Rug pull 套路拆解：近2萬個項目跑路，詐騙者最終在DeFi套現

加密騙局日益增多，更糟糕的是，至今仍有許多騙局還沒有被發現。投資者在選擇加密項目的時候需要評估加密詐欺風險，以下就是常見的加密騙局幾個設計特徵，熟記並且隨時提醒自己冷靜觀察。本文源自Solidus Labs所著《Dismantling the Rug Pull Epidemic: The Mechanics of DeFi Scams》，由PANews編譯、整理。
（背景補充：1億鎂Rug Pull？加密投資平台Freeway暫停提款、刪團隊名單；平台幣暴跌80% ）
（背景補充：CNN終止NFT計畫！被社群砲轟Rug Pull ）

 

常聽見的 Rug pulls（直譯：拉地毯，意譯：跑路）是加密貨幣行業裡最常見的騙局之一，坦率地說，雖然不少已經被曝光，直到應該還有許多沒有被發現。根據SolidusLabs數據顯示，以太坊、BNBChain和一些頂級Layer1區塊鏈上至少部署了18.8萬個Rugpulls潛在騙局。

哪些區塊鏈上的RugPulls代幣項目最多？

數據顯示，BNB Chain 上有 12% 的 BEP-20 Token 顯示出欺詐特徵，而以太坊中有 8% 的 ERC-20 Token 顯示出欺詐跡象，同時大約有高達 9.1 億美元與欺詐相關的 ETH 是通過中心化或受監管的加密貨幣交易所處理的。另據區塊鏈分析部門 Chainalysis 的數據顯示，10 月份有 11 個 DeFi 協議遭到攻擊，7.18 億美元的加密資產受到影響，創下今年迄今為止加密損失最高月度記錄。

由於是區塊鏈生態系統中規模最大的加密交易平台之一，不斷添加新功能和不斷擴大的用戶群可能是詐騙者和駭客瞄準Binance的主要原因。Binance似乎已經意識到其區塊鏈網路上智能合約詐騙的普遍性，目前已經集成了風險監測工具來即時檢測風險並及時通知用戶潛在風險項目，包括RugPulls和其他騙局，那麼RugPulls一般都有什麼「套路」呢？接下來就讓我們來具體分析一下。

延伸閱讀：巴西球星｜小羅納度宣傳「粉絲代幣」遭控拉高倒貨詐騙！ Terra交易員發現暫停交易功能

Rug Pulls項目「套路」

RugPulls也被稱為「欺詐Token」或「DeFi詐騙」，相關項目會在智能合約中精心設計程式碼，以從散戶投資者竊取資金，其程式碼設計目標通常涉及：

1. 禁止二級銷售
2. 允許項目開發者自由鑄造新代幣
3. 向買家收取100%銷售費用

RugPulls項目方將這些腳本隱藏在代幣裡，一旦不明真相的散戶投資者購買，就會面臨巨大風險。在大多數情況下，RugPulls代幣看起來和市場上其他加密貨幣一模一樣，也都會「遵守」區塊鏈的同質化代幣標準，但真正的問題其實隱藏在更深一層的智能合約源程式碼裡。

從比特幣誕生至今，加密貨幣行業已經變得越來越成熟，與此同時欺詐者也摸清了加密貨幣的底層套路，可以對約束區塊鏈上記錄交易條件和規則的底層智能合約進行大量修改。為了執行RugPull，欺詐者往往會將惡意規則以硬編碼的方式嵌入到智能合約中，不僅能讓自己獲得額外權力，也能剝奪買家的基本權利。一般來說，欺詐者會在部署一個或多個存在漏洞的代幣後啟動RugPulls項目。

當代幣部署完成之後，欺詐者就會在去中心化交易所(DEX) 上創建流動資金池，然後將這個代幣與其他「合法」加密貨幣建立交易對。接下來，他們會人為大規模製造交易量並通過這種方式誇大代幣價值，最終吸引散戶投資者的興趣。

除了上述「常規手段」之外，RugPulls 項目還可能通過以下方式「包裝」自己的合法性，比如：

1. 打造虛假網站和虛假項目發展路線圖
2. 分享虛假的合作夥伴關係，掛出一些虛假的知名開發者「頭像」
3. 在Twitter、Discord、Telegram或其他社交媒體上投放廣告

隨著購買 RugPull 項目代幣的人越來越多，項目背後的欺詐者就會開始醞釀拋售，當有足夠多的用戶購買代幣之後，他們就會快速出售代幣並在去中心化交易所裡兌換成其他加密貨幣，比如ETH、USDT等。短時間內的大規模拋售將會讓代幣價格迅速歸零，這場RugPull陰謀也就此得逞。

延伸閱讀：台灣｜36名詐騙集團遭逮，脫罪新招「假造USDT交易紀錄」偽裝幣商被戳破

RugPulls代幣欺詐類型盤點

欺詐者在RugPulls代幣的智能合約裡部署惡意程式碼的手段很多，但當前市場主要有三種RugPulls類型，分別是：

1. 暗藏部署蜜罐漏洞
2. 暗藏私造代幣功能
3. 暗藏餘額修改後門

蜜罐漏洞：通常會阻止代幣購買者進行轉售，而只有開發人員可以出售自己持有的加密貨幣，普通投資者在交易時往往會受到類似於「由於錯誤未定義交易無法成功；可能是由於你兌換的某個代幣出現問題」這樣的提示，造成無法提款。蜜罐騙局往往會在短時間內導致代幣價格上漲，繼而誘使更多不明真相的用戶購買，一個比較典型的例子是Squid Game Token(SQUID)，這個項目利用了Netflix熱播劇《魷魚遊戲》的名字吸引了許多人購買，但項目方卻在智能合約中嵌入了一個蜜罐漏洞，讓Squid Game Token看起來像是一個很有前途的加密貨幣，上線短短幾天就有超過336萬美元資金入場，但最終被項目方洗劫一空。數據顯示，截至2022年10月25日，市場上暗藏蜜罐漏洞的代幣項目數量約有96,008個。

私造代幣功能：也是欺詐者最常使用的手段之一，他們會賦予一個或多個「外部擁有帳戶(EOA)」特定權限，讓他們可以使用代幣合約中的隱藏功能鑄造新代幣。當欺詐者成功調用鑄幣功能之後，會有擁有大量代幣然後將其傾銷到市場上，結果會導致其他持有者的代幣價值大打折扣，甚至變得一文不值。數據顯示，截至2022年10月25日，市場上暗藏私造代幣功能的代幣項目數量約有40,569個。

部署餘額修改後門：和部署私造代幣功能有些相似，欺詐者會賦予一個或多個「外部擁有帳戶(EOA)」特定權限，讓他們可以修改代幣持有者的餘額，當「外部擁有帳戶(EOA)」將代幣持有者的餘額設置為零時，他們就不能出售提款，而欺詐者們就能移除流動性或是鑄造/出售代幣以退出。

總結

加密騙局日益增多，更糟糕的是，至今仍有許多騙局沒有被發現。投資者在選擇加密項目的時候需要評估加密欺詐風險，而監管機構應加大打擊力度防止消費者受到傷害，最終讓市場誠信、透明度、以及消費者保護標準得到進一步提升。

好文章出於 動區