NFT – “mảnh đất màu mỡ” cho tội phạm hoành hành

NFT ngày càng phát triển và phổ biến sẽ là “mảnh đất màu mỡ” cho hacker hoành hành. Hành vi phạm tội của chúng ngành càng tinh vi và biến hoá khôn lường. Dưới đây là một số hình thức phổ biến mà những kẻ phạm tội thường sử dụng trong NFT.

1.Scam

• Hack
• Phishing Scams
• “Trojan Horse” NFTs
• Scam thông qua mạo danh.
• Scam thông qua việc Swap NFT
• Scam thông qua link giả của sàn, bộ sưu tập,…
• Scam thông qua hình thức Giveaways, Airdrop NFT.
• Scam thông qua bidding (đấu giá).

Hiện tại rất nhiều hình thức Scam. Như lừa nạn nhân cung cấp khóa riêng cho ví kỹ thuật số của họ hoặc ký quyền cho phép họ truy cập vào ví của nạn nhân (có thể thông qua một link mint NFT giả). Thậm chí còn liên quan đến việc hack vào máy chủ của các công ty phát hành NFT, các NFT marketplace (như OpenSea), các ứng dụng ví tiền điện tử ( như MetaMask) hoặc các nền tảng truyền thông xã hội ( như Discord) và gửi thông báo giả mạo hợp pháp email hoặc tin nhắn có chứa liên kết lừa đảo. Người nhận tò mò, ham muốn nhận được giveaways và lỗi phổ biến nhất là nạn nhân không bao giờ đọc kỹ thông tin trước khi kí xác nhận truy cập ví mà nhấp vào liên kết lừa đảo. Kết quả là ví của họ bị tân công và rút sạch tài sản.

2.Rug Pulls

“Rug Pulls” là một hành vi mà trong đó các nhà phát triển dự án thu hút các nhà đầu tư ban đầu bằng nhiều hình thức Marketing khác nhau và sau đó từ bỏ dự án bằng cách lấy hết tiền của nhà đầu tư và bỏ chạy. Trong khi đó, nhà đầu tư thì luôn ấp ủ và chờ đợi những gì founder hứa hẹn mà chẳng biết tiền của mình đã “không cánh mà bay” sạch.

Dưới đây có 2 khái niệm khá thú vị và đang gây tranh cãi:

“Hard Rug Pulls“: là hành vi mà trong đó  khi người sáng lập dự án cố tình mã hóa dự án một cách có lợi cho họ, ví dụ như sử dụng các hợp đồng thông mình với những điều khoản ẩn trong mã của nó, che mắt các nhà đầu tư nhằm mục đích ăn cắp tiền. đây là hành vi  hoàn toàn bất hợp pháp.

“Soft rug pull“: Ở trường hợp này, các mã hợp đồng thông minh không được thiết kế để lừa gạt các nhà đầu tư. Nhưng những người sáng lập bán phá giá tài sản của họ nhanh chóng nhằm thu lợi, và cuối cùng làm giảm giá trị token. “Soft rug pull” không được xem là “bất hợp pháp”, mà được coi là vô đạo đức.

Có một lưu ý rằng “Hard rug pull” là phạm pháp, nhưng thật không may là những kẻ tạo ra dự án này với mục đích lừa đảo ngay từ ban đầu, chính vì vậy thông tin về kẻ lừa đảo thường là giả mạo hoặc ẩn danh.

Có ba loại hình Rug Pull phổ biến hiện nay như:

• Liquidity stealing: tức là “ ăn cắp thanh khoản”, xảy ra khi chủ dự án rút tất cả số tiền trong các pool thanh khoản. Thường thì các dự án kiểu này sẽ cung cấp mức APY cao ngất ngưỡng để thu hút người dùng bỏ thêm thanh khoản vào trong Pool đó. Vì pool chưa được lock nên giá trị Pool cứ thế tăng lên cho đến khi dự án cảm thấy số tiền trong Pool đạt như kỳ vọng, họ sẽ rút tất cả các tài sản trong Pool ra và bỏ trốn.
• Pump and dump: tức là đẩy giá lên cao bằng truyền thông và bơm thổi về tương lai, tiềm năng khiến nhiều nhà đầu tư FOMO mua vào. Khi giá tăng đủ cao, chủ dự án sẽ bán xả lượng lớn token hoặc NFT trên sàn khiến cho giá rớt mạnh.
• Limit Sell Orders: tạm dịch là “Hạn chế bán”. Hình thức này thường phổ biến trong các game Play to earn và GameFi. Họ vẽ ra một dự án khá thú vị và để tham gia thì nhà đầu tư sẽ phải mua một lượng token của họ. Họ cũng sẽ đẩy giá token tăng lên để nhiều người tin tưởng, và thu hút thêm nhà đầu tư mới. Đến khi giá token đủ cao, thì việc bán token lại rất khó khăn. Thường sẽ chỉ được bán trên một số nền tảng nhất định, hoặc có thời gian chờ, giới hạn lượng bán, thậm chí thu phí bán rất cao.

