风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Bankless :盘点加密圈十大链上Rug Pull项目,主要来自上个牛市

在DeFi的所有陷阱中,最让人刺痛的往往是Rug Pulls。

563
563
热度 ...

原文来源:Bankless

原文标题:Top 10 Rug Pulls

原文作者:563

编译:Zen,PANews

如果你在DeFi领域已深耕多年,那么一定会经历过了比想象中更多的骗局、黑客,这是我们在金融科技前沿互动时所承担的风险。

在DeFi的所有陷阱中,最让人刺痛的往往是Rug Pulls。这些内部漏洞也被称为退出骗局,发生在项目内部人员利用用户信任窃取他们的资产时。它们通常通过潜入智能合约的恶意代码发生,允许开发人员耗尽这些合约或用户钱包。

本文将根据DefiLlama的链上Rug Pulls榜单,盘点近年来10个最大的Rug Pulls项目。

Jay Pegs Auto Mart

损失金额:310万美元

日期:2021年9月17日

区块链:Ethereum

方法:存款地址被恶意替换

Sushiswap IDO平台Miso的前端遭受攻击。 一个匿名承包商将恶意代码注入 Miso 前端,攻击者用自己的钱包地址来替换拍卖钱包,导致864.8 ETH(约 307 万美元)被盗。遭受这次攻击的拍卖活动是Jay Pegs Auto Mart 项目的 DONA 代币拍卖。随后,SushiSwap团队立即修复了漏洞,并在追踪了攻击者并请求FBI介入后,所有资金很快就被归还。

Dragoma

损失金额:350万美元

日期:2022年8月8日

链:Polygon

方法: 抽逃出资

与曾爆火的STEPN相似,基于Polygon网络的Dragoma也是一款主打move-to-earn概念的链游,玩家可免费领取恐龙蛋,并在40天后孵化成NFT用于赚取收益,获得DMA代币等奖励。2022年8月8日,Dragoma疑似发生Rug Pull,DMA从1.8美元暴跌至0.002美元,跌幅99.82%,随后其官方推特账号也已显示“此账号不存在”。值得一提的是,DMA代币在加密交易所MEXC上线还不到24小时,这次暴跌就发生了。

Magnate Finance

损失金额:640万美元

日期:2023年8月25日

链:Base

方法:合约漏洞

链上侦探ZachXBT在2023年8月25日发布警告,称Base生态借贷协议Magnate Finance或将在不久发生退出骗局,并表示Magnate Finance部署者地址与Solfire退出骗局有直接关联。不久之后,Base生态借贷协议Magnate Finance的网站和社交平台开始无法正常访问。其Telegram群组也被删除。ZachXBT还表示,部署者链上地址也与Kokomo Finance退出骗局有联系。

据派盾发布的事件调查,称Magnate Finance通过直接操纵价格预言机进行了Rug Pull,损失约650万美元。而据Beosin Alert 监测显示,Magnate Finance 部署者地址与此前发生 Rug Pull 的 Solfire、 Kokomo Finance 有关。该诈骗者共盗取 1670 万美元。

新的区块链网络就像是美国的狂野西部,谨慎行事,坚持审计和经过时间考验的协议,可帮助降低风险。

Arbix Finance

损失金额:1000万美元

日期:2022年1月4日

链:BNB

方法: 合约漏洞

基于Binance Smart Chain的流动性挖矿协议Arbix Finance曾被宣传为“以低风险获得最佳收益”的方式,而Arbix则利用用户存款套利赚取收益。在2022年1月4日凌晨,大约1000万美元的用户资金被抽走,项目社交网站和网站也被关闭。不久之后,该团队向PancakeSwap注入了450万美元的ARBX代币,使其价格从1.42美元跌至零。

