原文作者:Bankless

编译:Zen,

如果你在DeFi领域已深耕多年,那么一定会经历过了比想象中更多的骗局、黑客,这是我们在金融科技前沿互动时所承担的风险。

在DeFi的所有陷阱中,最让人刺痛的往往是Rug Pulls。这些内部漏洞也被称为退出骗局,发生在项目内部人员利用用户信任窃取他们的资产时。它们通常通过潜入智能合约的恶意代码发生,允许开发人员耗尽这些合约或用户钱包。

本文将根据DefiLlama的链上Rug Pulls榜单,盘点近年来10个最大的Rug Pulls项目。

Jay Pegs Auto Mart

损失金额:310万美元

日期:2021年9月17日

区块链:Ethereum

方法:存款地址被恶意替换

Sushiswap IDO平台Miso的前端遭受攻击。 一个匿名承包商将恶意代码注入 Miso 前端,攻击者用自己的钱包地址来替换拍卖钱包,导致864.8 ETH(约 307 万美元)被盗。遭受这次攻击的拍卖活动是Jay Pegs Auto Mart 项目的 DONA 代币拍卖。随后,SushiSwap团队立即修复了漏洞,并在追踪了攻击者并请求FBI介入后,所有资金很快就被归还。

Dragoma

损失金额:350万美元

日期:2022年8月8日

链:Polygon

方法: 抽逃出资

与曾爆火的STEPN相似,基于Polygon网络的Dragoma也是一款主打move-to-earn概念的链游,玩家可免费领取恐龙蛋,并在40天后孵化成NFT用于赚取收益,获得DMA代币等奖励。2022年8月8日,Dragoma疑似发生Rug Pull,DMA从1.8美元暴跌至0.002美元,跌幅99.82%,随后其官方推特账号也已显示“此账号不存在”。值得一提的是,DMA代币在加密交易所MEXC上线还不到24小时,这次暴跌就发生了。

Magnate Finance

损失金额:640万美元

日期:2023年8月25日

链:Base

方法:合约漏洞

链上侦探ZachXBT在2023年8月25日发布警告,称Base生态借贷协议Magnate Finance或将在不久发生退出骗局,并表示Magnate Finance部署者地址与Solfire退出骗局有直接关联。不久之后,Base生态借贷协议Magnate Finance的网站和社交平台开始无法正常访问。其Telegram群组也被删除。ZachXBT还表示,部署者链上地址也与Kokomo Finance退出骗局有联系。

据派盾发布的事件调查,称Magnate Finance通过直接操纵价格预言机进行了Rug Pull,损失约650万美元。而据Beosin Alert 监测显示,Magnate Finance 部署者地址与此前发生 Rug Pull 的 Solfire、 Kokomo Finance 有关。该诈骗者共盗取 1670 万美元。

新的区块链网络就像是美国的狂野西部,谨慎行事,坚持审计和经过时间考验的协议,可帮助降低风险。

Arbix Finance

损失金额:1000万美元

日期:2022年1月4日

链:BNB

方法: 合约漏洞

基于Binance Smart Chain的流动性挖矿协议Arbix Finance曾被宣传为“以低风险获得最佳收益”的方式,而Arbix则利用用户存款套利赚取收益。在2022年1月4日凌晨,大约1000万美元的用户资金被抽走,项目社交网站和网站也被关闭。不久之后,该团队向PancakeSwap注入了450万美元的ARBX代币,使其价格从1.42美元跌至零。

根据CertiK的事件分析,Arbix Finance项目显示了太多的危险信号。ARBX合约只有所有者功能的mint(),1000万个ARBX代币被铸造到了8个地址。CertiK还确认有450万个ARBX被铸造到一个地址,之后被转移。另一个危险信号是1000万美元的用户资金,这笔资金在存入后被定向到未经验证的池中,黑客最终获得了所有访问权限,盗取了1000万美元资产。

Compounder Finance

损失金额:1200万美元

日期:2020年12月2日

链:Ethereum

方法: 合约漏洞

就在DeFi之夏繁荣过后的几个月,投资者情绪高涨,收益率也很高。一群匿名开发者开发的Compounder Finance吸引到了部分用户关注,它与无数其他希望进入流动性挖矿热潮的协议没有什么不同。让人吃惊的是,其用户被盗走超过1200万美元资金的罪魁祸首并非黑客,而是项目方本身。项目方在完成审计后在其代码库中添加了7个恶意策略合约,是一起性质十分恶劣的DeFi跑路事件。

区别在于,在经过审计后,它在联系人中加入了恶意后门程序。这个后门允许开发者窃取所有存入协议的用户资金——大约价值1200万美元。从那以后,审计实践不得不进行调整,不仅重新关注外部威胁,也重新关注内部威胁。该事件发生后,Rekt news和@vasa_develop分享了事件的详细过程。

