退出骗局,我们俗称的项目跑路。又被形象地称为“拉地毯(Rug Pull)”,是 Web 3.0 领域的一种犯罪诈骗手段。
Rug Pull 的常见做法是在创建一个看似合法的 DeFi 项目之后,制造虚假的交易量和用户数量来提高项目的声誉,吸引更多的投资者进入项目。在达到一定规模之后,该欺诈者或团队会突然撤回项目中的大量资金并关闭项目,最终导致投资者持有的代币失去价值。
虽然有大量的统计信息呈现了多年来退出骗局的普遍性和造成的影响,但研究其特点和犯罪分子的数据和报告较少。而这样的研究可以改善反洗钱(AML)工作、促进消费者保护和整个 Web 3.0 市场的完整性。
研究退出骗局开始到结束整个周期,我们可以更好地剖析骗局的结构,并了解导致这些骗局存在的潜在风险因素和共同点。通过识别这些信号和指标,我们可以采用更明智的安全方法和策略来更有效地保护 Web 3.0 世界。
CertiK 对 40 个 Rug Pull 项目进行了研究,以便更好地了解导致其最终移除流动性的共同点和差异。通过确定项目特征并且进行定性和定量分析,我们得到了以下结果。
在这项研究中,我们只进行了 Hard Rug Pull 的研究,即一个项目的团队在从其社区获得大量投资后,突然从项目中撤出资金。Soft Rug Pull 则是创始人实现欺诈目标的一种更微妙的方式。创始人不会一下子把他们所持有的代币抛售一空,而是慢慢地出售,同时保持他们仍然在投资和支持项目的假象。
在我们对 Rug Pull 的研究中,将跑路项目分为了四类:项目团队跑路、恶意开发者恶意破坏、项目所有者作案及未知的人员或团队作案。每个类别的定义和结论将在下面进一步详细说明:
这项研究强调了在评估新项目及其相关风险时背景调查的重要性。由于大多数 Rug Pull 是由项目团队造成的,因此在投资一个项目之前,考虑团队的动机和其背景记录是至关重要的。
在最终的跑路骗局发生之前,Rug Pull 的活动平均时间是 93 天。如果在新部署的项目中,开发者刻意匿名或完全不为人知,也没有对透明度或去中心化做出承诺,那我们就需要谨慎对待了。
为了打击这类骗局、降低风险,帮助用户做出明智的决定,CertiK 开发了KYC 徽章计划。该计划的重点是核实和审查项目背后的团队,只向那些同意接受彻底背景调查的团队授予徽章。CertiK KYC 有助于将经过验证的、透明的、负责任的团队与其他项目区分开来。
CertiK 调查员采访了一个匿名项目的项目负责人(我们后文将该项目简称为项目①)。在与项目负责人的面谈中,我们发现了几个值得注意的点,其中包括申请人支支吾吾并且难以回忆起项目团队的其他成员名字。他们还声称对项目及其结构不甚了解。
此外,项目负责人和团队成员之前并没有 Web 3.0 方面的经验,也无法对项目的用途做出任何解释。他们声称项目的目标是捐赠给特定的慈善事业,但他们没有制定任何计划来支持慈善计划,也无法说出具体的慈善机构。慈善声明似乎仅仅是吸引投资者的一种营销策略甚至可以说是诱饵。
在这次初步谈话的三个月后该项目跑路。我们的链上分析表明,该项目团队对 Rug Pull 事件负有全部责任。
项目②中除了开发者,其他所有成员都与项目有着公开联系。随着向项目负责人深入了解,其团队所有成员的名字和身份均被披露,但是就连项目负责人自己也对开发者一无所知。
该开发者完全匿名并使用了一个假名,且从未参加过任何团队之间的语音或视频通话沟通,也从未透露任何个人信息。因为该开发者声称自己有丰富的Web3.0 经验并且说出了之前所做的项目,因此负责人轻信了匿名开发者的说辞:大多数开发人员在项目团队中都是匿名的,这并不是一个风险和问题。
