オンチェーン Rug Pull プロジェクトのトップ 10 を概観: 主に前回の強気市場から
原作者:Bankless
元の編集: Zen、PANews
DeFi分野に長年携わっている人であれば、想像以上に多くの詐欺やハッカーを経験しているはずですが、これが金融テクノロジーの最前線で私たちがとるリスクです。
DeFiのすべての罠の中で、最も刺さるのはラグプルであることがよくあります。出口詐欺としても知られるこれらのインサイダー脆弱性は、プロジェクトの内部関係者がユーザーの信頼を利用して資産を盗むときに発生します。多くの場合、悪意のあるコードがスマート コントラクトに侵入することで発生し、開発者がそれらのコントラクトやユーザー ウォレットを使い果たすことを可能にします。
この記事では、DefiLlama のオンチェーン ラグ プル リストに基づいて、近年の 10 件の最大のラグ プル プロジェクトを取り上げます。
Jay Pegs Auto Mart
損失額:310万ドル
日付:2021年9月17日
ブロックチェーン:イーサリアム
方法: 入金アドレスが悪意を持って置き換えられました
Sushiswap IDO プラットフォーム Miss のフロントエンドが攻撃されました。匿名の請負業者が、Miso フロントエンドに悪意のあるコードを注入し、攻撃者はオークション ウォレットを自分のウォレット アドレスに置き換え、その結果、8 億 64.8 ETH (約 307 万ドル) が盗難されました。この攻撃を受けたオークションは、Jay Pegs Auto Mart プロジェクトの DONA トークン オークションでした。 SushiSwap チームはすぐに脆弱性を修正し、攻撃者を追跡して FBI の介入を要請した後、すべての資金はすぐに返還されました。
Dragoma
損失額:350万ドル
日付: 2022 年 8 月 8 日
チェーン: ポリゴン
方法: 資本を引き出す
かつて人気だった STEPN と同様に、Polygon ネットワークに基づく Dragoma も、移動して獲得するコンセプトに焦点を当てたチェーン ゲームです。プレイヤーは恐竜の卵を無料で受け取り、40 日後に孵化させて NFT を生成し、収入を獲得して DMA を取得できます。トークン、コインおよびその他の報酬。 2022年8月8日、ドラゴマ社にラグプル疑惑が浮上し、DMAが1.8ドルから0.002ドルに99.82%急落、その後、公式Twitterアカウントにも「このアカウントは存在しません」と表示された。この急落は、DMA トークンが暗号通貨取引所 MEXC に上場されてから 24 時間も経たないうちに発生したことは言及する価値があります。
Magnate Finance
損失額:640万ドル
日付: 2023 年 8 月 25 日
チェーン:ベース
方法: 契約の脆弱性
オンチェーン探偵の ZachXBT は、2023 年 8 月 25 日に警告を発し、Base のエコロジー融資プロトコルである Magnate Finance ですぐに出口詐欺が発生する可能性があると述べ、Magnate Finance の展開者のアドレスが Solfire 出口詐欺に直接関連していると述べました。その直後、Base のエコロジー融資プロトコル Magnate Finance の Web サイトとソーシャル プラットフォームにアクセスできなくなりました。 Telegram グループも削除されました。 ZachXBTはまた、デプロイヤーのオンチェーンアドレスもココモファイナンスの出口詐欺にリンクされていると述べた。
Paidun が発表した事件調査によると、Magnate Finance は価格オラクルを直接操作することで不正行為を行い、その結果約 650 万米ドルの損失が発生しました。 Beosin Alert の監視によると、Magnate Finance の展開者のアドレスは、以前に Rug Pull が発生した Solfire と Kokomo Finance に関連しています。詐欺師は総額1670万ドルを盗んだ。
新しいブロックチェーン ネットワークはアメリカの西部開拓時代のようなものであり、慎重に行動し、監査と実績のあるプロトコルを遵守することがリスクを軽減するのに役立ちます。
Arbix Finance
損失額:1,000万ドル
日付: 2022 年 1 月 4 日
チェーン:BNB
方法: 契約の脆弱性
Binance Smart Chain に基づく流動性マイニング プロトコルである Arbix Finance は、かつて「低リスクで最高の収益を得る」方法として宣伝されており、Arbix はユーザーの預金裁定取引を利用して収入を得ていました。 2022年1月4日早朝、ユーザー資金約1000万ドルが吸い上げられ、プロジェクトのソーシャルネットワークとウェブサイトが閉鎖された。その直後、チームは 450 万ドルの ARBX トークンを PancakeSwap に注入し、価格が 1.42 ドルからゼロに下落しました。
CertiK のイベント分析によると、Arbix Finance プロジェクトには危険信号が多すぎます。 ARBX コントラクトにはオーナー関数 mint() のみがあり、1,000 万個の ARBX トークンが 8 つのアドレスに鋳造されました。 CertiK はまた、450 万個の ARBX が特定の住所に鋳造され、その後転送されたことを確認しました。もう 1 つの危険信号は、1,000 万ドルのユーザー資金が入金された後に未確認のプールに送られ、最終的にハッカーがフルアクセスを取得して 1,000 万ドルの資産を盗んだことです。
Compounder Finance
損失額:1200万ドル
日付:2020年12月2日
チェーン:イーサリアム
方法: 契約の脆弱性
