如果你在 DeFi 领域已深耕多年,那么一定会经历过了比想象中更多的骗局、黑客,这是我们在金融科技前沿互动时所承担的风险。
在 DeFi 的所有陷阱中,最让人刺痛的往往是 Rug Pulls。这些内部漏洞也被称为退出骗局,发生在项目内部人员利用用户信任窃取他们的资产时。它们通常通过潜入智能合约的恶意代码发生,允许开发人员耗尽这些合约或用户钱包。
本文将根据 DefiLlama 的链上 Rug Pulls 榜单,盘点近年来 10 个最大的 Rug Pulls 项目。
Jay Pegs Auto Mart
损失金额:310 万美元
日期:2021 年 9 月 17 日
区块链:Ethereum
方法:存款地址被恶意替换
Sushiswap IDO 平台 Miso 的前端遭受攻击。 一个匿名承包商将恶意代码注入 Miso 前端,攻击者用自己的钱包地址来替换拍卖钱包,导致 864.8 ETH(约 307 万美元)被盗。遭受这次攻击的拍卖活动是 Jay Pegs Auto Mart 项目的 DONA 代币拍卖。随后,SushiSwap 团队立即修复了漏洞,并在追踪了攻击者并请求 FBI 介入后,所有资金很快就被归还。
Dragoma
损失金额:350 万美元
日期:2022 年 8 月 8 日
链:Polygon
方法: 抽逃出资
与曾爆火的 STEPN 相似,基于 Polygon 网络的 Dragoma 也是一款主打 move-to-earn 概念的链游,玩家可免费领取恐龙蛋,并在 40 天后孵化成 NFT 用于赚取收益,获得 DMA 代币等奖励。2022 年 8 月 8 日,Dragoma 疑似发生 Rug Pull,DMA 从 1.8 美元暴跌至 0.002 美元,跌幅 99.82%,随后其官方推特账号也已显示「此账号不存在」。值得一提的是,DMA 代币在加密交易所 MEXC 上线还不到 24 小时,这次暴跌就发生了。
Magnate Finance
损失金额:640 万美元
日期:2023 年 8 月 25 日
链:Base
方法:合约漏洞
链上侦探 ZachXBT 在 2023 年 8 月 25 日发布警告,称 Base 生态借贷协议 Magnate Finance 或将在不久发生退出骗局,并表示 Magnate Finance 部署者地址与 Solfire 退出骗局有直接关联。不久之后,Base 生态借贷协议 Magnate Finance 的网站和社交平台开始无法正常访问。其 Telegram 群组也被删除。ZachXBT 还表示,部署者链上地址也与 Kokomo Finance 退出骗局有联系。
据派盾发布的事件调查,称 Magnate Finance 通过直接操纵价格预言机进行了 Rug Pull,损失约 650 万美元。而据 Beosin Alert 监测显示,Magnate Finance 部署者地址与此前发生 Rug Pull 的 Solfire、 Kokomo Finance 有关。该诈骗者共盗取 1670 万美元。
新的区块链网络就像是美国的狂野西部,谨慎行事,坚持审计和经过时间考验的协议,可帮助降低风险。
Arbix Finance
损失金额:1000 万美元
日期:2022 年 1 月 4 日
链:BNB
方法: 合约漏洞
基于 Binance Smart Chain 的流动性挖矿协议 Arbix Finance 曾被宣传为「以低风险获得最佳收益」的方式,而 Arbix 则利用用户存款套利赚取收益。在 2022 年 1 月 4 日凌晨,大约 1000 万美元的用户资金被抽走,项目社交网站和网站也被关闭。不久之后,该团队向 PancakeSwap 注入了 450 万美元的 ARBX 代币,使其价格从 1.42 美元跌至零。
根据 CertiK 的事件分析,Arbix Finance 项目显示了太多的危险信号。ARBX 合约只有所有者功能的 mint(),1000 万个 ARBX 代币被铸造到了 8 个地址。CertiK 还确认有 450 万个 ARBX 被铸造到一个地址,之后被转移。另一个危险信号是 1000 万美元的用户资金,这笔资金在存入后被定向到未经验证的池中,黑客最终获得了所有访问权限,盗取了 1000 万美元资产。
Compounder Finance
损失金额:1200 万美元
日期:2020 年 12 月 2 日
链:Ethereum
方法: 合约漏洞
就在 DeFi 之夏繁荣过后的几个月,投资者情绪高涨,收益率也很高。一群匿名开发者开发的 Compounder Finance 吸引到了部分用户关注,它与无数其他希望进入流动性挖矿热潮的协议没有什么不同。让人吃惊的是,其用户被盗走超过 1200 万美元资金的罪魁祸首并非黑客,而是项目方本身。项目方在完成审计后在其代码库中添加了 7 个恶意策略合约,是一起性质十分恶劣的 DeFi 跑路事件。
区别在于,在经过审计后,它在联系人中加入了恶意后门程序。这个后门允许开发者窃取所有存入协议的用户资金——大约价值 1200 万美元。从那以后,审计实践不得不进行调整,不仅重新关注外部威胁,也重新关注内部威胁。该事件发生后,Rekt news 和@vasa_develop 分享了事件的详细过程。
Snowdog
损失金额:1810 万美元
日期:2021 年 11 月 25 日
链:Avalanche
方法:合约漏洞
