Ở vùng hoang dã của tiền điện tử, cơ hội giàu có bất ngờ. Các dự án mới ra mắt hàng ngày, dường như cung cấp vô số cơ hội giàu có, nhưng nguy hiểm luôn ẩn chứa trong bóng tối.

Theo dữ liệu từ nền tảng nhận dạng rủi ro on-chain ChainAegis của SharkTeam, chỉ trong nửa đầu năm 2024, đã có 551 sự cố an ninh trong lĩnh vực Web3, với tổng thiệt hại vượt quá 1.492 tỷ đô la. So với cùng kỳ năm trước, số sự cố an ninh tăng 25.51%, và tổn thất tăng mạnh 116.23%.

（Nguồn: ChainAegis)

Trong số đó, Rug Pull chiếm 243 vụ trong nửa đầu năm, tăng đột ngột 331,15% so với nửa đầu năm 2023, với tổng thiệt hại lên đến 122 triệu đô la, tăng 258,82% so với cùng kỳ năm trước.

Rug Pull là gì?

“Rug Pull,” có nghĩa đen là “kéo thảm,” được biết rộng rãi trong ngành công nghiệp tiền điện tử như một “lừa đảo rời khỏi,” nơi nhóm dự án đột ngột bỏ dự án. Đây là một trong những hình thức lừa đảo phổ biến nhất trong thế giới Web3, thường xảy ra trong ngành DeFi.

Chiến thuật Rug Pull điển hình bao gồm việc phát hành một dự án token và tăng cường giả mạo khối lượng giao dịch và số người dùng để tăng cường khả năng nhìn thấy và thu hút thêm nhà đầu tư. Một khi giá của token tăng lên một mức nhất định, nhóm phát triển đột ngột rút một lượng lớn vốn từ dự án hoặc bán nhiều token, gây ra sự sụt giảm giá mạnh và đóng dự án lại. Giá trị của token của nhà đầu tư giảm, dẫn đến thiệt hại tài chính đáng kể.

Có những loại Rug Pull phổ biến nào?

DeFi đã trở thành nơi ẩn náu cho các vụ Rug Pull, thường liên quan đến thanh khoản. Ba loại Rug Pull phổ biến trong lĩnh vực này bao gồm ăn cắp thanh khoản, hạn chế lệnh bán và xả token.

Liquidity Theft

Các hồ chứa thanh khoản là cột sống của hệ sinh thái DeFi, đóng vai trò là nền tảng cho các hệ thống làm thị trường tự động (AMM). Chúng phụ thuộc vào các quỹ được cung cấp bởi các nhà cung cấp thanh khoản (LP) để tạo điều kiện cho giao dịch. LP gửi các loại tiền điện tử của họ vào các hồ chứa này để cung cấp sâu lớp thị trường và nhận lại một phần tỷ lệ tương ứng của các phí giao dịch được tạo ra.

Đánh cắp thanh khoản là loại rug pull phổ biến nhất. Ngoài các cuộc tấn công độc hại từ bên ngoài, đó thường là sự liên quan của nhóm dự án với ý đồ độc hại. Nhà phát triển dự án có thể cố ý giới thiệu cửa sau hoặc lỗ hổng vào hợp đồng thông minh. Khi hồ bơi thanh khoản đã tích luỹ đủ tiền, nó có thể hút hết hồ bơi toàn bộ, gây sụp đổ và khiến nhà đầu tư không thể rút tiền hoặc giao dịch.

Hạn chế đặt lệnh bán

Trong một trường hợp Rug Pull, hạn chế lệnh bán là một cơ chế gian lận thị trường. Điều này cho phép các bên nội bộ dự án bán token của họ trước, tối đa hóa lợi nhuận trong khi trì hoãn hoặc ngăn cản nhà đầu tư thông thường khỏi việc thoái vốn.

Những hạn chế này thường được giấu kín, khi nhà phát triển tích hợp các điều khoản vào hợp đồng thông minh. Điều này có thể bao gồm việc giới hạn giờ giao dịch hoặc triển khai danh sách trắng chỉ cho phép địa chỉ dự án bán token trong khoảng thời gian cụ thể. Các lệnh bán từ người dùng thông thường có thể bị từ chối hoặc gặp trễ. Ngoài ra, các hạn chế về kích thước giao dịch có thể ngăn cản nhà đầu tư khỏi việc bán hết token của họ cùng lúc trong những thời điểm suy thoái thị trường, buộc họ phải bán theo số lượng nhỏ hơn khi giá token giảm mạnh.

