Pull the rug la gì

Rug Pull là một hành động độc hại, trong đó các nhà phát triển tiền điện tử từ bỏ một dự án và chạy trốn khỏi quỹ dự án hoặc bán bớt số tiền đã được khai thác trước của họ. Các hành động Rug Pull là phổ biến nhất trong hệ sinh thái DeFi, vì DEX cho phép các nhà phát triển độc hại liệt kê các mã thông báo của họ mà không cần bất kỳ xác minh hoặc kiểm tra trước nào.

Xem thêm: Blockchain City là gì? Smart Cities hoạt động như thế nào?

Rug Pull là hệ sinh thái DeFi cùng với DApp được thúc đẩy hoàn toàn bởi người dùng trong đó bất kỳ nhà phát triển nào cũng có thể tạo dự án của riêng họ, trong khi người dùng có thể chọn mua nếu họ tin rằng dự án có giá trị. Mặc dù điều này hấp dẫn, nhưng sự tự do này cũng đi kèm với một nhược điểm lớn là các nhà phát triển độc hại có thể dễ dàng tạo và liệt kê các mã thông báo gian lận. Đặc biệt, các tác nhân độc hại lợi dụng tiêu chuẩn ERC-20 , tiêu chuẩn này đã hạ thấp đáng kể các rào cản kỹ thuật và tài chính để tạo ra các mã thông báo mới. Một yếu tố quan trọng khác của việc Rug Pull là các sàn giao dịch phi tập trung (DEX) như Uniswap ( UNI ) và SushiSwap ( SUSHI ), không giống như các sàn giao dịch tập trung  (CEX), cho phép niêm yết mã thông báo mà không cần kiểm tra.

Rug Pull là gì?

Một báo cáo từ công ty phân tích blockchain CipherTrace cho thấy  rằng 99% tất cả các vụ gian lận lớn xảy ra trong nửa cuối năm 2020 đều bắt nguồn từ việc Rug Pull DeFi và các trò gian lận thoát khác . Số tiền khổng lồ đổ vào DeFi (tăng từ 1,7 tỷ đô la vào đầu năm 2020 lên 130 tỷ đô la vào tháng 5 năm 2021), đã thu hút không ít các tác nhân độc hại. Các nhà phân tích bảo mật đã ghi nhận sự tương đồng trong các chiến thuật được sử dụng với cơn mê cung cấp tiền xu ban đầu ( ICO ) vào năm 2017.

Làm thế nào để Rug Pull hoạt động?

Rug pull hoạt động tương tự như các kế hoạch bơm và đổ  vì cả hai đều tận dụng lợi thế của việc thiếu quy định trong không gian tiền điện tử, thông tin sai lệch, shilling và nỗi sợ bỏ lỡ ( FOMO ). Sự khác biệt là bơm và đổ thường hoạt động trong một phạm vi thời gian ngắn hơn, xoay quanh hành động giá của các mã thông báo có khối lượng thấp và không yêu cầu sự tham gia của các nhà phát triển mã thông báo.

Mặt khác, việc Rug Pull liên quan đến việc người trong cuộc chiếm đoạt phần lớn tiền của người dùng bằng cách ghép nối mã thông báo của họ với một mã thông báo (có giá trị) khác như Bitcoin ( BTC ) hoặc Ethereum ( ETH ). Sau khi các nhà đầu tư hoán đổi mã thông báo của họ lấy mã lừa đảo, các nhà phát triển rút cạn nguồn thanh khoản  của các mã thông báo có giá trị, do đó “rút tấm thảm ra” khỏi các nhà đầu tư dưới quyền.

Nguồn: https://danchoitienao.com/rug-pull-la-gi/

Một chiến thuật phổ biến khác là các mỏ khai thác trước của nhà phát triển lớn, trong nhiều trường hợp hoặc bị ẩn khỏi các nhà đầu tư hoặc được giải thích là kho dự án, quỹ nhà phát triển hoặc cuối cùng là cháy . Trò lừa đảo chỉ bị lộ  khi những khoản tiền này nhanh chóng được bán hết khi giá của mã thông báo tăng đủ cao.

Việc Rug Pull thường được thực hiện thông qua các cửa hậu được cố ý ghi vào các hợp đồng thông minh của dự án,  cho phép các nhà phát triển rút tiền và thao túng các mã thông báo đã được đặt cọc hoặc bị khóa. Trong mọi trường hợp, lực Rug Pull nhanh chóng đẩy giá về 0, khiến bất kỳ nhà đầu tư nào không thoát ra sớm với một loạt các mã thông báo vô giá trị.