Avalanche Rush 为生态系统带来了 1.8 亿美元的激励,将成群的加密爱好者引入了一条新的链,而当时又正是狗狗币火热之际,Avalanche 链上 Meme 项目 Snowdog 博得了许多关注,其更是号称以创造一种由协议拥有的流动性支持的储备货币为愿景。
此次事件是一场典型的「Rug Pull」。项目内部人员疑似利用对外隐藏的「challengeKey」,通过 Snowswap 在今日早上 6 点左右分两次大量抛售 SDOG Token,获利 1700 万美元,使 SDOG 价格在半小时内下跌 90%。TechnoArtoria 指出,此前 Snowswap 的合约代码并未得到全面审查,只有内部人员知道「challengeKey」的情况,并利用其进行巨额 Token 抛售。
StableMagnet
损失金额:2700 万美元
日期:2021 年 6 月 23 日
链:BNB Chain
方法:合约漏洞和用户钱包
DeFi 项目 StableMagnet 承诺稳定币的高回报,在推出「新颖的地毯方法」之前,吸引到了数千万的 TVL 投资。
此次问题并不是出在项目本身的智能合约中,而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library 中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。
事情发生后,该事件的受害者之一、DeFi 领域 KOL Ogle 以及社区调查组进行了地毯式搜索,最终获得情报的英国警方顺利抓获了项目方成员,被捕的成员退还的资产总计约 2250 万美元。
Paid Network
损失金额:2700 万美元
日期:2021 年 3 月 5 日
链:Ethereum
方法:无限铸造及抛售
去中心化应用 Paid Network 旨在通过专有的 SMART 协议、社区管理的仲裁系统、声誉评分、DeFi 工具,为开展业务提供一种新方法。
北京时间 2021 年 3 月 6 日,PAID Network 官方发推称合约遭到黑客攻击,由于 PAID Network 项目使用的是可升级的存储代理合约模型,攻击者利用 PAID Network 代理合约 owner 权限部署了恶意逻辑合约,并盗取了超过 5900 万个 PAID 代币。
据了解,合同所有者可以自由地铸造额外代币的漏洞,很早就被用户发现和指出,推特用户@WARONRUGS( 已删除的帐户 ) 就曾发推提及此漏洞。
Meerkat Finance
损失金额:3200 万美元
日期:2021 年 3 月 4 日
链:BNB Chain
方法:合约漏洞
币安 BSC 链上的 DeFi 项目 Meerkat Finance 在运营了一天之后,就获得了 1300 万 BUSD 和 7.3 万 BNB 的收益,时价约为 3100 万美元,随后这些资金就被项目方立刻卷走。
Meerkat Finance 最初声称这是一次黑客攻击,但随后该项目方删除了他们的账户
Meerkat Finance 部署者升级了该项目的 2 个金库。攻击者地址通过 Vault 代理调用无需许可初始化函数,有效地允许任何人成为 Vault 所有者[2]。攻击者随后通过调用签名为 0x70fcb0a7 的函数来耗尽金库,该函数接受了一个代币地址作为输入。升级为智能合约的反编译,显示了所调用函数的唯一用途是移除以所有者为受益人的资金。由于升级是 Meerkat Finance 部署者完成的,考虑到链上数据的所有方面,因此这次事件最有可能的情况是蓄意的跑路事件,而私钥泄露的可能性是非常小的。
AnubisDAO
损失金额:6000 万美元
日期:2021 年 10 月 29 日
链:Ethereum
方法:合约漏洞
在 Copper Launch 启动的 OHM 仿盘项目 AnubisDAO 上线一天后撤走流动性池,疑似卷款跑路,共逾 13556 枚 ETH 被转移至地址@0x9fc,价值约 5830 万美元。不久之后,该项目的 Twitter 账户停止了活动。
今年 3 月,AnubisDAO 攻击者(被标记为 AnubisDAO exploiter3)的地址将 2500 枚 WETH 转移至「0x0D19」开头地址,并通过 Tornado Cash 清洗了 2400 枚 ETH(约 376 万美元);5 月,骗局事件相关的 EOA 地址(0xa570d…)将约 3000 枚 ETH(约 590 万美元)转入 Tornado Cash。0
总结
这些令人沮丧的资金被盗数据背后,我们也可以看到积极的一面——在被调查的事件中,绝大多数资金损失事件发生在 2022 年之前。事实上,在这份前十名的榜单中,2021 年损失的资金占到了总额的 84%。
这教给我们什么?总的来说,审计公司已经从惨痛的教训中认识到,他们必须迅速适应以保持良好的声誉。此外,过去被攻击过的加密社区成员可以更快地深入代码,并以更高的命中率识别出可疑的团队。
在屡次出现 Rug Pulls 后,DeFi 的反脆弱性使其变得更加坚强,这意味着当它暴露在波动性、随机性、混乱和压力、风险和不确定性下时,反而能茁壮成长和壮大,并随着时间的推移最终走向正确道路。是否会有一天,不知名的团队不再赚取不义之财?这当然不太现实。只要有利可图,坏人就会不断挑战底线,但我们发展的方向绝对是正确的。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
