原文作者:Bankless
編譯:Zen,PANews
如果你在DeFi領域已深耕多年,那麼一定會經歷過了比想像中更多的騙局、駭客,這是我們在金融科技前沿互動時所承擔的風險。
在DeFi的所有陷阱中,最刺痛的往往是Rug Pulls。這些內部漏洞也被稱為退出騙局,發生在專案內部人員利用用戶信任竊取他們的資產時。它們通常透過潛入智能合約的惡意程式碼發生,允許開發人員耗盡這些合約或用戶錢包。
本文將根據DefiLlama的鏈上Rug Pulls名單,盤點近年來10個最大的Rug Pulls計畫。
Jay Pegs Auto Mart
損失金額:310萬美元
日期:2021年9月17日
區塊鏈:Ethereum
方法:存款地址被惡意替換
Sushiswap IDO平台Miso的前端遭受攻擊。一個匿名承包商將惡意程式碼注入Miso 前端,攻擊者用自己的錢包地址來替換拍賣錢包,導致864.8 ETH(約307 萬美元)被盜。遭受這次攻擊的拍賣活動是Jay Pegs Auto Mart 計畫的DONA 代幣拍賣。隨後,SushiSwap團隊立即修復了漏洞,並在追蹤了攻擊者並請求FBI介入後,所有資金很快就被歸還。
Dragoma
損失金額:350萬美元
日期:2022年8月8日
鏈:Polygon
方法: 抽逃出資
與曾經爆紅的STEPN相似,基於Polygon網路的Dragoma也是一款主打move-to-earn概念的鏈遊,玩家可免費領取恐龍蛋,並在40天後孵化成NFT用於賺取收益,獲得DMA代幣等獎勵。 2022年8月8日,Dragoma疑似發生Rug Pull,DMA從1.8美元暴跌至0.002美元,跌幅99.82%,隨後其官方推特帳號也已顯示「此帳號不存在」。值得一提的是,DMA代幣在加密交易所MEXC上線不到24小時,這次暴跌就發生了。
Magnate Finance
損失金額:640萬美元
日期:2023年8月25日
鏈:Base
方法:合約漏洞
鏈上偵探ZachXBT在2023年8月25日發布警告,表示Base生態借貸協議Magnate Finance或將在不久發生退出騙局,並表示Magnate Finance部署者地址與Solfire退出騙局有直接關聯。不久之後,Base生態借貸協議Magnate Finance的網站和社交平台開始無法正常使用。其Telegram群組也被刪除。 ZachXBT也表示,部署者鏈上地址也與Kokomo Finance退出騙局有聯繫。
根據派盾發布的事件調查,稱Magnate Finance透過直接操縱價格預言機進行了Rug Pull,損失約650萬美元。而根據Beosin Alert 監控顯示,Magnate Finance 部署者地址與先前發生Rug Pull 的Solfire、 Kokomo Finance 有關。該詐騙者共盜取1,670 萬美元。
新的區塊鏈網路就像是美國的狂野西部,謹慎行事,堅持審計和經過時間考驗的協議,可幫助降低風險。
Arbix Finance
損失金額:1000萬美元
日期:2022年1月4日
鏈:BNB
方法: 合約漏洞
基於Binance Smart Chain的流動性挖礦協議Arbix Finance曾被宣傳為「以低風險獲得最佳收益」的方式,而Arbix則利用用戶存款套利賺取收益。在2022年1月4日凌晨,大約1,000萬美元的用戶資金被抽走,計畫社交網站和網站也被關閉。不久之後,該團隊向PancakeSwap注入了450萬美元的ARBX代幣,使其價格從1.42美元跌至零。
根據CertiK的事件分析,Arbix Finance計畫顯示了太多的危險訊號。 ARBX合約只有所有者功能的mint(),1000萬個ARBX代幣被鑄造到了8個地址。 CertiK也確認有450萬個ARBX被鑄造到一個位址,之後被轉移。另一個危險信號是1000萬美元的用戶資金,這筆資金在存入後被定向到未經驗證的池中,駭客最終獲得了所有訪問權限,盜取了1000萬美元資產。
Compounder Finance
損失金額:1200萬美元
日期:2020年12月2日
鏈:Ethereum
方法: 合約漏洞
就在DeFi之夏繁榮過後的幾個月,投資人情緒高漲,殖利率也很高。一群匿名開發者開發的Compounder Finance吸引了部分用戶關注,它與無數其他希望進入流動性挖礦熱潮的協議沒有什麼不同。讓人吃驚的是,其用戶被盜走超過1,200萬美元資金的罪魁禍首並非駭客,而是專案方本身。專案方在完成審計後在其程式碼庫中添加了7個惡意策略合約,是一起性質十分惡劣的DeFi跑路事件。
差別在於,在經過審計後,它在聯絡人中加入了惡意後門程式。這個後門允許開發者竊取所有存入協議的用戶資金——大約價值1200萬美元。從那以後,審計實務不得不進行調整,不僅重新關注外部威脅,也重新關注內部威脅。該事件發生後,Rekt news和@vasa_develop分享了事件的詳細過程。
Snowdog
損失金額:1810萬美元
日期:2021年11月25日
鏈:Avalanche
方法:合約漏洞
