Highlights aus dem ‘Rug Pull Report’ von Solidus Labs

Solidus Labs, eine Blockchain-Überwachungsplattform, veröffentlichte ihren Rug Pull Report 2022, der aufzeigt, dass fast zwei Millionen Investoren Gelder an Rug-Pull-Token verloren haben. Das ist vergleichbar mit der Anzahl von Investoren, die aufgrund des Zusammenbruchs einiger der größten Krypto-Plattformen ungesicherte Verluste erlitten haben.

Die Web3-AML-Lösung des Unternehmens scannte den Quellcode jeder neuen Kryptowährung, die seit 2020 auf einer EVM-Blockchain bereitgestellt wurde, und zeigte bis heute 1,8 Millionen Token und 12 Chains.

Es stellte fest, dass Bedrohungsakteure in der Kryptowährungsbranche bis zu 15 Krypto-Betrugsfälle pro Stunde initiieren. Weiterhin wurde festgestellt, dass 12 % aller BNB‑Chain‑Token Betrug sind, was den höchsten Anteil aller Blockchains darstellt, während 8 % aller Ethereum‑Token so programmiert sind, dass sie Rug Pulls ausführen.

Rug Pulls haben im Kryptosektor verheerende Schäden verursacht, wobei laut dem Bericht von Solidus Labs bis zum 1. Dezember 2022 117.629 gemeldete Betrugstoken im Jahr 2022 erstellt wurden. Die Untersuchung hat ergeben, dass fast doppelt so viele im Jahr 2022 durch Betrüger und Rug Pulls verloren gingen.

Die Anzahl der in diesem Jahr erstellten Betrugstoken ist im Vergleich zu 2021 um 41 % gestiegen, als Solidus fast 83.400 betrügerische Token entdeckte. Und wie erwartet ist 2022 das bislang größte Jahr für betrügerische Krypto‑Token, seit das Unternehmen im September 2020 mit der Verfolgung begann.

Unterdessen haben Verbraucher laut Federal Trade Commission zwischen Anfang Januar 2021 und März 2022 mehr als 1 Milliarde $ durch Kryptowährungsbetrug verloren. Im ersten Quartal des laufenden Jahres beliefen sich die Verluste durch Krypto‑Betrug und -Scams in den USA auf 185 Millionen $.

Eine neue Umfrage von Privacy Affairs ergab jedoch, dass die fünf größten Kryptowährungsverluste, -Scams und -Hacks im Jahr 2022, gemessen am verlorenen oder gestohlenen Betrag (100 Millionen $ oder mehr), fast erstaunliche 3,5 Milliarden $ ausmachten.

Rug Pull Epidemie

Die Rug‑Pull‑Epidemie breitet sich in der Krypto‑Welt aus, und viele Investoren verlieren ihr hart erarbeitetes Geld. Daher bietet Solidus Labs in seinem Sonderbericht einen umfassenden Überblick über Rug Pulling, den häufigsten Smart‑Contract‑Betrug.

Ähnlich wie 2021 wurden die meisten Krypto‑Hacks und -Scams im Jahr 2022 durch Angriffe und andere Bedrohungsakteure verursacht, die Schwachstellen und Verwundbarkeiten in DeFi‑Protokollen, Börsenplattformen und Blockchain‑Brücken ausnutzen.

Kryptowährungs‑Exit‑Scams sind im Allgemeinen eine Taktik, bei der ein Krypto‑Betrüger eine Initiative startet, um Mittel für ein Kryptowährungs‑Token/Projekt zu sammeln, das Investoren und ahnungslosen Nutzern erhebliche Renditen verspricht.

Rug Pulling hingegen ist ein Exit‑Scam, bei dem eine Person oder Gruppe ein Token erstellt und dessen Wert steigert, um dann den gesamten Projektwert abzuziehen.

Kurz gesagt ist ein Rug Pull ein Krypto‑Scam, bei dem Teams den Wert ihrer Token aufpumpen, um Investoren anzulocken, und dann verschwinden, bevor das Projekt aufgebaut ist. Nachdem das Token bereitgestellt wurde, baut das Rug‑Pull‑Team typischerweise einen Liquiditätspool in einer dezentralen Börse (DEX) auf, die nicht von einer zentralen Instanz betrieben wird und keine KYC‑Prüfungen erfordert.

Solidus Labs stellte fest, dass Rug‑Pull‑Token gezielt für Diebstahl programmiert sind, wobei ihre Smart Contracts in der Lage sind, Sekundärverkäufe zu deaktivieren, Käufern 100 % Verkaufsgebühren zu berechnen oder Entwicklern das Prägen neuer Token zu ermöglichen.

Laut einer Studie des Unternehmens für Kryptowährungs‑Risiko‑ und Marktüberwachung sind Rug Pulls einer der häufigsten Scams im Krypto‑Bereich, wobei von September 2020 bis zum 1. Dezember 2022 mehr als 200.000 Betrugstoken von Betrügern eingesetzt wurden.

