原文作者:CertiK
2024 年5 月13 日晚間,CertiK 團隊監測到Solana 鏈上一可疑地址:9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU(後文統稱「小九」)
小九從5 月12 日到13 日,總共在鏈上發起了約64 筆rug pull(退出騙局),每幾分鐘就有一個。在這短短不到24 小時裡,小九共損失金額272 個SOL,價值約4.59 萬美元。
01 高投入低迴報:揭秘小九的操作手法
那麼小九究竟是怎麼操作的呢?我們以小九部署的最後一個meme TWS 為例。 UTC 時間5 月13 日4 點05 分,小九鑄造了99, 999, 999 個TWS。 13 點18 分,小九在Raydium 上部署了一個TWS/SOL 的流動性池,注入98, 999, 999.99 個TWS 和1 個SOL;隨後,又立即用4 個SOL 拉盤。
13 點22 分,也就是4 分鐘以後,小九將80, 160, 319.64 個TWS 換回0.018 個SOL 後離場。這樣的交易每隔幾分鐘就會發生一次,而小九一直「高投入低迴報」,每個池子投入5 到10 個SOL,最後收回遠小於成本的SOL,近半數交易的虧損率都在90% 以上。
而從交易記錄中,我們不難看出,小九是有意而為之,因為其每次操作,甚至操作的代幣數量都一模一樣。
02 資金謎題:誰在從中獲利?
如果小九在虧錢,那誰在賺錢?
追蹤小九的「交易流水」
為了找到答案,首先,我們對小九所有的transfer 進行了統計和分析,得到了一份「交易流水」。在這份流水中,找到了小九資金主要流向的地址:
6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q(小六)
A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC(A 1)
操作帳戶:小六
小六是小九資金的主要流向地址,累計從小九處獲得了約272 個SOL。然而,小六是小九的子帳戶(SOL Token Account)。小九透過小六來為meme 池加流動性,炒交易量。
下圖是一筆小六和小九的關聯交易,小九發起交易(為池子添加流動性),透過小六付款,將LP token mint 給了另一個地址(5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa)。而這個5 eHgh,根據鏈上分析,也是由小九創建的,只用於臨時持有LP token。在對應的meme 被rug pull 之後, 5 eHgh 也被銷毀。
繼任者:A 1
A 1 是資金流入第二大的地址,也比較特殊。 A 1 是小九的繼任者,小九在鏈上的最後一筆交易是發給A 1 的。而A 1 不只繼承了小九的6.4 個SOL,也繼承了小九的事業。在5 月13 日至15 日期間,A 1 不斷在鏈上製造rug pull(共83 起)。
同樣地,透過反覆的流水分析,我們找到了A 1 的子帳戶,和它的下一任繼任者,和它的下下...一任繼任者。
03 接力遊戲:都是一夥的
根據CertiK 的追踪,rug puller 們的接力順序如下:
透過對上述地址的交易對手和資金流水進行橫向對比,我們發現了更多有趣的事情。有70 個地址同時與多個rug puller 地址都有資金往來。其中,我們鎖定了兩大主要地址:
EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg(E)
D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD(D 3)
幕後贏家:E
E 是交易量第二大的地址,與上述rug puller 間有110.88 SOL 的資金往來。根據鏈上數據分析,E 大量參與了rug puller 們的meme 騙局,並從交易中獲利。 E 最近參與的一個meme 是Pepe Trump,獲利48 美元(來源:dexscreener)。類似地,E 在近期進行了約5 萬次meme 交易。根據其交易量估算,E 從中獲利約1 萬美元。
E 是怎麼確保收益的?每次rug puller 部署了新幣,都會mint 一部分初始token 給E,然後由E 分發出去。透過頻繁交易,這些收到錢的地址和E 一起在短時間內刷高meme 的交易量,最後再集體砸盤。
而E 賺了錢之後,又把錢還給了rug puller。根據統計,截至文章撰寫時,E 前後轉給上述rug puller 地址共41 SOL(約$ 7000)。
而像E 這樣的交易地址,至少還有70 個。他們直到今天、直到剛剛,還在不斷交易新發起的meme 騙局,為其造勢。
資金歸集:D 3
另外,與rug puller 之間交易最多的是D 3 位址,它與上面提到的rug puller 位址之間的轉帳金額超過了140 SOL。而根據鏈上資料分析,我們發現D 3 正是rug puller 們的資金歸集地址。
D 3 收到錢後,分批把錢轉入了下面這三個地址:
GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X(OKX)
HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be(Bybit)
J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z(質押+ 投資)
其中,G 和H 都是交易所地址,而轉入J 的錢則用於鏈上的質押和投資。
原來他們都是一伙的,所以小九一行地址不斷地創建流動性,拉盤,然後賣出。最後只是把錢從左邊口袋放進了右邊口袋(都被自己人賺走了)。最後,大家透過歸集地址把錢拿走了。具體的資金流向見下圖:
受害者:打新者(Meme Hunter)
不知道大家有沒有註意到,在我們之前提到的幾個地址中,有一個地址在持續賺錢,就是E。賺誰的錢呢?賺的是打新者(特別是打新機器人)的錢。以上文提到的Pepe Trump 為例:Pepe Trump 的第三大(DaKf...9 A 9 R)和第四大持有者(6 Md 4...AKnW),分別在5 月29 日的10 點50 分買了1.3 個SOL 和0.5 個SOL 的代幣,但是還沒來得及賣出就被rug 了。當然,受害者肯定不只這兩個,只是他們虧得比較明顯。
就在他們買入後的大約10 秒,rug puller 控制的地址開始大量拋售,價格幾乎歸零:
透過對鏈上數據的分析,我們發現這兩個受害者均高頻地參與Solana 鏈上的meme「打新」交易,即在meme 池創建的早期購入meme,隨後高價賣出。其中,Da 在過去的三個月裡已透過打新獲利約86 SOL,Pepe Trump 是其為數不多被圈住的陷阱。鑑於本文中小九一行地址的rug pull 發生得非常迅速,通常不超過5 分鐘,我們合理懷疑這是為打新機器人專門定制的騙局。
04 結語
隨著小九等地址鏈上行為和資金流向的分析,我們發現了一個精心策劃且非常有針對性的rug puller 系統。不得不說rug puller 也跟上潮流,瞄準了Solana 生態上日益蓬勃的機器人交易。從小九的頻繁虧損,到關聯地址的複雜操作,再到資金歸集和轉出,這些地址透過相互的資金轉移,不斷製造市場的假象,吸引更多的投資者入局。
時至今日,小九們仍然活躍著。根據CertiK 的持續追踪,我們不斷發現與小九關聯的新地址出現。截至2024 年5 月31 日,該團夥已透過D 3 地址共轉移了約863 個SOL,約14.6 萬美元。
