솔라나 자금 소용돌이: 러그 풀러가 왜 돈을 잃으려 하는가?

저자: CertiK

2024년 5월 13일 저녁, CertiK 팀은 Solana 체인에서 의심스러운 주소를 모니터링했습니다: 9ZmcRsXnoqE47NfGxBrWKSXtpy8zzKR847BWz6EswEaU(이하 '소구'로 통칭)

소구는 5월 12일부터 13일까지 총 64건의 러그풀(탈퇴 사기)을 체인에서 발생시켰으며, 몇 분마다 하나씩 발생했습니다. 이 짧은 24시간도 안 되는 시간 동안 소구는 총 272개의 SOL을 손실하였고, 이는 약 4.59만 달러에 해당합니다.

01 높은 투자 낮은 수익: 소구의 조작 수법 공개

그렇다면 소구는 도대체 어떻게 조작했을까요? 우리는 소구가 배포한 마지막 meme TWS를 예로 들어보겠습니다. UTC 시간 5월 13일 4시 05분, 소구는 99,999,999개의 TWS를 민트했습니다. 13시 18분, 소구는 Raydium에서 TWS/SOL 유동성 풀을 배포하며 98,999,999.99개의 TWS와 1개의 SOL을 주입했습니다; 이후 즉시 4개의 SOL로 가격을 올렸습니다.

13시 22분, 즉 4분 후 소구는 80,160,319.64개의 TWS를 0.018개의 SOL로 교환한 후 퇴장했습니다. 이러한 거래는 몇 분마다 발생했으며, 소구는 항상 '높은 투자 낮은 수익'을 유지했습니다. 각 풀에 5에서 10개의 SOL을 투자했지만, 결국 회수한 SOL은 비용보다 훨씬 적었고, 거의 절반의 거래에서 손실률이 90% 이상이었습니다.

거래 기록에서 우리는 소구가 의도적으로 행동했음을 쉽게 알 수 있습니다. 왜냐하면 매번의 조작, 심지어 조작한 토큰의 수량도 똑같았기 때문입니다.

02 자금의 수수께끼: 누가 이익을 보고 있는가?

만약 소구가 손해를 보고 있다면, 누가 이익을 보고 있는 것일까요?

소구의 '거래 내역' 추적

답을 찾기 위해, 먼저 우리는 소구의 모든 transfer를 통계 및 분석하여 '거래 내역'을 작성했습니다. 이 내역에서 소구 자금의 주요 흐름 주소를 찾았습니다:

6kt6xT6nZGGmPzJPrQtKPqNrdj5CoiVCuD2xuGQvxJ5Q(소육)

A1bQt2v8NUi3DghZRu8cC6LcpdXHPURDKkrV6v9mCtVC(A1)

운영 계좌: 소육

소육은 소구 자금의 주요 흐름 주소로, 소구로부터 약 272개의 SOL을 누적하여 받았습니다. 그러나 소육은 소구의 자식 계좌(SOL 토큰 계좌)입니다. 소구는 소육을 통해 meme 풀에 유동성을 추가하고 거래량을 조작했습니다.

아래 그림은 소육과 소구의 연관 거래를 보여줍니다. 소구는 거래를 시작하고(풀에 유동성을 추가하기 위해), 소육을 통해 결제하며, LP 토큰을 다른 주소(5eHgh9QnFTnRQYnCHoc3fzfW6rztkq5GjsuLYpDvDBSa)에게 민트했습니다. 그리고 이 5eHgh는 체인 분석에 따르면 소구가 생성한 것으로, LP 토큰을 임시로 보유하기 위해서만 사용되었습니다. 해당 meme이 러그풀된 후, 5eHgh도 파괴되었습니다.

후계자: A1

A1은 자금 유입이 두 번째로 큰 주소로, 다소 특별합니다. A1은 소구의 후계자로, 소구의 체인에서 마지막 거래는 A1에게 발송된 것입니다. A1은 소구의 6.4개의 SOL을 상속받았을 뿐만 아니라, 소구의 사업도 이어받았습니다. 5월 13일부터 15일 사이에 A1은 체인에서 계속해서 러그풀을 발생시켰습니다(총 83건).

마찬가지로, 반복적인 내역 분석을 통해 우리는 A1의 자식 계좌와 그 다음 후계자, 그리고 그 다음 후계자까지 찾을 수 있었습니다.

03 릴레이 게임: 모두 한 패거리‍

CertiK의 추적에 따르면, 러그풀러들의 릴레이 순서는 다음과 같습니다:

위의 주소들의 거래 상대방과 자금 흐름을 수평 비교한 결과, 우리는 더 많은 흥미로운 사실을 발견했습니다. 70개의 주소가 동시에 여러 러그풀러 주소와 자금 거래를 하고 있었습니다. 그 중 우리는 두 개의 주요 주소를 확인했습니다:

EZBbaxg7YqWo3XMAsTThZJEmTC9Dv78F5aB9srvsCtJg(E)

D3s8Zf1zh8R98JBU9Fw4K8fViv1DDzCmoPbNTmJwXKbD(D3)

배후의 승자: E

E는 거래량이 두 번째로 큰 주소로, 위의 러그풀러와 110.88 SOL의 자금 거래가 있었습니다. 체인 데이터 분석에 따르면, E는 러그풀러들의 meme 사기에 대량으로 참여하며 거래에서 이익을 얻었습니다. E가 최근 참여한 meme는 Pepe Trump로, 이익은 48달러입니다(출처: dexscreener). 유사하게, E는 최근 약 5만 건의 meme 거래를 진행했습니다. 거래량 추정에 따르면, E는 이로 인해 약 1만 달러의 이익을 얻었습니다.