根据CertiK的事件分析,Arbix Finance项目显示了太多的危险信号。ARBX合约只有所有者功能的mint(),1000万个ARBX代币被铸造到了8个地址。CertiK还确认有450万个ARBX被铸造到一个地址,之后被转移。另一个危险信号是1000万美元的用户资金,这笔资金在存入后被定向到未经验证的池中,黑客最终获得了所有访问权限,盗取了1000万美元资产。

Compounder Finance

损失金额:1200万美元

日期:2020年12月2日

链:Ethereum

方法: 合约漏洞

就在DeFi之夏繁荣过后的几个月,投资者情绪高涨,收益率也很高。一群匿名开发者开发的Compounder Finance吸引到了部分用户关注,它与无数其他希望进入流动性挖矿热潮的协议没有什么不同。让人吃惊的是,其用户被盗走超过1200万美元资金的罪魁祸首并非黑客,而是项目方本身。项目方在完成审计后在其代码库中添加了7个恶意策略合约,是一起性质十分恶劣的DeFi跑路事件。

区别在于,在经过审计后,它在联系人中加入了恶意后门程序。这个后门允许开发者窃取所有存入协议的用户资金——大约价值1200万美元。从那以后,审计实践不得不进行调整,不仅重新关注外部威胁,也重新关注内部威胁。该事件发生后,Rekt news和@vasa_develop分享了事件的详细过程。

Snowdog

损失金额:1810万美元

日期:2021年11月25日

链:Avalanche

关于【Bankless :盘点加密圈十大链上Rug Pull项目,主要来自上个牛市】的延伸阅读

  • DWF Ventures:Ton 生态全解析

    Notcoin和其他小程序在加密迷你应用程序时代广受欢迎,其中@ton_blockchain通过Telegram拥有强大的分销渠道。该平台类似于微信小游戏,用户可以轻松访问和互动。著名的点击赚钱游戏@thenotcoin已吸引了数千万用户,DeFi在过去两个月迅速崛起,@ton_blockchainDeFi TVL增长了13倍,超过4亿美元。领先的DEX包括@ston_fi和@dedust_io,流动质押平台@tonstakers和@bemo_finance表现突出,@Tether_to的合作伙伴关系扩展了@ton_blockchain上的USDT,并推动了Telegram上的支付。生态系统得到了@ton_starter启动平台和2.5亿美元的TON生态系统基金的支持。

  • 币安研究:5 月加密市场趋势报告摘要

    5月,加密货币市场总市值增长8.6%,DeFi市场TVL上涨21.7%,NFT市场总销售额下降41%。美国证券交易委员会批准现货ETH ETF,美国众议院通过《21世纪金融创新与技术法案》,推动市场上涨。排名前十的代币中,Solana表现最强劲,价格上涨33.9%,DeFi TVL上涨33.4%。但NFT市场大幅下滑,总销售额下降41%。

方法:合约漏洞

Avalanche Rush为生态系统带来了1.8亿美元的激励,将成群的加密爱好者引入了一条新的链,而当时又正是狗狗币火热之际,Avalanche 链上 Meme 项目 Snowdog博得了许多关注,其更是号称以创造一种由协议拥有的流动性支持的储备货币为愿景。

此次事件是一场典型的“Rug Pull”。项目内部人员疑似利用对外隐藏的“challengeKey”,通过 Snowswap 在今日早上 6 点左右分两次大量抛售 SDOG Token,获利 1700 万美元,使 SDOG 价格在半小时内下跌 90%。TechnoArtoria 指出,此前 Snowswap 的合约代码并未得到全面审查,只有内部人员知道“challengeKey”的情况,并利用其进行巨额 Token 抛售。

StableMagnet

损失金额:2700万美元

日期:2021年6月23日

链:BNB Chain

方法:合约漏洞和用户钱包

DeFi 项目StableMagnet承诺稳定币的高回报,在推出“新颖的地毯方法”之前,吸引到了数千万的TVL投资。

此次问题并不是出在项目本身的智能合约中,而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。

事情发生后,该事件的受害者之一、DeFi 领域KOL Ogle以及社区调查组进行了地毯式搜索,最终获得情报的英国警方顺利抓获了项目方成员,被捕的成员退还的资产总计约 2250 万美元。