Ví dụ điển hình bộ sưu tập NFT Rug pull: 

So @Pixelmon raised over $70m at 3 ETH per mint just for them to reveal like this. I think it’s fair to say all the buyers were rugged.

Stop supporting cash grab NFT projects. pic.twitter.com/8VShQxNlgl

— ZachXBT (@zachxbt) February 26, 2022

3. Tấn công thông qua các lỗ hỏng DeFi và công nghệ NFT

• Code Exploits :

Exploit là khái niệm chỉ các cuộc tấn công mà trong đó hacker phát hiện và lợi dụng các lỗ hổng bảo mật của một hệ thống nào đó để đánh cắp các dữ liệu quan trọng, tài sản hoặc khiến phần mềm bị nhiễm virus nhằm phá hủy các node liên kết. Hình thức tấn công này thường xảy ra trong một hệ điều hành, một ứng dụng hay ở bất kỳ một loại code phần mềm nào, từ plug-in ứng dụng cho đến các thư viện phần mềm.

• Mất, lộ Private key
• Tấn công khi airdrop trên Apple
• Tấn công thông qua API

4. Thao túng giá thị trường 

Wash Trading

Với NFT, Wash trade là hình thức thực hiện một giao dịch “mua tay phải, bán tay trái”. Khi nhiều giao dịch như vậy được thực hiện, khối lượng giao dịch sẽ tăng lên. Điều này sẽ khiến cộng đồng FOMO vào mua NFT nhiều hơn.Trong đó người bán và mua cùng vẽ ra bức tranh sai lệch về giá trị, tính thanh khoản của tài sản NFT, làm cho NFT bất kỳ có giá trị cao hơn bằng cách bán nó cho một “chiếc ví mới” mà chủ sở hữu ban đầu cũng là người đứng sau chiếc ví đó.

5.Rửa tiền

Rửa tiền là biến một thu nhập phi pháp thành một tài sản hợp phát mà cơ quan quản lý không thể truy ra nguồn gốc của nó.Thường quy trình rửa tiền sẽ thực hiện như sau:

1. Đưa tiền vào hệ thống tài chính (placement). Bước này nghĩa là làm sao để số tiền có mặt trong nền kinh tế hợp pháp (ở đây đó là sàn giao dịch NFT )
2. Ngụy trang số tiền để nó dường như là hợp pháp (layering). Bước này được kẻ rửa tiền thực hiện qua các giao dịch thành công, các lần chuyển tiền từ nơi này sang nơi khác. (mua bất kì bức tranh NFT nào đó trên thị trường bằng nguồn tiền sạch với giá rẻ trên các chợ thứ cấp như OpenSea hay Magic Eden)
3. Tiền bẩn trở thành sạch và đem vào lưu thông (integration). Lúc này, tiền đã “sạch”. Kẻ rửa tiền sử dụng để làm điều mình thích một cách an toàn. (tự mua lại bức tranh NFT của mình bằng một ví ẩn danh khác với số tiền bẩn).

Kết quả kế hoạch nguỵ trang đã thành công. NFT thì chuyển sang tay trái còn tiền thì chuyển sang tay phải. Họ sẽ báo cáo nguồn gốc số tiền đến từ lợi nhuận bán NFT cho cơ quan pháp lí, rất sạch sẽ. Cán bộ ngân hàng hay cơ quan thuế sẽ không điều tra người mua kia, và cũng không thể điều tra vì tất cả đều là ẩn danh. Giá của NFT đó cũng không ai có thể lý giải “tại sao nó lại có giá đó”.

6. NFT giả mạo

Hiện nay, có rất nhiều kẻ lừa đảo chuyên ăn cắp bản quyền, đạo nhái lại những BST blue-chip, tác phẩm của nghệ sĩ nổi tiếng. Việc tạo ra một NFT “fake” vẫn đang tràn lan trên nhiều nền tảng. Thật giả lẫn lộn khó mà phân biệt được. Để tránh mất tiền oan, bạn nên xác minh, check thật kỹ thông tin NFT trước khi mua hàng.

Tổng kết:

Tóm lại, thị trường NFT ngày càng phát triển đã mang lại nhiều cơ hội cho nhà đầu tư gia tăng lợi nhuận nhưng cũng là cơ hội cho những kẻ trộm “kiếm chát”. Đằng sau ánh hào quang của lợi nhuận là những góc khuất đen tối tiềm ẩn nhiều rủi ro, nguy hiểm đối với nhà đầu tư. Vì vậy, các bạn cần trang bị cho mình đầy đủ kiến thức, cách nhận diện những chiêu trò lừa đảo và luôn cẩn trọng trước mỗi quyết định “xuống tiền” đầu tư , bảo vệ ví tiền của bản thân.