Trò lừa đảo Rug Pull

Đầu tiên, một nhà phát triển độc hại tạo ra một mã thông báo (chúng ta hãy gọi nó là SCAM) mà không có trường hợp sử dụng thực sự, thường chỉ bằng cách sao chép và dán mã của mã thông báo hoặc mẫu khác và thay đổi một vài dòng. Sau đó, nhà phát triển thêm tính thanh khoản của SCAM vào một DEX như Uniswap hoặc Sushiswapvà bắt đầu thanh toán mã thông báo thông qua các nhóm điện tín và phương tiện truyền thông xã hội, thường bằng cách trả tiền cho những người có ảnh hưởng. Sau đó, khi giá của mã thông báo tăng lên, hứa hẹn về lợi suất đáng kinh ngạc và FOMO khiến ngày càng nhiều người dùng thêm mã thông báo có giá trị thực (điển hình là ETH) vào nhóm thanh khoản, do đó khiến người dùng chỉ mua SCAM trực tiếp, khiến giá tăng lên cao hơn nữa. Sau khi hài lòng với thu nhập của họ, nhà phát triển SCAM rút toàn bộ thanh khoản khỏi nền tảng và thoát ra với một lượng lớn các mã thông báo có giá trị và bất kỳ nhà đầu tư nào không giao hàng sớm sẽ bị giữ lại các mã thông báo vô giá trị mà không có nơi nào để rút tiền. Nhà phát triển có thể dễ dàng lặp lại quá trình này bất kỳ số lần nào dưới một mã thông báo và bút danh khác.

Ví dụ về Rug Pull là gì?

Compounder Finance (CP3R)  là một bản sao tự mô tả của Harvest and Yearn Finance ( YFI ), trông giống như nhiều dự án DeFi canh tác năng suất khác đã gây bão cho ngành vào năm 2020. Vào ngày 1 tháng 12, chỉ 22 ngày sau khi hợp đồng thông minh đã được đưa ra, tấm thảm dự án đã thu hút các nhà đầu tư của mình bằng cách rút hơn 10,8 triệu đô la từ các hợp đồng thông minh của nó. Tổng cộng, 750.000 đô la trong Bitcoin được bọc ( WBTC ), 4,8 triệu đô la ETH, 5 triệu đô la trong DAI và một lượng nhỏ hơn các mã thông báo khác đã bị đánh cắp. Giá của CP3R đã giảm 98,8% trong vòng 24 giờ và đi ngang hoàn toàn ngay sau đó.

Giá của Compounder Finance trước và sau khi Rug Pull

Để thêm phần xúc phạm cho thương tích, CP3R thực sự đã được kiểm toán  bởi công ty kiểm toán hợp đồng thông minh Solidity Finance, công ty đã gắn cờ cấu hình hợp đồng thông minh khóa thời gian đáng ngờ, cùng với mức độ kiểm soát cao của nhóm phát triển. Sau khi hoàn thành kiểm toán, các nhà phát triển đã lẻn vào một cửa hậu ẩn cho phép họ rút tất cả tiền từ dự án thông qua thời gian 24 giờ, mặc dù công khai, rõ ràng là không được giám sát.

Một vấn đề chính là bất kỳ cuộc kiểm toán nào được yêu cầu bởi một dự án có khả năng sẽ tập trung vào các mối đe dọa bên ngoài, thay vì bản thân các nhà phát triển rủi ro có thể gây ra cho các nhà đầu tư. Trong trường hợp CP3R, các nhà đầu tư đã chọn bỏ qua một lỗ hổng bảo mật lớn mặc dù cấu hình thời gian đã được kiểm toán gắn cờ.

Làm thế nào bạn có thể nhận ra và tránh một cú Rug Pull?

Như với tất cả các trò gian lận, cách dễ nhất để tránh bị Rug Pull là thực hiện trách nhiệm giải trình thích hợp. Luôn xem xét trường hợp sử dụng của mã thông báo, không bao giờ đầu tư vào thứ gì đó bạn không hiểu và không bao giờ lao vào một dự án đơn giản chỉ vì nó hứa hẹn lợi nhuận cao hoặc đã tăng mạnh. Hãy luôn nhớ câu ngạn ngữ cổ rằng “nếu điều gì đó nghe có vẻ quá hay để trở thành sự thật, thì nó có thể là như vậy.”