Betrüger können ihr Geld waschen und ihre Scams finanzieren, indem sie Krypto‑zu‑Fiat‑Börsen nutzen. Es wurde zudem festgestellt, dass die meisten dieser bösartigen Token, über 99 %, durch herkömmliche Methoden der Scam‑Erkennung nicht entdeckt werden, da sie ausschließlich on‑chain vorkommen.

Zudem werden die Token von den Behörden nicht erkannt, da der Betrug im Smart Contract des Tokens kodiert ist, auf einer dezentralen Börse gehandelt wird und die illegalen Gewinne in Krypto und nicht in Fiat‑Währung ausgewiesen werden.

Zusätzlich könnten Token‑Betrüger betrügerisches Marketing einsetzen, um mehr Investoren zu erreichen, etwa durch den Einsatz von Bots zum Spam von sozialen Medien oder Wash‑Trading, was sogar ohne Registrierung einer Web‑Domain durchgeführt werden kann.

Harte und weiche Rug Pulls

Das Blockchain‑Überwachungsunternehmen Solidus Labs nutzte Smart‑Contract‑Screening‑Technologie, um Millionen von Token‑Verträgen zu scannen und Betrugs‑Schwachstellen mit beispielloser Genauigkeit zu kennzeichnen.

Bei genauerer Betrachtung von Rug Pulls teilte das Unternehmen mit, dass es zwei Hauptarten von Rug Pulls gibt – harte und weiche. Bei einem harten Rug Pull, auch als Token‑Scam bezeichnet, programmiert der Betrüger sein Token, um Investoren zu bestehlen. Es gibt sieben Haupttypen harter Rug Pulls: Honeypots, versteckte Prägungen, falsche Eigentumsaufgaben, versteckte Bilanzmodifikatoren, versteckte Gebührenmodifikatoren, versteckte maximale Transaktionsbetrags‑Modifikatoren und versteckte Transfers.

Das Unternehmen entdeckte 98.442 Honeypot‑Scams, die Käufer daran hindern, ihre Token weiterzuverkaufen. In Honeypot‑Scams dürfen Käufer Token nicht verkaufen, wodurch ihr Preis solange steigt, wie der Betrüger es wünscht, was den Anschein eines „Moonings“-Tokens erweckt und noch mehr Nutzer zum Kauf verleitet – wodurch sie bei weitem die beliebteste Form des Rug Pulls darstellen.

Die Mehrheit der Honeypots wurde auf eine von vier Arten implementiert: Liquiditätspool‑Blockaden, Nutzung externer Verträge, Blocklisten oder Allowlisten. Laut dem Rug‑Pull‑Erkennungstool von Solidus Labs gab es 30.323 Liquiditätspool‑Block‑Scams, 35.424 Scams mit externen Verträgen und 10.639 Scams mit Block‑/Allowlisten.

Solidus gibt an, dass das erfolgreichste „Honeypot“ in diesem Jahr ein Betrug mit einem Squid‑Game‑Token im Wert von 3,3 Millionen $ (SQUID) war, der innerhalb weniger Tage um 45.000 % stieg, als Investoren dem Hype folgten, jedoch nicht verkaufen konnten, was schließlich dazu führte, dass ein anonymer Gründer scheinbar mit den Geldern der Investoren davonlief.

Das Unternehmen entdeckte zudem insgesamt 60.985 versteckte Prägungen, bei denen Entwickler unbegrenzt neue Token mittels einer versteckten Funktion im Token‑Vertrag erstellen können. Nach Aufruf dieser Funktion kann der Betrüger diese zusätzlichen Token auf dem Markt absetzen und die von anderen gehaltenen Token entwerten.

Unterdessen wurden schätzungsweise 48.974 falsche Eigentumsaufgaben durchgeführt. Bei dieser Betrugsart lässt der Betrüger den Anschein erwecken, er habe die Kontrolle über den Token‑Vertrag aufgegeben, obwohl dies nicht der Fall ist. Der Betrüger kann weiterhin auf nur‑für‑Eigentümer‑Funktionen im Vertrag zugreifen, etwa Funktionen, die den Handel pausieren, Token prägen oder Gebühren festlegen können. Und es versteht sich von selbst, dass dies irreführend ist und Menschen ihr Geld verlieren lässt.

Bei Scams mit versteckten Bilanzmodifikatoren können ein oder mehrere extern verwaltete Konten (EOAs) oder der Token‑Vertrag selbst die Salden der Token‑Inhaber ändern. Es gab 8.340 solcher Fälle. Wie der Name schon sagt, ermöglicht ein versteckter Transfer Entwicklern, Token von den Adressen anderer Nutzer an sich selbst zu senden. Betrüger haben bereits insgesamt 2.026 versteckte Transfer‑Scams durchgeführt.