Token Dumps

Việc đổ token là một giai đoạn phổ biến và quan trọng trong một trường hợp Rug Pull. Thông thường nó xảy ra sau khi nhóm dự án đã thu hút nhiều nhà đầu tư để mua token và cung cấp thanh khoản thông qua các phương tiện khác nhau.

Quy trình thường liên quan đến việc nhóm dự án hoặc các công ty liên kết của họ giữ một lượng lớn token trước. Các token này có thể đã được mua qua pre-mining, bán hàng riêng, hoặc mua với giá thấp trong giai đoạn token offering ban đầu. Sau chiến dịch marketing mạnh mẽ, tạo ra khối lượng giao dịch nhân tạo, và các chiến thuật khác để lôi kéo các nhà đầu tư, nhóm dự án sẽ bắt đầu bán ra một lượng lớn token của họ khi giá token tăng và pool thanh khoản đủ được tài trợ. Sự đổ buôn bất ngờ này gây ra giá token giảm đột ngột.

Khi thanh khoản cạn kiệt, nhà đầu tư khác không thể bán token của mình với giá hợp lý hoặc thậm chí có thể bị khóa hoàn toàn khỏi thị trường. Khi việc bán token hoàn tất, nhóm dự án thường đóng tất cả các kênh dự án (ví dụ, mạng xã hội, trang web). Họ chuyển toàn bộ số tiền đã huy động vào các ví được kiểm soát bởi họ, biến mất không để lại dấu vết.

Một ví dụ điển hình về việc rút tiền là dự án meme trên Avalanche, Snowdog. Trong đỉnh điểm của sự phổ biến của Avalanche, Snowdog đã tận dụng cơn sốt Dogecoin và thu hút sự chú ý đáng kể với mục tiêu tuyên bố của mình là tạo ra một đồng tiền dự trữ được hỗ trợ bởi thanh khoản sở hữu bởi giao thức. Tuy nhiên, ngay sau khi ra mắt, các bên nội gián của Snowdog được cho là đã khai thác một Khóa thử thách ẩn để bán ra đồng SDOG thông qua Snowswap một cách khổng lồ, thu được hơn 17 triệu đô la lợi nhuận và làm cho giá SDOG sụt giảm 90% trong vòng nửa giờ.

Đây là một tình huống Rug Pull cổ điển. Hợp đồng thông minh Snowdog không được kiểm định kỹ lưỡng, và sau một thời gian tiếp thị mạnh mẽ, nhóm dự án lợi dụng một lỗ hổng trong hợp đồng để thực hiện một cuộc bán hàng khổng lồ, kích hoạt một đợt sụt giảm giá và cuối cùng là biến mất.

Ngoài các loại phổ biến được đề cập ở trên, kéo thảm có thể biểu hiện theo những cách khác. Ví dụ: các tác nhân độc hại có thể bắt chước hoặc sao chép các dự án nổi tiếng bằng cách tạo ra một mã thông báo hoặc nền tảng gần như giống hệt nhau để đánh lừa các nhà đầu tư tin rằng đó là dự án gốc hoặc ngã ba. Khi các nhà đầu tư đã đầu tư tiền của họ, thủ phạm sau đó có thể bán phá giá mã thông báo của họ, khiến giá sụp đổ. Một chiến thuật phổ biến khác là airdrop mã thông báo miễn phí cho một số lượng lớn người dùng để thu hút họ vào thị trường. Khi giá mã thông báo tăng, nhóm dự án có thể bán cổ phần lớn của họ, gây ra sự sụp đổ về giá.

Cách nhận biết và tránh Rug Pull

Trong thế giới tiền điện tử, nơi mà cơ hội và rủi ro tồn tại song song, làm thế nào nhà đầu tư thông thường có thể xác định và tránh được các vụ lừa đảo Rug Pull để giảm thiểu thiệt hại tài sản?

Đầu tiên và quan trọng nhất, người dùng phải thực hiện kiểm tra kỹ lưỡng trước khi quyết định đầu tư vào bất kỳ dự án nào.