E는 어떻게 수익을 보장했을까요? 매번 러그풀러가 새로운 코인을 배포할 때마다 E에게 일부 초기 토큰을 민트하고, E가 이를 배포합니다. 빈번한 거래를 통해, 이 돈을 받은 주소들은 E와 함께 짧은 시간 내에 meme 거래량을 높이고, 마지막에 집단적으로 가격을 폭락시킵니다.

E가 돈을 벌고 나면, 다시 러그풀러에게 돈을 돌려줍니다. 통계에 따르면, 이 글이 작성될 당시 E는 위의 러그풀러 주소에 총 41 SOL(약 7000달러)을 전송했습니다.

E와 같은 거래 주소는 최소 70개 이상 존재합니다. 그들은 오늘까지, 방금 전까지도 새로운 meme 사기를 계속 거래하며, 이를 홍보하고 있습니다.

자금 집합: D3

또한, 러그풀러 간 거래가 가장 많은 주소는 D3 주소로, 위에서 언급한 러그풀러 주소 간의 전송 금액이 140 SOL을 초과했습니다. 체인 데이터 분석에 따르면, D3는 러그풀러들의 자금 집합 주소입니다.

D3는 돈을 받은 후, 아래의 세 개 주소로 돈을 분할하여 전송했습니다:

GGMcDYzUKFDsXGba6K6S2NoKdD8S4a6QDoEY47DSx65X(OKX)

HCR8ZrgDCVFQhoaFXR7PKpn9tPABa4rKscpMwoJTF9be(Bybit)

J97QXy94SfwzgWfi8Y625wkAANVqSwxyD7dzw9bd8X5Z(스테이킹 + 투자)

그 중 G와 H는 거래소 주소이며, J로 전송된 돈은 체인에서의 스테이킹 및 투자에 사용되었습니다.

그들은 모두 한 패거리였던 것입니다. 그래서 소구 일행의 주소는 계속해서 유동성을 생성하고 가격을 올린 후, 판매했습니다. 결국 돈은 왼쪽 주머니에서 오른쪽 주머니로 옮겨진 것에 불과합니다(모두 자기가 벌어간 것입니다). 마지막으로, 모두가 집합 주소를 통해 돈을 가져갔습니다. 구체적인 자금 흐름은 아래 그림을 참조하십시오:

피해자: 신규 투자자(밈 헌터)

여러분은 우리가 이전에 언급한 몇 개의 주소 중 하나가 지속적으로 돈을 벌고 있다는 것을 주목하셨나요? 바로 E입니다. 누가 돈을 잃었을까요? 신규 투자자(특히 신규 투자 로봇)의 돈을 잃었습니다. 위에서 언급한 Pepe Trump를 예로 들어보면: Pepe Trump의 세 번째(다Kf…9A9R) 및 네 번째 보유자(6Md4…AKnW)는 5월 29일 10시 50분에 각각 1.3 SOL과 0.5 SOL의 토큰을 구매했지만, 판매할 새도 없이 러그를 당했습니다. 물론 피해자는 이 두 명만이 아닙니다. 그들은 단지 손실이 더 뚜렷한 경우입니다.

그들이 구매한 후 약 10초가 지나자, 러그풀러가 통제하는 주소가 대량으로 매도하기 시작했고, 가격은 거의 제로에 가까워졌습니다:

체인 데이터 분석을 통해 우리는 이 두 피해자가 Solana 체인에서 meme '신규 투자' 거래에 고빈도로 참여하고 있음을 발견했습니다. 즉, meme 풀이 생성된 초기 단계에서 meme을 구매하고, 이후 높은 가격에 판매하는 것입니다. 그 중 Da는 지난 3개월 동안 신규 투자로 약 86 SOL을 이익을 얻었으며, Pepe Trump는 그가 걸려든 몇 안 되는 함정 중 하나입니다. 본문에서 소구 일행의 러그풀 발생이 매우 빠르게 이루어졌고, 보통 5분을 넘지 않았기 때문에, 우리는 이것이 신규 투자 로봇을 위해 특별히 맞춤 제작된 사기라고 합리적으로 의심합니다.

04 결론

소구 등 주소의 체인 행동 및 자금 흐름 분석을 통해 우리는 정교하게 계획된 매우 타겟팅된 러그풀러 시스템을 발견했습니다. 러그풀러도 트렌드를 따르며, Solana 생태계에서 날로 증가하는 로봇 거래를 겨냥하고 있다는 것을 부인할 수 없습니다. 소구의 빈번한 손실에서부터, 연관 주소의 복잡한 조작, 자금 집합 및 전출에 이르기까지, 이 주소들은 상호 자금 이동을 통해 시장의 허상을 지속적으로 만들어내어 더 많은 투자자를 유입시키고 있습니다.

오늘날까지 소구들은 여전히 활발히 활동하고 있습니다. CertiK의 지속적인 추적에 따르면, 우리는 소구와 연관된 새로운 주소가 계속해서 나타나는 것을 발견하고 있습니다. 2024년 5월 31일 기준, 이 범죄 집단은 D3 주소를 통해 약 863개의 SOL, 즉 약 14.6만 달러를 이동시켰습니다.