Eine weitere zu beachtende Betrugsart sind versteckte Gebührenmodifikatoren, die Token‑Entwicklern erlauben, die bei Kauf und Verkauf eines Tokens erhobenen Gebühren zu ändern. Betrüger können diese Änderung vornehmen, um Nutzer dazu zu verleiten, unwissentlich eine viel höhere Gebühr zu zahlen als ursprünglich vereinbart. In einigen Fällen wurden Nutzer um 100 % des Betrags ihrer Transaktion betrogen. Um nicht Opfer dieser Betrugsart zu werden, sollten Sie die mit jedem Token‑Kauf oder -Verkauf verbundenen Gebühren genau prüfen.

Es gab 823 Fälle von versteckten Gebührenmodifikatoren, während die geringste Anzahl an Scams bei versteckten maximalen Transaktionsbetrags‑Modifikatoren festgestellt wurde, bei denen 40 Betrüger maximale Transaktionswerte von bis zu null festlegten.

Nun, bei der zweiten Art – dem weichen Rug Pull, auch als Exit‑Scam bekannt – bewirbt der Betrüger sein Token, um Investoren zu bestehlen. Er kann irreführende Marketing‑Websites und Roadmaps veröffentlichen, falsche Partnerschaften ankündigen oder Bots einsetzen, um Handelsaktivitäten zu simulieren.

Bevor sie den Rug Pull durchführen, können Exit‑Scammer eine irreführende Marketing‑Website erstellen, nicht existente Partnerschaften ankündigen, falsche Behauptungen über ihr Entwicklungsteam oder ihre Geldgeber aufstellen, Wash‑Trading betreiben, um das Volumen oder den Preis des Tokens künstlich zu erhöhen, sich Token‑Allokationen zuschreiben, die weit über das hinausgehen, was sie öffentlich besitzen, oder Social‑Media‑Bots einsetzen, um positive Stimmung über das Token auf Plattformen wie Twitter, Discord, Reddit oder Telegram zu spammen.

CEXs im Zentrum von Rug Pull‑Scams

Solidus Labs hat kürzlich Solidus Threat Intelligence eingeführt, ein Echtzeit‑Bedrohungserkennungstool, das AML‑Teams und anderen hilft, Smart‑Contract‑Scams zu erkennen, und das sich als eine der größten Herausforderungen für Decentralized Finance (DeFi) und Web3 erwiesen hat.

Die Tatsache, dass es mehrere Kryptowährungs‑Börsen, Krypto‑Wallets und sogar betrügerische Kryptowährungen selbst gibt, hilft dem Fall definitiv nicht. Was Sie wissen müssen, ist, dass es – wie in jeder anderen Online‑Branche – sicherlich einige schlechte Äpfel im Kryptowährungs‑Universum gibt.

Das bedeutet jedoch nicht, dass es nicht äußerst hilfreiche, benutzerfreundliche, legitime, sichere und geschützte Kryptowährungsplattformen und -börsen gibt. Leider lassen sich viele Menschen von Investitionen in Kryptowährungen abhalten, weil sie das Risiko fürchten, Opfer von Betrug und Scams zu werden.

Der Bericht zeigte, dass fast jede große Krypto‑Börse von Rug Pulls betroffen ist, wobei viele der Verantwortlichen hinter diesen Betrugstoken diese betrügerischen Token nutzen, um ihre Scam‑Projekte zu finanzieren und illegal erworbene Gewinne zu realisieren.

Rug Pulls haben sich auch nachteilig auf zentrale Börsen (CEXs) ausgewirkt, da viele der Verantwortlichen hinter diesen Betrugstoken sie nutzten, um ihr zweifelhaftes Projekt zu finanzieren und die illegal erworbenen Gewinne auszahlen zu lassen.

Die berüchtigte Implosion von FTX wurde als der größte einzelne Verlust benannt, den Online‑Investoren im Jahr 2022 erlitten haben, mit 10 Milliarden $ an Kundengeldern, die verloren gingen. Doch Solidus Labs stellte fest, dass Rug Pulls noch mehr Investoren schädigen als FTX oder jeder einzelne Zusammenbruch im Kryptobereich bis heute.

Es wird geschätzt, dass etwa 11 Milliarden $ an gestohlenem Ethereum (ETH) aus betrügerischen Token seit September 2020 über 153 zentrale Börsen (CEXs) geflossen sind, und die meisten Börsen werden von US‑Regulierungsbehörden überwacht. Nach den USA sind die Rechtsgebiete, die CeFi‑Börsen mit der größten Gesamtexposition überwachen, die Seychellen, die Bahamas, die Niederlande und Hongkong.

Dies trotz der Tatsache, dass diese Börsen gesetzlich verpflichtet sind, Maßnahmen zur Verhinderung von Geldwäsche zu ergreifen, was in jeder Rechtsordnung, in der sie tätig sind, ein Verbrechen darstellt. Darüber hinaus stehen Börsen in vielen Rechtsgebieten zusätzlichen regulatorischen Anforderungen in Bezug auf Anlegerschutz und die Verhinderung von Marktmissbrauch gegenüber.

„Dieses verborgene Diebstahlsphänomen deckt erhebliche Lücken im Verbraucherschutz, bei der Geldwäschebekämpfung und in der Integrität des Kryptomarktes auf“, heißt es im Bericht.