Cách Pauly Biến Pond0x Thành Một Chiêu Bẫy Phức Tạp Nhất Trong Crypto (Và Kiếm Được 450 ETH Từ Đó)

Cách thiết lập: Khi phí Gas chạm 400 Gwei

Mọi chuyện bắt đầu trong hỗn loạn. Sáng sớm ngày 29 tháng 7 năm 2023 - phí gas của Ethereum tăng vọt lên 360 gwei, rồi tiếp tục leo thang. Tắc nghẽn mạng lưới ở mức báo động. Có điều gì đó đang xảy ra, nhưng ngoài một số vòng tròn nhỏ trên Twitter về crypto thì chẳng ai hay.

Sau đó, một ảnh chụp màn hình bắt đầu lan truyền. Một người tên 0xSun đã đăng trong một nhóm WeChat: “Thật sự tôi không hiểu chuyện gì đang xảy ra. Tôi đã bỏ 1 ETH vào trang web này và tự nhiên cứ bán 44.5 ETH. Tôi cứ tiếp tục.”

Lợi nhuận 44.5 lần trên một memecoin trong vài giờ? Đó là lúc mọi người bắt đầu đào bới.

Mồi nhử: Một trang web không thực sự là một sàn swap

URL dẫn đến Pond0x, một dự án do Pauly - đúng vậy, người đó - ra mắt. Người nổi tiếng (infamous?) vì biến anti-BAYC thành một thương hiệu riêng.

Pauly đã tweet địa chỉ hợp đồng và trang web lúc 12:29 sáng:

Welcome To Pond0x • $PNDX Contract: 0x1d4214081985ad20aa3ca93a2206ae792635cbec

Các “degenerates” memecoin ngay lập tức đổ về. Nhưng điểm đặc biệt là: trang web không thực sự là một sàn swap. Nó giả dạng như vậy, nhưng bên dưới? Toàn mechanics farm thanh khoản.

Khi bạn nghĩ mình đang mua PNDX trên trang, thực ra bạn đang đổ ETH vào một farm thanh khoản PEPE LP. Bạn sẽ nhận được một ID (pool ID) và một hệ số nhân xác định phần của bạn. Dữ liệu trên chuỗi cho thấy “Mine Liquidity” chứ không phải “Transfer” - nếu biết cách để ý.

Cái bẫy: Chiến thuật chơi game ở mức cao nhất

Hãy phân tích xem Pauly đã làm gì:

Giai đoạn 1 - Người trong cuộc thắng: Những người chơi sớm như 0xSun, hiểu rõ mechanics, mua PNDX với giá cực thấp qua trang web. Họ in tiền.

Giai đoạn 2 - Trang web sập: Khi lượng truy cập tăng vọt, trang bị nghẽn và sập. Người đến sau không thể truy cập. Họ chỉ còn một lựa chọn: vào Uniswap và mua trực tiếp từ địa chỉ hợp đồng.

Giai đoạn 3 - Thảm họa: Những người mua muộn chỉ đang mua vào một biển áp lực bán từ các người chơi sớm. FOMO bị dập tắt bởi cung.

Pauly rõ ràng biết rằng phần lớn người dùng theo dõi địa chỉ hợp đồng qua Twitter thay vì kiểm tra trang web. Hắn đã “dựng” cái bẫy để hy sinh. Những người chơi thông minh sớm kiếm lời, người mua muộn bị đẩy vào làm “liquidation” (bán tháo).

Một nhà phân tích đã nói đúng: “Bản chất của một dự án xuất sắc không phải là làm cho tất cả mọi người đều kiếm tiền - mà là làm cho người dùng cốt lõi của bạn kiếm tiền.” Pauly hiểu rõ điều này.

Cú twist: Lỗ hổng mã code trở nên nguy hiểm

Nhưng câu chuyện chưa dừng lại ở đó. Vào lúc 12:57 sáng, @YazanXBT đăng thông báo rằng token PNDX bắt đầu biến mất khỏi ví người dùng. Nhiều người báo cáo tương tự - ví của họ bị rút sạch.

Các nhà nghiên cứu bảo mật phát hiện ra vấn đề: mã hợp đồng có lỗ hổng nghiêm trọng trong hàm chuyển khoản. Kẻ tấn công có thể thao túng tính toán gas để chuyển token của người khác. Thực chất, đó là một cánh cửa mở.

Chuyện sau đó là hỗn loạn. Người dùng bắt đầu khai thác lỗi để ăn cắp lẫn nhau. Phí gas lên tới hơn 400 gwei. Một cuộc “sập” toàn diện.

Trong khi đó, các địa chỉ của Pauly (realpond0xdev.eth & 0x36…40BC) đã rút lợi nhuận và rút lui. Dữ liệu trên chuỗi cho thấy họ đã rút hơn 450 ETH từ vụ việc này.

Pauly là ai thực sự?

Người này không xa lạ gì với việc gây rối. Dưới đây là lịch sử của hắn:

Chiến tranh BAYC: Khi Bored Ape Yacht Club bị vướng vào tranh cãi về hình ảnh phát xít (lời chỉ trích chính thống từ nhà nghiên cứu Ryder Ripps về biểu tượng khỉ/đại diện động vật), Pauly đứng về phía Ryder. Họ tạo ra RR/BAYC - một series phản biện BAYC. Thật ra, nó còn vượt qua cả volume của OpenSea. Yuga Labs đã kiện họ vì vi phạm bản quyền.

Không phải Larva Labs: Pauly thành lập dự án này như một lời phản đối trực diện CryptoPunks và Larva Labs. Khi CryptoPunks từ chối cấp phép CC0 và hạn chế sử dụng thương mại cho holder dưới 1 năm, Pauly phát hành CryptoPhunks - hình ảnh gần như giống hệt nhưng đảo ngược. Thông điệp về giấy phép: “Đã đến lúc NFT thực sự phải phi tập trung.”

yougetnothing.eth: Tháng 5, Pauly tạo địa chỉ ENS và kêu gọi cộng đồng gửi ETH mà không hứa hẹn gì. Mọi người đã gửi 600 ETH. Đó là một bình luận xã hội, một thử nghiệm - xem liệu người ta có sẵn lòng quyên góp nếu nghĩ rằng có thể nhận thưởng qua airdrop.

Câu hỏi thực sự

Pond0x có phải là lừa đảo? Là nghệ thuật? Là một cuộc thử nghiệm xã hội?

Có thể cả ba.

Pauly rõ ràng không quan tâm đến quy tắc truyền thống. Hắn thiết kế hệ thống để thưởng cho những ai đọc kỹ điều khoản, phạt những ai FOMO mù quáng. Hắn đang chạy các thử nghiệm liên tục về cơ chế khuyến khích trong crypto và hành vi con người.

Nhưng vấn đề là: dù bạn có nghĩ Pauly là thiên tài khi tạo ra vụ này, hắn vẫn chịu trách nhiệm về việc phát hành mã có lỗ hổng đã biết. Và những người dùng bình thường bị “rekt”? Ừ, việc nghiên cứu trước khi chơi là “tự rèn luyện” - nhưng cũng không thể đòi hỏi mọi người phải reverse-engineer hợp đồng thông minh trước khi mua.

Vụ Pond0x chính là tóm tắt của crypto: quy tắc không như vẻ bề ngoài, người đi trước in tiền, người đến sau bị thanh lý, và tất cả đều học chơi game lý thuyết chiến lược theo cách khó nhất.