剖析以太坊上的庞氏骗局：识别、分析和影响

23.1 参考资料

Massimo Bartoletti、Salvatore Carta、Tiziana Cimoli、Roberto Saia，剖析以太坊上的庞氏骗局：识别、分析和影响，未来一代计算机系统，第 102 卷，2020 年，第 259-277 页，ISSN 0167-739X，

23.2 总结

庞氏骗局是以高额利润为诱饵引诱用户的金融诈骗。 在实践中，用户只能通过加入该计划的新用户的投资来偿还：因此，庞氏骗局在用户停止加入后很快就会崩溃。 Poncy 计划起源于 150 年前的线下世界，此后迁移到数字世界，首先接近网络，最近又笼罩在比特币等加密货币上。 像以太坊这样的智能合约平台为诈骗者提供了新的机会，他们现在有可能创造出“值得信赖”的欺诈手段，这仍然会让用户付出金钱，但至少可以保证“正确”的执行。 我们对以太坊庞氏骗局进行了全面调查，从多个角度分析了它们的行为及其影响。

23.3 技术介绍

为了构建庞氏骗局的数据集，我们首先检索在以太坊区块链上发布的合约的 Solidity 代码。 由于区块链只存储 EVM 字节码，为此我们依赖于区块链浏览器 Etherscan，它允许开发人员上传合约的 Solidity 代码并验证他们的编译是否与区块链上的 EVM 代码匹配。

通过手动检查这些合约的 Solidity 代码，我们检测到 138 个满足图 2 中所有要求的合约，因此可以归类为庞氏骗局。 由于此样本中的所有合同都相对较小（

表 23-1 以太币投资额排名前十的庞氏骗局。

我们执行第二个搜索阶段以扩大我们的收藏。 更具体地说，我们在以太坊区块链中搜索其字节码类似于我们初始集合中确定的某些庞氏骗局的合约。 这是通过以下步骤完成的：

我们使用蒙特卡罗算法来估计以太坊区块链上两个任意 EVM 合约之间的归一化编辑距离 (NLD)。 NLD 是两个字符串之间相似性的标准度量。 两个字符串之间的非标准化 Levenshtein 距离测量必须更改以更改第二个字符串中的第一个字符串的字符数（例如，“Ponzi”和“Banzai”之间的距离为 3）。 的归一化版本是一个度量，它的值是 0（完全相等）和 1（完全不等）范围内的实数。 经过这些计算，我们估计从区块链下载的两个任意 EVM 合约之间的 NLD 为 0.79。 我们计算初始样本中的合约与以太坊区块链上的所有合约之间的 NLD。 对于我们样本中的某些合约，我们认为 NLD 低于 0.35 的任何合约都是潜在的庞氏骗局。 0.35和0.79这两个值相距较远，保证了较低的误报率，即初始样本中NLD低于0.35的合约，但不是庞氏骗局。 该搜索产生了 0 个未包含在我们最初的 138 份合约中的潜在新庞氏骗局。 我们将在线的Solidity Decompiler 6应用到第二阶段找到的0合约的EVM字节码中，我们手动将得到的Solidity代码与第一阶段找到的对应庞氏骗局的代码进行对比。 在 46 个案例中，我们发现合同代码之间存在大量匹配，因此我们将这些合同添加到我们的集合中。

总之，我们最终得到了一个包含 184 个庞氏骗局的数据集，我们在 goo.gl/CvdxBp 上提供了这些数据集（见表 1）。 需要强调的是以太坊是骗局吗，我们的收藏并不包括历年公布报复的所有庞氏骗局。 例如，合约PonziUnlimited 7 明显是一个庞氏骗局，但其逻辑是否满足图2 的要求并不容易检测，因此我们不会将其收录。

图 23-2 将合约分类为庞氏骗局的标准

对于我们数据集中的每个庞氏骗局，我们从以太坊区块链收集其所有交易（外部和内部）。 更具体地说，对于每笔交易，我们记录以下数据： (i) 关闭区块的编号； (ii) 在区块链上发布的日期； (iii) 寄件人地址； (iv) 收件人地址； (v) 交易转移的以太币数量； (vi) 记录交易执行是否出错的布尔值； (vii) 一个布尔值，表示交易是外部的还是内部的。 我们为此目的开发的脚本使用了 Etherscan Ethereum Developer API，可以在 github.com/blockchain-unica/ethereum-ponzi 找到。

基于对已执行合约源代码的分析，我们设计了一个粗略的庞氏骗局分类法，根据用于重新分配货币的模式对其进行分类。 我们的分类法由四个类组成，其原型表示如图 23-3、图 23-4、图 23-5 和图 23-6 所示。 我们在下面讨论我们的分类法的类别。

