只能无助地看着持有的代币最终变为一堆毫无价值的数字。

这种诈骗方式很巧妙但难以持久。

4、抛售代币

此类“Rug Pull”诈骗者的操作套路是,会先广泛推广该项目,目的就是通过提升项目热度来吸引用户购买代币,随着项目热度持续高涨以及代币价格的不断走高,诈骗者会迅速大量抛售其发行的代币,代币价格随之极速下跌,诈骗者会把其发行的代币转换为稳定币或主流价值币种,而用户往往没有时间反应来出售持有的代币,最终蒙受巨大损失。

此类“Rug Pull”项目没有流动性功能,这是和“窃取流动性”类型的“Rug Pull”最大的区别。

三、如何有效防范“Rug Pull”骗局

如果有以下六点高危迹象,投资者就需要格外警惕!

1、项目方信息未公开

加密项目背后的核心人员信息是投资者需要重点关注的,项目方信息未公开虽然更为符合去中心化的特点,但是里面必然会掺杂大量恶意项目,当前加密行业优质项目的核心人员信息都是公开的。

投资者应该对未公开关键信息的项目抱有质疑态度,要通过项目官网、社交媒体账户、社区热度质量以及白皮书等信息,来判断项目方信息未公开是践行去中心化,还是毫无名气,更或是带有恶意目的的故意隐匿。

总之,项目方信息未公开的项目极具风险性,对投资者而言应该是一个值得警惕的危险信号。

2、流动性池未锁定

识别大部分“Rug Pull”骗局最简单也十分有效的方式是检查流动性池是否被锁定,流动性池锁定的项目安全性较高,有权威第三方参与的锁定流动性池的项目安全性更高,而流动性池未锁定的项目极为危险,因为项目方可以轻而易举地窃取流动性池子里的所有加密货币。

投资者还应检查流动性池被锁定的比例,锁定的比例和项目安全性成正比,一般而言,锁定的比例应该在80%到100%之间,此外,锁定的时间也是很重要的指标,流动性池应当受基于时间函数的限制,这意味着没有人可以在时间限制范围内移动池子里的加密货币。

值得一提的是,流动性池锁定机制由UNISWAP创立。

3、代码未进行外部审计

正规且高质量的项目都会由信誉良好的第三方机构进行代码审计,外部审计对于去中心化的加密项目格外重要,如果一个项目始终没有进行代码外部审计,这个项目就有很多潜在性的风险。

投资者应该多方验证项目外部审计结果,并只认可权威第三方出具的代码审计报告,代码中没有发现任何恶意的项目才值得考虑投资与否。

4、卖盘控制与否

卖盘控制是通过恶意代码实现的,这种方式较为隐秘,投资者可以通过小额购买代币然后出售的方式来进行测试,如果无法出售,该项目就可判定为骗局。

5、新代币异常暴涨

一个不入流的新项目代币在没有重大利好情况下,突然异动暴涨,往往就是利用散户普遍的“追涨杀跌”心态吸引散户入局,而代币价格拉高之后就是大量抛售,也就是常说的“割韭菜”。

投资者可以通过区块浏览器来检查代币持有者的数量,数量过少的代币价格容易被操纵,骗局的可能性极大。

6、可疑的高收益

“Rug Pull”骗局很多时候就是庞氏骗局,这类骗局就是通过极具诱人的高收益来诱骗投资者,进而欺诈投资者投入的本金,也可以说,收益越高,风险就越大,投资者应该始终保持清醒的头脑,进而做出明智的判断。

“Rug Pull”骗局事件频繁发生,除了加密用户需要格外警惕以外,监管机构也可以通过上述几点防范方式以及项目高危迹象,提前监控,防患于未然,或在发生“Rug Pull”骗局事件的第一时间进行追溯查控,减少损失,塑造安全环境。

本文作者:, 转载请注明来自FreeBuf.COM

# web安全 # 区块链安全 # 骗局
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