CertiK 调查员注意到,项目②在匿名开发者之外其实没有什么其他风险因素。然而,匿名开发者的风险也至关重要:因为匿名开发者拥有智能合约诸多权限,这就大大增加了 Rug Pull 的风险。在这次与创始人进行谈话的几天后,这位匿名开发者 Rug Pull 了该项目。
在本文分析的 40 个项目中,有 37.5% (15 个)项目,使用了 Namecheap 作为他们的域名注册商。Namecheap 是一个无需任何个人信息即可注册域名的域名隐私供应商。这些服务可能使用隐私服务信息和随机生成的电子邮件取代与域名相关的真实联系信息。其不要求个人或识别信息来注册网站的做法可能对未来的 Rug Pull 诈骗者极具吸引力。
值得注意的是, 40 个项目中有 4 个没有明确的网站域名或没有相关网站域名的数据。通过 Namecheap 注册的项目和不知名的项目加起来占了整个样本的 45% 。
此外,由恶意开发者实施的 4 起 Rug Pull 事件均未使用 Namecheap,这进一步表明了那些开始时没有恶意的项目不太可能故意使用隐私域名来试图隐瞒私人信息。
在我们针对这 40 个项目的研究中,确定了其中 36 个项目的启动日期。收集到了开始日期和 Rug Pull 时间,从而计算出了项目的平均寿命和中位数:这些项目的平均寿命为 92 天,中位数为 57 天。
虽然大多数 Rug Pull 项目的典型寿命只有三个月甚至更短,但必须注意的是数据中也不乏有异常值。例如,在样本中有四个项目的寿命约为 300 天或以上。数据虽表明了 Rug Pull 的趋势和特点,但这个数据并不能以偏概全。
在这 31 个项目中,只有 7 个项目有 Roadmap, 4 个项目发布了白皮书。对于那些没有路线图和白皮书的项目,大多采用一个说法:路线图或白皮书即将发布。
大多数项目是完全匿名的,占 31 个项目中的 24 个(77.4% )。剩下的 7 个项目被认定为半匿名(占样本的 22.6% )——除了列出项目组成员名之外没有其他可识别信息。其他团队使用的照片和名字在我们的调查专员确认后被认定为虚假材料。
此外,我们发现某些 Rug Pull 事件使用了人工智能生成的“团队成员”头像,其姓名和信息等数据也均为虚假。
不过虽然具备很多共性,Rug Pull 项目也在环境变化中不断地更新自己的技术和策略去适应市场「与时俱进」。
在此为大家总结上述研究结果:大多数 Rug Pull 项目的寿命很短,大部分是由项目团队整体进行 Rug Pull,在成立过程中多数使用不保留注册人个人信息的域名注册商。当然,在调研中也发现了一些例外项目,因此以上特征可以作为参考,但并不能作为评估的绝对标准。
项目诈骗人员会尽可能采用更多策略来吸引潜在投资者,因此投资前必须自己进行尽职调查并参考由具备 Web 3.0 安全专业知识的专家提供的权威信息。
使用第三方安全审计师进行背景调查可以提高安全措施的效率和效果。CertiK 的 KYC 团队由调查专家组成。除了彻底的背景调查和风险评估,CertiK 还拥有一个独特的 Web 3.0 欺诈者数据库,并可通过风险指标定性定量工具以帮助检测欺诈行为。
Rug Pull 是 Web 3.0 生态系统的持续威胁。虽然我们从 40 个样本中识别了一些高风险因素,我们的 KYC 也会帮助优质项目脱颖而出,但是这些威胁不可能完全消失。
通过提高安全和透明度标准,CertiK 希望可以给那些真正有理想的项目提供可信证明,同时也希望能够帮助用户做出明智且正确的决定,避免更多人成为 Rug Pull 的受害者。