Snowdog

损失金额:1810万美元

日期:2021年11月25日

链:Avalanche

方法:合约漏洞

Avalanche Rush为生态系统带来了1.8亿美元的激励,将成群的加密爱好者引入了一条新的链,而当时又正是狗狗币火热之际,Avalanche 链上 Meme 项目 Snowdog博得了许多关注,其更是号称以创造一种由协议拥有的流动性支持的储备货币为愿景。

此次事件是一场典型的“Rug Pull”。项目内部人员疑似利用对外隐藏的“challengeKey”,通过 Snowswap 在今日早上 6 点左右分两次大量抛售 SDOG Token,获利 1700 万美元,使 SDOG 价格在半小时内下跌 90%。TechnoArtoria 指出,此前 Snowswap 的合约代码并未得到全面审查,只有内部人员知道“challengeKey”的情况,并利用其进行巨额 Token 抛售。

StableMagnet

损失金额:2700万美元

日期:2021年6月23日

链:BNB Chain

方法:合约漏洞和用户钱包

DeFi 项目StableMagnet承诺稳定币的高回报,在推出“新颖的地毯方法”之前,吸引到了数千万的TVL投资。

此次问题并不是出在项目本身的智能合约中,而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。

事情发生后,该事件的受害者之一、DeFi 领域KOL Ogle以及社区调查组进行了地毯式搜索,最终获得情报的英国警方顺利抓获了项目方成员,被捕的成员退还的资产总计约 2250 万美元。

Paid Network

损失金额:2700万美元

日期:2021年3月5日

链:Ethereum

方法:无限铸造及抛售

去中心化应用Paid Network旨在通过专有的 SMART 协议、社区管理的仲裁系统、声誉评分、DeFi 工具,为开展业务提供一种新方法。

北京时间2021年3月6日,PAID Network官方发推称合约遭到黑客攻击,由于PAID Network项目使用的是可升级的存储代理合约模型,攻击者利用PAID Network代理合约owner权限部署了恶意逻辑合约,并盗取了超过5900万个PAID代币。

据了解,合同所有者可以自由地铸造额外代币的漏洞,很早就被用户发现和指出,推特用户@WARONRUGS(已删除的帐户)就曾发推提及此漏洞。

Meerkat Finance

损失金额:3200万美元

日期:2021年3月4日

链:BNB Chain

方法:合约漏洞

币安BSC链上的DeFi项目Meerkat Finance在运营了一天之后,就获得了1300万BUSD和7.3万BNB的收益,时价约为3100万美元,随后这些资金就被项目方立刻卷走。

Meerkat Finance最初声称这是一次黑客攻击,但随后该项目方删除了他们的账户

Meerkat Finance部署者升级了该项目的2个金库。攻击者地址通过Vault代理调用无需许可初始化函数,有效地允许任何人成为Vault所有者[2]。攻击者随后通过调用签名为0x70fcb0a7的函数来耗尽金库,该函数接受了一个代币地址作为输入。升级为智能合约的反编译,显示了所调用函数的唯一用途是移除以所有者为受益人的资金。由于升级是Meerkat Finance部署者完成的,考虑到链上数据的所有方面,因此这次事件最有可能的情况是蓄意的跑路事件,而私钥泄露的可能性是非常小的。

AnubisDAO

损失金额:6000万美元

日期:2021年10月29日

链:Ethereum

方法:合约漏洞

在Copper Launch启动的OHM仿盘项目AnubisDAO上线一天后撤走流动性池,疑似卷款跑路,共逾13556枚ETH被转移至地址@0x9fc,价值约5830万美元。不久之后,该项目的Twitter账户停止了活动。

今年3月,AnubisDAO攻击者(被标记为AnubisDAO exploiter3)的地址将2500枚WETH转移至“0x0D19”开头地址,并通过Tornado Cash清洗了2400枚ETH(约376万美元);5月,骗局事件相关的EOA地址(0xa570d...)将约3000枚ETH(约590万美元)转入Tornado Cash。0

总结

这些令人沮丧的资金被盗数据背后,我们也可以看到积极的一面——在被调查的事件中,绝大多数资金损失事件发生在2022年之前。事实上,在这份前十名的榜单中,2021年损失的资金占到了总额的84%。

这教给我们什么?总的来说,审计公司已经从惨痛的教训中认识到,他们必须迅速适应以保持良好的声誉。此外,过去被攻击过的加密社区成员可以更快地深入代码,并以更高的命中率识别出可疑的团队。

在屡次出现Rug Pulls后,DeFi的反脆弱性使其变得更加坚强,这意味着当它暴露在波动性、随机性、混乱和压力、风险和不确定性下时,反而能茁壮成长和壮大,并随着时间的推移最终走向正确道路。是否会有一天,不知名的团队不再赚取不义之财?这当然不太现实。只要有利可图,坏人就会不断挑战底线,但我们发展的方向绝对是正确的。