树方案使用树数据结构来诱导用户之间的排序。 每当用户加入该计划时以太坊是骗局吗，她必须指定另一个用户作为邀请人，该用户将成为她的父母。 如果没有指定邀请人，父节点将是根节点，即方案的所有者。 在大多数方案中，用户选择要抵押的金额，并且该金额有下限。 新用户的钱在她的祖先之间分配，逻辑是最近的祖先，她的份额越大。 由于一个节点可以拥有的孩子数量没有限制，一个节点拥有的孩子（和后代）越多，它产生的钱就越多。

我们在图 23-3 中展示了这个原型解决方案。 要加入该计划，用户必须汇款，并且必须指明谁将成为其父母的邀请人。 如果数量太少（第 15 行），或者如果用户已经存在（第 16 行），或者如果邀请者不存在（第 17 行），则拒绝该用户； 否则她被插入到树中（第 19 行）。 一旦用户加入，她的投资就会在她的祖先之间共享（第 25-29 行），每个级别的金额减半。

在这个方案中，用户无法预见她会得到多少：这取决于她可以邀请多少用户，以及他们将投入多少。 唯一保证盈利的是所有者，即树的根节点。 此类方案的示例是 Etheramid 和 DynamicPyramid。

图 23-3 树状图

图 23-4 链式方案

链式方案是树状方案的一种特殊情况，其中树的每个节点只有一个子节点（因此，用户之间的排序是线性的）。 此类别中的场景通常将投资乘以对所有用户都相等的预定义常数因子。 该程序开始按到达顺序一次奖励一个用户，然后全部奖励：收集所有新投资，直到获得应有的金额。 在那一刻，合约一次性发回付款，然后将其转移给链中的下一个用户。 投资金额可以是固定的、自由的或有下限的。 通常，合同所有者会为每项投资收取费用。

我们在图 23-4 中展示了一个典型的链方案，它使每个用户的投资翻倍。 要加入该计划，用户向合约发送 msg.amount ETH，这会触发回退功能（第 14 行）。 合约要求最低费用为 1 ETH：如果 msg.amount 低于此最低金额，则拒绝用户（第 15 行）； 否则，将她的地址添加到数组中（第 17 行），并增加数组长度。 11 合同所有者保留 10% 的投资（第 22 行）。 使用剩余的资金，合约试图偿还以前的用户。 如果余额足以支付指数付费用户，则合约向用户支付她的投资乘以 2（第 25 行）。 之后，合约会尝试向下一个用户付款，依此类推，直到余额足够为止。

在该计划中，用户可以准确预测如果该计划继续运行，她将获得多少收益； 该金额与她投资的金额成正比。 这方面的例子有 Doubler、DianaEthereum 和 ZeroPonzi。

瀑布方案类似于用户订阅的链式方案，但货币分配的逻辑不同。 每一笔新的投资都被放入投资者链中，让每一位投资者都可以共享。 由于逻辑是先到先得，分发总是从链的开头开始，链中的用户可能永远不会收到任何钱。

我们在图 23-5 中展示了这种类型的原型方案，入场费为 1ETH（第 19 行）所有者费用的 10%（第 24 行），每轮支付用户投资的 6%。 支付逻辑从第 27 行开始。如果合约余额足以支付数组中的第一个用户（位置 pos = 0），合约将向该用户发送其原始投资的 6%（第 29-30 行）。 之后，合约将尝试支付数组中的下一个用户，依此类推，直到余额耗尽。 在后续投资中，数组再次迭代，仍然从第一个用户开始。

为确保所有用户都能收到付款（符合要求 R3），新用户投资必须与用户数量成比例增长。 此类方案的示例是 TreasureChest 和 PiggyBank。

移交计划是链式计划的一个实例，其中入场费由合同确定，并且每次新投资者加入该计划时都会增加。 新投资者的通行费全额支付给前一个投资者：随着入场费的增加，前一个投资者立即获利。 每时每刻，只有一个投资者收到钱，一旦她得到报酬，她就会将特权传递给下一个用户。

图 23-5 瀑布图

图 23-6 切换方案

一个典型的例子如图 23-6 所示。 要加入该计划，用户必须至少向合约发送 ETH 价格，从而触发该行的回退功能（第 11 行）。 合同将这笔金额转发给前用户，减去合同中保留的费用（第 13 行）。 然后，记录新用户的地址（第 14 行），价格翻倍（第 15 行）。 合约所有者可以通过调用 sweepCommission 撤回他们的股份。

在交接计划中，在投资时，用户确切地知道他们将赚取多少。 然而，随着计划的进行，费用增加，后来的用户更有可能赔钱（符合要求 R4）。 交接计划的一个示例代表是 KingOfTheEtherThrone。

23.4 本文的主要贡献

本文是对以太坊中庞氏骗局的首次全面调查，以太坊是目前最著名的智能合约平台。 我们构建了庞氏骗局的数据集，并从不同的角度对其进行了分析。 更具体地说，我们的贡献可以总结如下：

本文由南京大学软件学院2016级本科生高玉斌翻译。