Paid Network

损失金额:2700万美元

日期:2021年3月5日

链:Ethereum

方法:无限铸造及抛售

去中心化应用Paid Network旨在通过专有的 SMART 协议、社区管理的仲裁系统、声誉评分、DeFi 工具,为开展业务提供一种新方法。

北京时间2021年3月6日,PAID Network官方发推称合约遭到黑客攻击,由于PAID Network项目使用的是可升级的存储代理合约模型,攻击者利用PAID Network代理合约owner权限部署了恶意逻辑合约,并盗取了超过5900万个PAID代币。

据了解,合同所有者可以自由地铸造额外代币的漏洞,很早就被用户发现和指出,推特用户@WARONRUGS(已删除的帐户)就曾发推提及此漏洞。

Meerkat Finance

损失金额:3200万美元

日期:2021年3月4日

链:BNB Chain

方法:合约漏洞

币安BSC链上的DeFi项目Meerkat Finance在运营了一天之后,就获得了1300万BUSD和7.3万BNB的收益,时价约为3100万美元,随后这些资金就被项目方立刻卷走。

Meerkat Finance最初声称这是一次黑客攻击,但随后该项目方删除了他们的账户

Meerkat Finance部署者升级了该项目的2个金库。攻击者地址通过Vault代理调用无需许可初始化函数,有效地允许任何人成为Vault所有者[2]。攻击者随后通过调用签名为0x70fcb0a7的函数来耗尽金库,该函数接受了一个代币地址作为输入。升级为智能合约的反编译,显示了所调用函数的唯一用途是移除以所有者为受益人的资金。由于升级是Meerkat Finance部署者完成的,考虑到链上数据的所有方面,因此这次事件最有可能的情况是蓄意的跑路事件,而私钥泄露的可能性是非常小的。

AnubisDAO

损失金额:6000万美元

日期:2021年10月29日

链:Ethereum

方法:合约漏洞

在Copper Launch启动的OHM仿盘项目AnubisDAO上线一天后撤走流动性池,疑似卷款跑路,共逾13556枚ETH被转移至地址@0x9fc,价值约5830万美元。不久之后,该项目的Twitter账户停止了活动。

今年3月,AnubisDAO攻击者(被标记为AnubisDAO exploiter3)的地址将2500枚WETH转移至“0x0D19”开头地址,并通过Tornado Cash清洗了2400枚ETH(约376万美元);5月,骗局事件相关的EOA地址(0xa570d...)将约3000枚ETH(约590万美元)转入Tornado Cash。0

总结

这些令人沮丧的资金被盗数据背后,我们也可以看到积极的一面——在被调查的事件中,绝大多数资金损失事件发生在2022年之前。事实上,在这份前十名的榜单中,2021年损失的资金占到了总额的84%。

这教给我们什么?总的来说,审计公司已经从惨痛的教训中认识到,他们必须迅速适应以保持良好的声誉。此外,过去被攻击过的加密社区成员可以更快地深入代码,并以更高的命中率识别出可疑的团队。

在屡次出现Rug Pulls后,DeFi的反脆弱性使其变得更加坚强,这意味着当它暴露在波动性、随机性、混乱和压力、风险和不确定性下时,反而能茁壮成长和壮大,并随着时间的推移最终走向正确道路。是否会有一天,不知名的团队不再赚取不义之财?这当然不太现实。只要有利可图,坏人就会不断挑战底线,但我们发展的方向绝对是正确的。

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:563,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1695106211.html

下一篇:

详解订单流拍卖 (OFA):改变 MEV 格局的 5 个关键步骤

最高出价者获得胜利,以及相应的权利,以一种可以提取最大 MEV 的方式安排交易。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5