退出騙局,我們俗稱的專案跑路。又被形象地稱為“拉地毯(Rug Pull)”,是 Web 3.0 領域的一種犯罪詐騙手段。
Rug Pull 的常見做法是在建立一個看似合法的 DeFi 專案之後,製造虛假的交易量和使用者數量來提高專案的聲譽,吸引更多的投資者進入專案。在達到一定規模之後,該欺詐者或團隊會突然撤回專案中的大量資金並關閉專案,最終導致投資者持有的代幣失去價值。
雖然有大量的統計資訊呈現了多年來退出騙局的普遍性和造成的影響,但研究其特點和犯罪分子的資料和報告較少。而這樣的研究可以改善反洗錢(AML)工作、促進消費者保護和整個 Web 3.0 市場的完整性。
研究退出騙局開始到結束整個週期,我們可以更好地剖析騙局的結構,並瞭解導致這些騙局存在的潛在風險因素和共同點。透過識別這些訊號和指標,我們可以採用更明智的安全方法和策略來更有效地保護 Web 3.0 世界。
CertiK 對 40 個 Rug Pull 專案進行了研究,以便更好地瞭解導致其最終移除流動性的共同點和差異。透過確定專案特徵並且進行定性和定量分析,我們得到了以下結果。
在本研究中,我們將 Rug Pull 定義為:積極利用營銷和炒作欺騙投資者後被(一個或多個)團隊成員抽走其資金的具備犯罪計劃和目的的專案。
在這項研究中,我們只進行了 Hard Rug Pull 的研究,即一個專案的團隊在從其社羣獲得大量投資後,突然從專案中撤出資金。Soft Rug Pull 則是創始人實現欺詐目標的一種更微妙的方式。創始人不會一下子把他們所持有的代幣拋售一空,而是慢慢地出售,同時保持他們仍然在投資和支援專案的假象。
本文從 2020 年至 2023 年期間發生的所有 Rug Pull 中隨機選擇了 40 個 Hard Rug Pull 樣本進行研究。所收集的樣本在被盜總金額方面方差較大,從大約 3000 美元到 1200 萬美元不等。
Hard Rug Pull 必然是伴隨著專案團隊內部問題而發生。不難了解,若團隊負責任且並沒有出現跑路徵兆,那該事件就會被認為是一個駭客攻擊事件。
在我們對 Rug Pull 的研究中,將跑路專案分為了四類:專案團隊跑路、惡意開發者惡意破壞、專案所有者作案及未知的人員或團隊作案。每個類別的定義和結論將在下面進一步詳細說明:
這項研究強調了在評估新專案及其相關風險時背景調查的重要性。由於大多數 Rug Pull 是由專案團隊造成的,因此在投資一個專案之前,考慮團隊的動機和其背景記錄是至關重要的。
在最終的跑路騙局發生之前,Rug Pull 的活動平均時間是 93 天。如果在新部署的專案中,開發者刻意匿名或完全不為人知,也沒有對透明度或去中心化做出承諾,那我們就需要謹慎對待了。
為了打擊這類騙局、降低風險,幫助使用者做出明智的決定,CertiK 開發了KYC 徽章計劃。該計劃的重點是核實和審查專案背後的團隊,只向那些同意接受徹底背景調查的團隊授予徽章。CertiK KYC 有助於將經過驗證的、透明的、負責任的團隊與其他專案區分開來。
<h2 “=””>案例專案①:團隊騙局
CertiK 調查員採訪了一個匿名專案的專案負責人(我們後文將該專案簡稱為專案①)。在與專案負責人的面談中,我們發現了幾個值得注意的點,其中包括申請人支支吾吾並且難以回憶起專案團隊的其他成員名字。他們還聲稱對專案及其結構不甚瞭解。
此外,專案負責人和團隊成員之前並沒有 Web 3.0 方面的經驗,也無法對專案的用途做出任何解釋。他們聲稱專案的目標是捐贈給特定的慈善事業,但他們沒有制定任何計劃來支援慈善計劃,也無法說出具體的慈善機構。慈善宣告似乎僅僅是吸引投資者的一種營銷策略甚至可以說是誘餌。
在這次初步談話的三個月後該專案跑路。我們的鏈上分析表明,該專案團隊對 Rug Pull 事件負有全部責任。
與專案①整體團隊都是騙局參與者不同,專案②的騙局責任人是一個匿名開發者,他獨自竊取了所有的專案資金。CertiK 與專案②的負責人談話就發生在 Rug Pull 的前幾天。
專案②中除了開發者,其他所有成員都與專案有著公開聯絡。隨著向專案負責人深入瞭解,其團隊所有成員的名字和身份均被披露,但是就連專案負責人自己也對開發者一無所知。
該開發者完全匿名並使用了一個假名,且從未參加過任何團隊之間的語音或視訊通話溝通,也從未透露任何個人資訊。因為該開發者聲稱自己有豐富的Web3.0 經驗並且說出了之前所做的專案,因此負責人輕信了匿名開發者的說辭:大多數開發人員在專案團隊中都是匿名的,這並不是一個風險和問題。
CertiK 調查員注意到,專案②在匿名開發者之外其實沒有什麼其他風險因素。然而,匿名開發者的風險也至關重要:因為匿名開發者擁有智慧合約諸多許可權,這就大大增加了 Rug Pull 的風險。在這次與創始人進行談話的幾天後,這位匿名開發者 Rug Pull 了該專案。