Avalanche Rush為生態系統帶來了1.8億美元的激勵,將成群的加密愛好者引入了一條新的鏈,而當時又正是狗狗幣火熱之際,Avalanche 鏈上Meme 項目Snowdog博得了許多關注,其更是號稱以創造一種由協議擁有的流動性支持的儲備貨幣為願景。
此次事件是一場典型的「Rug Pull」。專案內部人員疑似利用對外隱藏的“challengeKey”,透過Snowswap 在今日早上6 點左右分兩次大量拋售SDOG Token,獲利1700 萬美元,使SDOG 價格在半小時內下跌90%。 TechnoArtoria 指出,先前Snowswap 的合約程式碼並未全面審查,只有內部人員知道「challengeKey」的情況,並利用其進行巨額Token 拋售。
StableMagnet
損失金額:2700萬美元
日期:2021年6月23日
鏈:BNB Chain
方法:合約漏洞和使用者錢包
DeFi 專案StableMagnet承諾穩定幣的高回報,在推出「新穎的地毯方法」之前,吸引了數千萬的TVL投資。
此次問題並非出在專案本身的智能合約中,而是在智能合約所呼叫的底層函數庫。項目方在底層函數庫SwapUtils Library中植入後門,因此不論專案本身的智慧合約程式碼是否安全、是否有時間鎖,專案方都可以直接利用底層函數的後門轉移資產。
事情發生後,該事件的受害者之一、DeFi 領域KOL Ogle以及社區調查組進行了地毯式搜索,最終獲得情報的英國警方順利抓獲了項目方成員,被捕的成員退還的資產總計約2250 萬美元。
Paid Network
損失金額:2700萬美元
日期:2021年3月5日
鏈:Ethereum
方法:無限鑄造及拋售
去中心化應用Paid Network旨在透過專有的SMART 協議、社群管理的仲裁系統、聲譽評分、DeFi 工具,為開展業務提供一種新方法。
北京時間2021年3月6日,PAID Network官方發推稱合約遭到駭客攻擊,由於PAID Network專案使用的是可升級的儲存代理合約模型,攻擊者利用PAID Network代理合約owner權限部署了惡意邏輯合約,並盜取了超過5900萬個PAID代幣。
據了解,合約所有者可以自由地鑄造額外代幣的漏洞,很早就被用戶發現和指出,推特用戶@WARONRUGS(已刪除的帳戶)就曾發推提及此漏洞。
Meerkat Finance
損失金額:3200萬美元
日期:2021年3月4日
鏈:BNB Chain
方法:合約漏洞
幣安BSC鏈上的DeFi專案Meerkat Finance在營運了一天之後,就獲得了1300萬BUSD和7.3萬BNB的收益,時價約為3100萬美元,隨後這些資金就被專案方立刻捲走。
Meerkat Finance最初聲稱這是一次駭客攻擊,但隨後該專案方刪除了他們的帳戶
Meerkat Finance部署者升級了此專案的2個金庫。攻擊者地址透過Vault代理呼叫無需許可初始化函數,有效地允許任何人成為Vault所有者[2]。攻擊者隨後透過呼叫簽名為0x70fcb0a7的函數來耗盡金庫,該函數接受了一個代幣位址作為輸入。升級為智能合約的反編譯,顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。由於升級是Meerkat Finance部署者完成的,考慮到鏈上資料的所有方面,因此這次事件最有可能的情況是蓄意的跑路事件,而私鑰洩漏的可能性是非常小的。
AnubisDAO
損失金額:6000萬美元
日期:2021年10月29日
鏈:Ethereum
方法:合約漏洞
在Copper Launch啟動的OHM仿盤計畫AnubisDAO上線一天後撤走流動性池,疑似捲款跑路,共逾13556枚ETH被轉移至地址@0x9fc,價值約5830萬美元。不久之後,該專案的Twitter帳戶停止了活動。
今年3月,AnubisDAO攻擊者(被標記為AnubisDAO exploiter3)的地址將2500枚WETH轉移至“0x0D19”開頭地址,並通過Tornado Cash清洗了2400枚ETH(約376萬美元);5月,騙局事件相關的EOA地址(0xa570d…)將約3000枚ETH(約590萬美元)轉入Tornado Cash。 0
總結
這些令人沮喪的資金被盜資料背後,我們也可以看到正面的一面——在被調查的事件中,絕大多數資金損失事件發生在2022年之前。事實上,在這份前十名的榜單中,2021年損失的資金占到了總額的84%。
這教給我們什麼?總的來說,審計公司已經從慘痛的教訓中認識到,他們必須迅速適應以保持良好的聲譽。此外,過去被攻擊過的加密社群成員可以更快地深入程式碼,並以更高的命中率識別出可疑的團隊。
在多次出現Rug Pulls後,DeFi的反脆弱性使其變得更加堅強,這意味著當它暴露在波動性、隨機性、混亂和壓力、風險和不確定性下時,反而能茁壯成長和壯大,並隨著時間的推移最終走向正確道路。是否會有一天,不知名的團隊不再賺取不義之財?這當然不太現實。只要有利可圖,壞人就會不斷挑戰底線,但我們發展的方向絕對是正確的。