Hiểu sâu về tất cả các khía cạnh của dự án, bao gồm lý lịch của nhóm, bản báo cáo trắng của dự án, xem xét xem hợp đồng thông minh có mã nguồn mở không, và xem xét xem các bên thứ ba uy tín đã kiểm định mã nguồn hay chưa. Ngoài ra, đánh giá sự tương tác và minh bạch của cộng đồng. Hãy cẩn thận với các dự án có nhóm không rõ danh tính, bản báo cáo trắng mơ hồ hoặc quá tham vọng, và cộng đồng thiếu minh bạch hoặc không cập nhật thông tin đúng lúc.

Thứ hai, người dùng nên học cách tận dụng các trình duyệt blockchain và các công cụ trên chuỗi để nghiên cứu sâu hơn. Sử dụng InvestiGate.io để tập trung sở hữu token; nếu một số địa chỉ chiếm ưu thế trong việc nắm giữ token, những người nắm giữ này có thể dễ dàng thao túng thị trường và thu lợi từ việc Rug Pull. Kiểm tra xem tính thanh khoản của token có bị khóa và trong bao lâu. Nếu tính thanh khoản không bị khóa hoặc bị khóa trong thời gian ngắn, nhóm dự án có thể rút tiền bất kỳ lúc nào, tăng đáng kể rủi ro của việc Rug Pull.

Nguồn: etherscan.io

Ngoài ra, đừng bao giờ đặt tất cả trứng vào một rổ khi đầu tư vào các dự án. Ngay cả khi một dự án có vẻ rất hấp dẫn, đừng đầu tư tất cả vốn của bạn. Hãy học cách đa dạng hóa đầu tư của bạn.

Ngay cả sau khi đầu tư, hãy liên tục theo dõi tiến độ dự án. Nếu dự án đột ngột trải qua cập nhật đáng kể - như thay đổi hợp đồng không được ủy quyền hoặc di chuyển thanh khoản - hãy duy trì cảnh giác, vì đây có thể là dấu hiệu sớm của một Rug Pull.

Cuối cùng, lừa đảo tiền điện tử luôn luôn tiến triển và đa dạng. Ngoài những đề xuất trên, người dùng nên liên tục tự giáo dục và tăng cường nhận thức về rủi ro của mình. Không bao giờ nhấp vào các liên kết không rõ nguồn gốc, tải ứng dụng từ các nguồn không chính thức, hoặc xác minh lại bất kỳ thông tin giao dịch hoặc chữ ký nào đòi hỏi xác nhận.

Hơn nữa, người dùng có thể bảo vệ tài sản và tài khoản của họ tốt hơn bằng cách sử dụng các công cụ phù hợp. Ví dụ, khi tương tác với một Dapp và không chắc chắn về các lỗ hổng tiềm ẩn trong hợp đồng thông minh của nó, người dùng có thể sử dụng các công cụ như GoPlus Security và Token Sniffer để kiểm tra mã hợp đồng. Người dùng cũng có thể cài đặt các plugin như Scam Sniffer, thông báo cho người dùng về các rủi ro khi các hợp đồng lừa đảo cố gắng ủy quyền tương tác thông qua airdrops. Tương tự, các ví như Rabby Wallet cung cấp các tính năng quét rủi ro, cung cấp cảnh báo về các lỗ hổng tiềm ẩn hoặc hành động có thể dẫn đến mất mát tài chính trước khi tương tác với hợp đồng, và chúng cũng phân tích chi tiết giao dịch trên trang ký.

Kết luận

Rug pulls đặt ra một mối đe dọa liên tục đối với ngành công nghiệp tiền điện tử. Người dùng có thể nhận biết và tránh những trò lừa đảo này tốt hơn bằng cách hiểu rõ các loại và đặc điểm khác nhau của rug pulls. Việc thực hiện sàng lọc cẩn thận, đa dạng hóa đầu tư và thực hiện các biện pháp phòng ngừa khác có thể bảo vệ tài sản của người dùng và giảm thiểu rủi ro.

Quan trọng hơn, việc phát triển một ngành công nghiệp tiền điện tử an toàn và tuân thủ đòi hỏi sự cống hiến của nhiều bên. Là nhà đầu tư thông thường, chúng ta cần duy trì sự cảnh giác và liên tục tự học về thị trường để nâng cao khả năng nhận biết rủi ro. Đồng thời, các nền tảng giao dịch, các công ty kiểm định bảo mật và các cơ quan quản lý cần đảm nhận trách nhiệm của mình và cùng nhau làm việc để thúc đẩy sự phát triển bền vững của ngành công nghiệp, tạo ra giá trị lớn hơn cho tất cả các bên tham gia hệ sinh thái.