一览十大链上Rug Pull项目:主要来自上个牛市
原文作者:Bankless
原文编译:Zen,PANews
如果你在 DeFi 领域已深耕多年,那么**会经历过了比想象中更多的**、黑客,这是我们在金融科技前沿互动时所承担的风险。
在 DeFi 的所有陷阱中,最让人刺痛的往往是 Rug Pulls。这些内部漏洞也被称为退出**,发生在项目内部人员利用用户信任窃取他们的资产时。它们通常通过潜入智能合约的恶意代码发生,允许开发人员耗尽这些合约或用户钱包。
本文将根据 DefiLlama 的链上 Rug Pulls 榜单,盘点近年来 10 个**的 Rug Pulls 项目。
Jay Pegs Auto Mart
损失金额: 310 万美元
日期: 2021 年 9 月 17 日
区块链:Ethereum
方法:存款地址被恶意替换
Sushiswap IDO 平台 Miso 的前端遭受攻击。 一个匿名承包商将恶意代码注入 Miso 前端,攻击者用自己的钱包地址来替换拍卖钱包,导致 864.8 ETH(约 307 万美元)被盗。遭受这次攻击的拍卖活动是 Jay Pegs Auto Mart 项目的 DONA **拍卖。随后,SushiSwap 团队立即修复了漏洞,并在追踪了攻击者并请求 FBI 介入后,所有资金很快就被归还。
Dragoma
损失金额: 350 万美元
日期: 2022 年 8 月 8 日
链:Polygon
方法: 抽逃出资
与曾爆火的 STEPN 相似,基于 Polygon 网络的 Dragoma 也是一款主打 move-to-earn 概念的链游,玩家可免费领取恐龙蛋,并在 40 天后孵化成 NFT 用于赚取收益,获得 DMA **等奖励。2022 年 8 月 8 日,Dragoma 疑似发生 Rug Pull,DMA 从 1.8 美元暴跌至 0.002 美元,跌幅 99.82% ,随后其官方推特账号也已显示“此账号不存在”。值得一提的是,DMA **在加密交易所 MEXC 上线还不到 24 小时,这次暴跌就发生了。
Magnate Finance
损失金额: 640 万美元
日期: 2023 年 8 月 25 日
链:Base
方法:合约漏洞
链上侦探 ZachXBT 在 2023 年 8 月 25 日发布警告,称 Base 生态借贷协议 Magnate Finance 或将在不久发生退出**,并表示 Magnate Finance 部署者地址与 Solfire 退出**有直接关联。不久之后,Base 生态借贷协议 Magnate Finance 的网站和社交平台开始无**常访问。其 Telegram 群组也被删除。ZachXBT 还表示,部署者链上地址也与 Kokomo Finance 退出**有联系。
据派盾发布的事件调查,称 Magnate Finance 通过直接操纵价格预言机进行了 Rug Pull,损失约 650 万美元。而据 Beosin Alert 监测显示,Magnate Finance 部署者地址与此前发生 Rug Pull 的 Solfire、 Kokomo Finance 有关。该**者共盗取 1670 万美元。
新的区块链网络就像是美国的狂野西部,谨慎行事,坚持审计和经过时间考验的协议,可帮助**风险。
Arbix Finance
损失金额: 1000 万美元
日期: 2022 年 1 月 4 日
链:BNB
方法: 合约漏洞
基于 BinanceSmartChain 的流动性挖矿协议 Arbix Finance 曾被宣传为“以低风险获得**收益”的方式,而 Arbix 则利用用户存款套利赚取收益。在 2022 年 1 月 4 日凌晨,大约 1000 万美元的用户资金被抽走,项目社交网站和网站也被关闭。不久之后,该团队向 PancakeSwap 注入了 450 万美元的 ARBX **,使其价格从 1.42 美元跌至零。
根据 CertiK 的事件分析,Arbix Finance 项目显示了太多的危险信号。ARBX 合约只有所有者功能的 mint(), 1000 万个 ARBX **被铸造到了 8 个地址。CertiK 还确认有 450 万个 ARBX 被铸造到一个地址,之后被转移。另一个危险信号是 1000 万美元的用户资金,这笔资金在存入后被定向到未经验证的池中,黑客**获得了所有访问权限,盗取了 1000 万美元资产。
Compounder Finance
损失金额: 1200 万美元
日期: 2020 年 12 月 2 日
链:Ethereum
方法: 合约漏洞
就在 DeFi 之夏繁荣过后的几个月,投资者情绪高涨,收益率也很高。一群匿名开发者开发的 Compounder Finance 吸引到了部分用户关注,它与无数其他希望进入流动性挖矿热潮的协议没有什么不同。让人吃惊的是,其用户被盗走超过 1200 万美元资金的罪魁祸首并非黑客,而是项目方本身。项目方在完成审计后在其代码库中添加了 7 个恶意策略合约,是一**质**恶劣的 DeFi 跑路事件。
区别在于,在经过审计后,它在联系人中加入了恶意后门程序。这个后门允许开发者窃取所有存入协议的用户资金——大约价值 1200 万美元。从那以后,审计实践不得不进行调整,不仅重新关注外部威胁,也重新关注内部威胁。该事件发生后,Rekt news 和@vasa_develop 分享了事件的详细过程。
Snowdog
损失金额: 1810 万美元
日期: 2021 年 11 月 25 日
链:Avalanche
方法:合约漏洞