<h2 “=””>紅燈訊號一:網站註冊
在本文分析的 40 個專案中,有 37.5% (15 個)專案,使用了 Namecheap 作為他們的域名註冊商。Namecheap 是一個無需任何個人資訊即可註冊域名的域名隱私供應商。這些服務可能使用隱私服務資訊和隨機生成的電子郵件取代與域名相關的真實聯絡資訊。其不要求個人或識別資訊來註冊網站的做法可能對未來的 Rug Pull 詐騙者極具吸引力。
值得注意的是, 40 個專案中有 4 個沒有明確的網站域名或沒有相關網站域名的資料。透過 Namecheap 註冊的專案和不知名的專案加起來佔了整個樣本的 45% 。
此外,由惡意開發者實施的 4 起 Rug Pull 事件均未使用 Namecheap,這進一步表明了那些開始時沒有惡意的專案不太可能故意使用隱私域名來試圖隱瞞私人資訊。
在研究 Rug Pull 時,要考慮的另一個重要變數是專案壽命。在本研究的背景下,專案壽命被定義為從專案開始日期到 Rug Pull(即跑路時間)日期的天數。專案的開始日期是透過社交媒體建立日期、鏈上錢包建立日期和網站日期來計算的(一般取可用日期平均數)。
在我們針對這 40 個專案的研究中,確定了其中 36 個專案的啟動日期。收集到了開始日期和 Rug Pull 時間,從而計算出了專案的平均壽命和中位數:這些專案的平均壽命為 92 天,中位數為 57 天。
雖然大多數 Rug Pull 專案的典型壽命只有三個月甚至更短,但必須注意的是資料中也不乏有異常值。例如,在樣本中有四個專案的壽命約為 300 天或以上。資料雖表明了 Rug Pull 的趨勢和特點,但這個資料並不能以偏概全。
CertiK 對整體樣本進行了內容分析,以確定這些吸引潛在投資者的常見欺詐性營銷策略。由於 Rug Pull 專案的平均壽命僅為 93 天,惡意專案在專案成立後將更加專注於「刷存在感」,以便在跑路前獲得更多的資金。CertiK 發現,專案往往會在其專案介紹中使用多種策略。
對於可以登入網站和收集專案資訊資料的 31 個專案,CertiK 發現他們其中大多數並沒有持續提供 Roadmap 或白皮書。即便在有 Roadmap 或白皮書的情況下,質量可能也都很差(許多語法錯誤,資訊缺失),而且這些材料中經常使用欺詐性的資訊。那些有 Roadmap 和白皮書相對成熟的專案,則會把重點放在宣傳虛假合法性的營銷材料上。
在這 31 個專案中,只有 7 個專案有 Roadmap, 4 個專案釋出了白皮書。對於那些沒有路線圖和白皮書的專案,大多采用一個說法:路線圖或白皮書即將釋出。
本研究的另一個重要變數是專案中的團隊介紹,以及該團隊是否是匿名、半匿名或公開身份。在樣本中,我們收集到了 31 個專案的團隊介紹,但是沒有一個團隊是完全公開身份的。
大多數專案是完全匿名的,佔 31 個專案中的 24 個(77.4% )。剩下的 7 個專案被認定為半匿名(佔樣本的 22.6% )——除了列出專案組成員名之外沒有其他可識別資訊。其他團隊使用的照片和名字在我們的調查專員確認後被認定為虛假材料。
此外,我們發現某些 Rug Pull 事件使用了人工智慧生成的“團隊成員”頭像,其姓名和資訊等資料也均為虛假。
CertiK 確定並分析了 Rug Pull 專案特徵和趨勢相關的 7 個重要變數,這些變數具備很大共性,說明 Rug Pull 的操作手法大致是相同的。
不過雖然具備很多共性,Rug Pull 專案也在環境變化中不斷地更新自己的技術和策略去適應市場「與時俱進」。
在此為大家總結上述研究結果:大多數 Rug Pull 專案的壽命很短,大部分是由專案團隊整體進行 Rug Pull,在成立過程中多數使用不保留註冊人個人資訊的域名註冊商。當然,在調研中也發現了一些例外專案,因此以上特徵可以作為參考,但並不能作為評估的絕對標準。
專案詐騙人員會盡可能採用更多策略來吸引潛在投資者,因此投資前必須自己進行盡職調查並參考由具備 Web 3.0 安全專業知識的專家提供的權威資訊。
使用第三方安全審計師進行背景調查可以提高安全措施的效率和效果。CertiK 的 KYC 團隊由調查專家組成。除了徹底的背景調查和風險評估,CertiK 還擁有一個獨特的 Web 3.0 欺詐者資料庫,並可透過風險指標定性定量工具以幫助檢測欺詐行為。
Rug Pull 是 Web 3.0 生態系統的持續威脅。雖然我們從 40 個樣本中識別了一些高風險因素,我們的 KYC 也會幫助優質專案脫穎而出,但是這些威脅不可能完全消失。
透過提高安全和透明度標準,CertiK 希望可以給那些真正有理想的專案提供可信證明,同時也希望能夠幫助使用者做出明智且正確的決定,避免更多人成為 Rug Pull 的受害者。
