dark

​如何發現DeFi中潛在的rug pull

2021-10-25

如果你是一名DeFi投資者,世界上最痛苦的感覺之一就是經歷被稱為“rug pull”的事情,rug pull通常指項目的開發者放棄項目,帶著資金逃跑。

它可以以多種方式發生,例如,當開發者啟動初始流動性,推高價格,然後撤回流動性,阻止持有者退出其頭寸。另一種常見的方法是推出一個網站,但在吸引了數十萬存款後關閉。

根據Ciphertrace的數據,在2020年下半年,近99%的重大欺詐和侵吞資金量都是由執行rug pull和退出騙局的DeFi協議造成的。

2020年DeFi rug pull的著名例子包括:

  • 呂財經

  • 翡翠礦

  • Yfdexf.Finance

  • 創世記

  • 獨角獸

  • Compounder.Finance

在我們的投資歷史中,我們已經被欺騙了兩次,我們完全理解辛苦賺來的錢被詐騙者奪走的感覺。

在這篇文章中,我們試圖幫助你們在DeFi中確定方向並潛在發現rug pull的跡象。

未經驗證的智能合約代碼

智能合約通常開放給任何人驗證,以便公眾可以查看代碼的功能,並對任何可疑功能進行審計。

將未經驗證的代碼部署到區塊鏈上意味著沒有人可以查看代碼中所寫的內容。惡意行為者可以隨時執行惡意代碼,並在未經你允許的情況下,將鎖定在智能合約中的資金轉移到其他地址。

未驗證合約的例子

倉促的開發和推出

大多數合法的項目都要花好幾個月的時間來計劃、推廣和推出。如果你發現有證據表明一個項目在倉促開發和推出,它應該立即引起注意。

例如,許多Uniswap的克隆項目只是分叉Uniswap代碼庫,並對前端界面進行快速更改,同時留下大量未完成的工作。這些都是潛在rug的跡象。

在Wineswap詐騙用戶34.4萬美元的案例中,開發者並沒有費心更改合約中的代幣名稱,而只是使用了Sushiswap的。

例如,許多分叉項目並沒有提供任何獨特的優勢或功能,相反,它們只是對流行項目進行簡單的UI調整,並將自己重新包裝為一個合法的項目,這使得它們極有可能執行rug-pull。

WaveSwap,一個類似於Pancakeswap的前端

偽造社交媒體活動

社交媒體活動可以通過機器人和自動化軟件來偽造。這些自動機器人可以在參與空投活動的同時大規模地點贊、轉發、評論和分享帖子。

虛假社交媒體賬戶的例子看起來很明顯,這些賬戶除了點贊或轉發推廣帖子和內容外,幾乎沒有任何活動。

可能的機器人賬戶

當接近一個DeFi協議時,查看它的社交媒體賬戶——Twitter, Telegram, Discord是否有機器人活動。用戶和參與者是合法的,還是偽裝成用戶的機器人?

未經審計或由未知審計公司審計

由於DeFi協議與DeFi的其他部分相互連接,並且可能持有數百萬或數十億美元的客戶資金,因此審計在對智能合約質量提出第二意見方面發揮著關鍵作用。

然而,審計並不是萬無一失的,許多協議都遭到了黑客攻擊,儘管它們是由聲譽良好的公司審計的。

安全的第一層是讓有信譽的審計公司審計智能合約。在我們看來,有信譽的審計公司包括PeckShield, Trail of Bits, Quantstamp和Slowmist。

審核公司將審查項目的代碼庫,並根據其嚴重程度發現可能需要修復的問題。審計結束後,可以公佈審計報告。

檢查代碼的審計示例

依賴信譽較差的審計公司可能會給用戶資金帶來巨大風險,因為他們可能會降低審計質量,或者可能沒有審計複雜智能合約的重要經驗。一些項目可能會僱傭多個審計師來審計智能合約代碼,以確定協議的信任度。

使用像DeFi Safety這樣的第三方審查平台也可以幫助減輕對代碼質量、團隊、測試程序、安全程序和訪問控制等多個因素的擔憂。

DeFi 安全

沒有時間鎖或多重簽名

智能合約通常可以升級,或者有管理員調用的功能,通常是部署合約的地址。

這些功能可以包括在AMM的情況下創建新的流動性池或更改協議參數,如提款費用。

時間鎖通常是一段代碼,它將智能合約的更改排在基於時間的託管後面,本質上是鎖定智能合約的功能,直到預先定義的時間段過去。

例如,如果合約有48小時的時間鎖,那麼通過智能合約進行的任何更改都必須排隊,並且只能在48小時之後執行。

時間鎖為用戶提供了足夠的時間來對智能合約更改做出反應,如果他們反對特定的更改,他們可以在更改執行之前從協議中提取資金。

Pancakeswap使用6小時的時間鎖給用戶一些時間來對協議更改做出反應。

如果沒有時間鎖,智能合約管理員或治理者可以立即提交惡意交易並破壞整個協議。

一些項目可能使用多重簽名代替時間鎖來執行對協議的更改。在多重簽名的情況下,需要一個交易有多個簽名才能執行,交易可能被設置為發送到鏈上之前由大多數簽名者授權。

許多協議使用多重簽名來控制參數。例如,Curve是yEarn Finance的治理多重簽名的共同簽名者,它管理新YFI代幣的鑄造。

如果一個項目沒有這些條件,那麼請保持高度謹慎,因為開發者可以完全控制你的存款,並且隨意提取或轉移它們。

一個新項目可以通過多種方法騙取你的資金,以上的方法絕不是保護辛苦賺來的錢的全部方法。

事實上,如果你覺得某件事好得令人難以置信,或者從直覺上感覺很可疑,那就避免它。沒有理由為了貪心多賺幾美元而拿你所有的資金去冒險。

DeFi可能是一個危險的領域,因為它是一個不受監管的領域,每一步都有很多惡意行為者試圖欺騙你——從社會工程到試圖讓你交出你的助記詞。

編者註:原文標題為《How to spot a potential rug pull in DeFi》,本文標題已根據傳播渠道閱讀性進行修改。

文:Stakingbits

Total
0
Shares
Share 0
Tweet 0
Share 0
Related Posts