2024年5月13日晚间,CertiK团队监测到Solana链上一可疑地址:9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU(后文统称“小九”)
小九从5月12日到13日,一共在链上发起了约64笔rug pull(退出骗局),每几分钟就有一个。在这短短不到24小时里,小九共计损失金额272个SOL,价值约4.59万美元。
那么小九究竟是怎么操作的呢?我们以小九部署的最后一个meme TWS为例。UTC时间5月13日4点05分,小九铸造了99,999,999个TWS。13点18分,小九在Raydium上部署了一个TWS/SOL的流动性池,注入98,999,999.99个TWS和1个SOL;随后,又立即用4个SOL拉盘。
13点22分,也就是4分钟以后,小九将80,160,319.64个TWS换回0.018个SOL后离场。这样的交易每隔几分钟就会发生一次,而小九一直“高投入低回报”,每个池子投入5到10个SOL,最后收回远小于成本的SOL,近半数交易的亏损率都在90%以上。
而从交易记录中,我们不难看出,小九是有意而为之,因为其每次操作,甚至操作的代币数量都一模一样。
如果小九在亏钱,那谁在赚钱?
为了找到答案,首先,我们对小九所有的transfer进行了统计和分析,得到了一份“交易流水”。在这份流水中,找到了小九资金主要流向的地址:6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q(小六)A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC(A1)小六是小九资金的主要流向地址,累计从小九处获得了约272个SOL。然而,小六是小九的子账户(SOL Token Account)。小九通过小六来为meme池加流动性,炒交易量。下图是一笔小六和小九的关联交易,小九发起交易(为池子添加流动性),通过小六付款,将LP token mint给了另一个地址(5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa)。而这个5eHgh,根据链上分析,也是由小九创建的,只用于临时持有LP token。在对应的meme被rug pull之后,5eHgh也被销毁。A1是资金流入第二大的地址,也比较特殊。A1是小九的继任者,小九在链上的最后一笔交易是发给A1的。而A1不仅继承了小九的6.4个SOL,也继承了小九的事业。在5月13日至15日期间,A1不断在链上制造rug pull(共计83起)。同样地,通过反复的流水分析,我们找到了A1的子账户,和它的下一任继任者,和它的下下...一任继任者。根据CertiK的追踪,rug puller们的接力顺序如下:
通过对上述地址的交易对手和资金流水进行横向对比,我们发现了更多有趣的事情。有70个地址同时与多个rug puller地址都有资金往来。其中,我们锁定了两大主要地址:EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg(E)
D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD(D3)
E是交易量第二大的地址,与上述rug puller间有110.88SOL的资金往来。根据链上数据分析,E大量地参与了rug puller们的meme骗局,并从交易中获利。E最近参与的一个meme是Pepe Trump,获利48美元(来源:dexscreener)。类似地,E在近期进行了约5万次meme交易。据其交易量估算,E从中获利约1万美元。E是怎么确保收益的?每次rug puller部署了新币,都会mint一部分初始token给E,再由E分发出去。通过频繁交易,这些收到钱的地址和E一起在短时间内刷高meme的交易量,最后再集体砸盘。而E赚了钱之后,又把钱还给了rug puller。据统计,截至文章撰写时,E前后转给上述rug puller地址共计41SOL(约$7000)。而像E这样的交易地址,至少还有70个。他们直到今天、直到刚刚,还在不断地交易新发起的meme骗局,为其造势。另外,与rug puller之间交易最多的是D3地址,它与上面提到的 rug puller地址之间的转账金额超过了140 SOL。而根据链上数据分析,我们发现D3正是rug puller们的资金归集地址。D3收到钱后,分批把钱转入了下面这三个地址:
GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X(OKX)
HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be(Bybit)
J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z(质押+投资)
其中,G和H都是交易所地址,而转入J的钱则被用于链上的质押和投资。原来他们都是一伙的,所以小九一行地址不断地创建流动性,拉盘,然后卖出。最后只是把钱从左边口袋放进了右边口袋(都被自己人赚走了)。最后,大家通过归集地址把钱拿走了。具体的资金流向见下图:不知道大家有没有注意到,在我们之前提到的几个地址中,有一个地址在持续地赚钱,就是E。赚谁的钱呢?赚的是打新者(特别是打新机器人)的钱。以上文提到的Pepe Trump为例:Pepe Trump的第三大(DaKf...9A9R)和第四大持有者(6Md4...AKnW),分别在5月29日的10点50分购买了1.3个SOL和0.5个SOL的代币,但是还没来得及卖出就被rug了。当然,受害者肯定不止这两个,只是他们亏得比较明显。就在他们买入后的大约10秒,rug puller控制的地址开始大量抛售,价格几乎归零:通过对链上数据的分析,我们发现这两个受害者均高频地参与Solana链上的meme“打新”交易,即在meme池创建的早期购入meme,随后高价卖出。其中,Da在过去的三个月里已通过打新获利约86 SOL,Pepe Trump是其为数不多被圈住的陷阱。鉴于本文中小九一行地址的rug pull发生得非常迅速,通常不超过5分钟,我们合理怀疑这是为打新机器人专门定制的骗局。随着对小九等地址链上行为和资金流向的分析,我们发现了一个精心策划且非常具有针对性的rug puller体系。不得不说rug puller也紧跟潮流,瞄准了Solana生态上日益蓬勃的机器人交易。从小九的频繁亏损,到关联地址的复杂操作,再到资金归集和转出,这些地址通过相互的资金转移,不断制造市场的假象,吸引更多的投资者入局。时至今日,小九们仍然活跃着。根据CertiK的持续追踪,我们不断地发现与小九关联的新地址出现。截至2024年5月31日,该团伙已通过D3地址共转移了约863个SOL,约14.6万美元。为了更全面地揭露这类rug puller的运作手法,并帮助用户远离风险,CertiK对Solana链上10,000+个meme rug pull进行了深入地分析。如果你想了解更多关于如何识别rug pull及其他类似骗局的知识,想知道更多实用的防范技巧,记得保持关注,我们下期见!