Tính thanh khoản

Các sàn giao dịch phi tập trung xác định theo thuật toán giá của các mã thông báo trong một nhóm thanh khoản phù hợp với số dư có sẵn. Cách dễ nhất để bảo vệ bạn khỏi sự Rug Pull là kiểm tra lượng thanh khoản trong nhóm. Các mã thông báo hợp pháp có xu hướng có tổng thanh khoản hàng chục triệu (nếu không phải hàng tỷ đô la), cùng với một lượng đáng kể mã thông báo bị khóa trong một khoảng thời gian nhất định.

Giá cả tăng chóng mặt

Cũng giống như bơm và bãi, các nhà đầu tư tiềm năng nên rất nghi ngờ về bất kỳ dự án nào có giá tăng chóng mặt chỉ trong vòng vài giờ. Nếu bạn thấy một mã thông báo tăng giá trị, hãy thử xem liệu bạn có thể tìm ra lý do tại sao không. Nếu chưa có quan hệ đối tác mới, danh sách sàn giao dịch mới hoặc bất kỳ thông báo ý nghĩa nào khác, thì đó có thể chỉ là một nỗ lực thúc đẩy bạn và các nhà đầu tư khác tham gia đầu tư từ FOMO.

Chiến thuật đặt tên

Mã thông báo lừa đảo thường mang tên tương tự như các dự án đã được thành lập và có uy tín hơn. Robert Leshner, người sáng lập công ty sản xuất thị trường tự động DeFi ( AMM ) Compound Finance ( COMP ), lưu ý rằng việc Rug Pull CP3R đã cố tình sử dụng một cái tên rất giống với dự án của anh ta để thu hút những nạn nhân không hiểu biết. Các ví dụ khác bao gồm Rug Pull Yfdexf Finance và TRUAMPL.

Chiến thuật tiếp thị

Cũng giống như nhiều trò gian lận khác , thảm kéo không được thiết kế với bất kỳ trường hợp sử dụng thực tế nào. Do đó, họ chủ yếu dựa vào hoạt động tiếp thị để thu hút một loạt nhà đầu tư ban đầu để bắt đầu đẩy giá lên. Điều này thường liên quan đến việc sử dụng nhiều phương tiện truyền thông xã hội, cùng với cái gọi là “người có ảnh hưởng” tiền điện tử trên các nền tảng như Instagram và TikTok. Một ví dụ về loại chiến lược Rug Pull này là mã thông báo Save The Kids (KIDS), đã thu hút một số lượng lớn các nhà đầu tư bằng các quảng cáo trên mạng xã hội trước khi Rug Pull.

Nghiên cứu cơ sở

Phần lớn các cuộc Rug Pull được điều hành bởi các đội ẩn danh hoặc có biệt danh. Nếu trang web của dự án không có bất kỳ thông tin có ý nghĩa nào (chẳng hạn như tên thật, trải nghiệm tiền điện tử trước đó, hồ sơ LinkedIn, v.v.) trong nhóm, bạn nên thận trọng. Xem xét liệu dự án có bất kỳ quan hệ đối tác nào với các tổ chức có uy tín hay không hoặc báo cáo chính thức của nó có ý nghĩa gì không (nếu nó thậm chí có).

Kết luận

Giống như cơn sốt ICO vào năm 2017 và gần đây hơn với sự bùng nổ của DeFi, những kẻ lừa đảo sẽ theo dõi bất cứ nơi nào tiền đi. Một số khía cạnh nhất định của hệ sinh thái DeFi, chẳng hạn như sự tiện lợi của việc tạo và liệt kê các mã thông báo mới, đã làm cho các trò gian lận diễn ra dễ dàng hơn bao giờ hết. Vì DeFi đã mở ra một thế giới tài chính hoàn toàn mới cho hàng triệu người trên khắp thế giới, nên nó cũng đã mở ra một nhóm khổng lồ các nạn nhân tiềm năng cho những kẻ xấu.

Mặc dù chúng phổ biến đến mức nào, số tiền bị mất trong các cuộc Rug Pull hầu như không bao giờ được lấy lại và trong hầu hết các trường hợp, những kẻ lừa đảo có thể biến mất mà không để lại dấu vết. Nếu không có sự bảo vệ hoặc giám sát của bất kỳ cơ quan trung ương nào, các nhà đầu tư chủ yếu phải tự chống đỡ nếu xảy ra bất cứ điều gì sai trái. Do đó, điều quan trọng là phải thực hiện thẩm định thích hợp trước khi đầu tư vào một dự án DeFi, đặc biệt là khi nó có vẻ quá tốt để trở thành sự thật.