Avalanche Rush 为生态系统带来了 1.8 亿美元的激励,将成群的加密爱好者引入了一条新的链,而当时又正是狗狗币火热之际,Avalanche 链上 Meme 项目 Snowdog 博得了许多关注,其更是号称以创造一种由协议拥有的流动性支持的储备货币为愿景。
此次事件是一场典型的“Rug Pull”。项目内部人员疑似利用对外隐藏的“challengeKey”,通过 Snowswap 在今日早上 6 点左右分两次大量抛售 SDOG Token,获利 1700 万美元,使 SDOG 价格在半小时内下跌 90% 。TechnoArtoria 指出,此前 Snowswap 的合约代码并未得到**审查,只有内部人员知道“challengeKey”的情况,并利用其进行巨额 Token 抛售。
StableMagnet
损失金额: 2700 万美元
日期: 2021 年 6 月 23 日
链:BNB Chain
方法:合约漏洞和用户钱包
DeFi 项目 StableMagnet 承诺稳定币的高回报,在推出“新颖的地毯方法”之前,吸引到了数千万的 TVL 投资。
此次问题并不是出在项目本身的智能合约中,而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library 中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。
事情发生后,该事件的受害者之一、DeFi 领域 KOL Ogle 以及社区调查组进行了地毯式搜索,**获得情报的英国警方顺利抓获了项目方成员,被捕的成员退还的资产总计约 2250 万美元。
Paid Network
损失金额: 2700 万美元
日期: 2021 年 3 月 5 日
链:Ethereum
方法:**铸造及抛售
去**化应用 Paid Network 旨在通过专有的 SMART 协议、社区管理的仲裁系统、声誉评分、DeFi 工具,为开展业务提供一种新方法。
北京时间 2021 年 3 月 6 日,PAID Network 官方发推称合约遭到黑客攻击,由于 PAID Network 项目使用的是可升级的存储代理合约模型,攻击者利用 PAID Network 代理合约 owner 权限部署了恶意逻辑合约,并盗取了超过 5900 万个 PAID **。
据了解,合同所有者可以自由地铸造额外**的漏洞,很早就被用户发现和指出,推特用户@WARONRUGS(已删除的帐户)就曾发推提及此漏洞。
Meerkat Finance
损失金额: 3200 万美元
日期: 2021 年 3 月 4 日
链:BNB Chain
方法:合约漏洞
币安 BSC 链上的 DeFi 项目 Meerkat Finance 在运营了一天之后,就获得了 1300 万 BUSD 和 7.3 万 BNB 的收益,时价约为 3100 万美元,随后这些资金就被项目方立刻卷走。
Meerkat Finance 最初声称这是一次黑客攻击,但随后该项目方删除了他们的账户
Meerkat Finance 部署者升级了该项目的 2 个金库。攻击者地址通过 Vault 代理调用无需许可初始化函数,有效地允许**人成为 Vault 所有者[ 2 ]。攻击者随后通过调用签名为0x 70 fcb 0 a 7 的函数来耗尽金库,该函数接受了一个**地址作为输入。升级为智能合约的反编译,显示了所调用函数的**用途是移除以所有者为受益人的资金。由于升级是 Meerkat Finance 部署者完成的,考虑到链上数据的所有方面,因此这次事件最有可能的情况是蓄意的跑路事件,而私钥泄露的可能性是非常小的。
AnubisDAO
损失金额: 6000 万美元
日期: 2021 年 10 月 29 日
链:Ethereum
方法:合约漏洞
在 Copper Launch 启动的 OHM 仿盘项目 AnubisDAO 上线一天后撤走流动性池,疑似卷款跑路,共逾 13556 枚 ETH 被转移至地址@0x 9 fc,价值约 5830 万美元。不久之后,该项目的 Twitter 账户停止了活动。
今年 3 月,AnubisDAO 攻击者(被标记为 AnubisDAO exploiter 3)的地址将 2500 枚 WETH 转移至“0x 0 D 19 ”开头地址,并通过 Tornado Cash 清洗了 2400 枚 ETH(约 376 万美元);5 月,**事件相关的 EOA 地址(0x a 570 d…)将约 3000 枚 ETH(约 590 万美元)转入 Tornado Cash。0
总结
这些令人沮丧的资金被盗数据背后,我们也可以看到积极的一面——在被调查的事件中,绝大多数资金损失事件发生在 2022 年之前。事实上,在这份前十名的榜单中, 2021 年损失的资金占到了总额的 84% 。
这教给我们什么?总的来说,审计公司已经从惨痛的教训中认识到,他们必须迅速适应以保持良好的声誉。此外,过去被攻击过的加密社区成员可以更快地深入代码,并以更高的命中率识别出可疑的团队。
在屡次出现 Rug Pulls 后,DeFi 的反脆弱性使其变得更加坚强,这意味着当它**在波动性、随机性、混乱和压力、风险和不确定性下时,反而能茁壮成长和壮大,并随着时间的推移**走向正确道路。是否会有一天,不知名的团队不再赚取不义之财?这当然不太现实。只要有利可图,坏人就会不断挑战底线,但我们发展的方向**是正确的。
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。