DeFi丛林中的Rugpull报告
2021年,“Rugpull”(拉地毯骗局)占所有加密货币诈骗收入的37%。这种骗局指DeFi(去中心化金融)生态中开发者放弃项目并卷走投资者资金的行为。例如土耳其中心化交易所Thodex卷款20亿美元,2022年3月美国司法部起诉涉案110万美元的NFT骗局Frosties。
在即将于2023年金融密码学与数据安全会议发表的论文中,我们通过比特币讨论论坛bitcointalk.org分析了更新的Rugpull案例列表。该论坛吸引诈骗者宣传项目,自2020年起"Rugpull"讨论线程增加而"退出骗局"减少,表明术语随DeFi兴起而演变。
通过关键词搜索,我们从6类服务中识别101起Rugpull事件(见表1),数据集发布于哈佛Dataverse(doi:10.7910/DVN/SMGMW8)。
| 服务类型 | 定义 | 观察数量 |
|---|---|---|
| 首次代币发行(ICO) | 筹集资金创建新ERC20代币 | 73 |
| 收益农场 | 借出加密资产赚取利息 | 16 |
| 交易所 | 用户买卖加密货币的平台 | 5 |
| 非同质化代币(NFT) | 可买卖的独特数字资产 | 5 |
| 去中心化交易所发行(IDO) | 类似ICO但于去中心化交易所进行 | 1 |
| 云挖矿 | 挖矿操作的分摊份额 | 1 |
表1:按观察到的Rugpull数量划分的DeFi服务类型(N=101)
研究发现ICO是Rugpull主要形式,其中多数在6个月内卷款跑路(如2021年借电视剧名义的SquidGame Token数天内崩盘)。2021年9月前的项目存活时间更长,可能因诈骗者观望早期成功案例后效仿,或等待以太坊汇率高位最大化利润。
2022年下半年后Rugpull ICO数量下降,可能因诈骗者转向IDO和NFT等新领域,或受加密货币低汇率影响。分析表明Rugpull正向新服务演进,需系统化解决方案。
平台审核能否识别并移除诈骗广告?我们应用Stajano和Wilson的七种诱饵原则分析项目公告内容,发现诈骗者主要使用权威性和财务诱饵模仿合法项目,显示广告审核极具挑战性。
欧盟即将实施的MiCA(加密资产市场)法规可能统一加密货币规则,要求发行方为法律实体并提交详细白皮书(含项目透明信息及营销通讯),同时赋予零售投资者资金撤回或赔偿权利(第12条)。但由于执行滞后,其实际效果尚不明确。
详见与合作者共同完成的论文《DeFi欺骗——揭示加密货币项目中Rugpull的普遍性》(剑桥网络犯罪小组与UCL犯罪科学学院参与研究)。
致谢
感谢Marie Vasek博士的编辑及Marilyne Ordekian与Gilberto Atondo-Siu的审稿。