DeFiサマーブームからわずか数か月後、投資家心理は高まり、利回りも高くなっています。匿名の開発者のグループによって開発された Compounder Finance は、一部のユーザーの注目を集めており、流動性マイニング ブームへの参入を望んでいる他の無数のプロトコルと何ら変わりはありません。驚くべきことに、ユーザーから 1,200 万ドル以上の資金が盗まれた犯人はハッカーではなく、プロジェクトそのものでした。監査完了後、プロジェクトチームはコードベースに7つの悪意のある戦略コントラクトを追加しましたが、これは非常に悪質なDeFi脱出インシデントでした。
違いは、監査後に連絡先に悪意のあるバックドアが追加されたことです。このバックドアにより、開発者はプロトコルに預けられたすべてのユーザー資金 (約 1,200 万ドル相当) を盗むことができました。それ以来、監査の実践は外部の脅威だけでなく内部の脅威にも適応し、再度焦点を当てる必要がありました。事件後、Rekt news と @vasa_develop が事件の詳細を共有しました。
Snowdog
損失額:1,810万ドル
日付:2021年11月25日
チェーン:アバランチ
方法: 契約の脆弱性
Avalanche Rush はエコシステムに 1 億 8,000 万ドルのインセンティブをもたらし、多くの暗号通貨愛好家を新しいチェーンに紹介しました。Dogecoin が流行していた当時、Avalanche チェーン上のミーム プロジェクト Snowdog は多くの注目を集めました。プロトコルが所有する流動性を裏付けとした準備通貨を作成するというビジョン。
この事件は典型的な「敷物引き事件」だった。プロジェクト内部関係者は、外部から隠蔽された「challengeKey」を使用して今朝午前6時ごろ、Snowswapを通じてSDOGトークンを2回に分けて大量に販売し、1,700万米ドルの利益を得てSDOG価格を90%下落させた疑いがある。 30分以内に。 TechnoArtoriaは、Snowswapの契約コードはこれまで完全にレビューされておらず、内部関係者だけが「challengeKey」について知っており、それを使って巨額のトークンを販売していたと指摘した。
StableMagnet
損失額:2,700万ドル
日付:2021年6月23日
チェーン:BNBチェーン
方法: 契約の脆弱性とユーザーウォレット
ステーブルコインの高い収益を約束する DeFi プロジェクト StableMagnet は、「斬新なカーペット アプローチ」を開始する前に TVL 投資で数千万ドルを集めました。
今回の問題は、プロジェクト自体のスマート コントラクトではなく、スマート コントラクトによって呼び出される基盤となる関数ライブラリにあります。プロジェクト パーティは、基礎となる関数ライブラリ SwapUtils Library にバックドアを埋め込んだため、プロジェクト自体のスマート コントラクト コードが安全であるか、タイム ロックがあるかに関係なく、プロジェクト パーティは基礎となる関数のバックドアを直接使用して資産を転送できます。 。
事件後、被害者の一人であるDeFi分野のKOLオーグル氏とコミュニティ調査チームが一斉捜索を行い、最終的に情報を入手した英国警察がプロジェクトメンバーの逮捕に成功、資産は返還された。逮捕されたメンバーは合計約2,250万ドルに達した。
Paid Network
損失額:2,700万ドル
日付:2021年3月5日
チェーン:イーサリアム
方法: 無限キャストとダンピング
分散型アプリケーション Paid Network は、独自の SMART プロトコル、コミュニティ管理の仲裁システム、評判スコアリング、および DeFi ツールを通じて、新しいビジネス方法を提供することを目指しています。
北京時間の2021年3月6日、PAID Networkは契約がハッカーによって攻撃されたと公式ツイートした。PAID Networkプロジェクトはアップグレード可能なストレージエージェント契約モデルを使用しているため、攻撃者はPAID Networkエージェント契約所有者の権限を利用して悪意のあるロジックコントラクトを展開した. 、5,900万以上のPAIDトークンを盗みました。
契約所有者が自由に追加トークンを鋳造できる抜け穴はかなり早い段階でユーザーによって発見され指摘されていたことがわかっており、Twitterユーザーの@WARONRUGS(アカウント削除済み)もかつてこの抜け穴についてツイートしていました。
Meerkat Finance
損失額:3,200万ドル
日付:2021年3月4日
チェーン:BNBチェーン
方法: 契約の脆弱性
Binance BSC チェーンの DeFi プロジェクトである Meerkat Finance は、1 日の運用後に 1,300 万 BUSD と 73,000 BNB を獲得し、現在の価格は約 3,100 万米ドルとなり、これらの資金はプロジェクト チームによって直ちに取り上げられました。
Meerkat Finance は当初、これはハッキングだと主張しましたが、プロジェクトは後にアカウントを削除しました
Meerkat Finance デプロイ担当者は、プロジェクトの 2 つのボールトをアップグレードしました。攻撃者のアドレスは、Vault プロキシを介して許可のない初期化関数を呼び出し、事実上誰でも Vault 所有者になれるようにします [2]。次に、攻撃者は、トークン アドレスを入力として受け入れる関数 signed 0x 70 fcb 0 a 7 を呼び出してボールトを空にしました。スマート コントラクトの逆コンパイルにアップグレードすると、呼び出される関数の唯一の目的が所有者に有利な資金を削除することであることがわかります。アップグレードは Meerkat Finance のデプロイ担当者によって完了したため、チェーン上のデータのあらゆる側面を考慮すると、このインシデントの最も可能性の高いシナリオは意図的な逃走インシデントであり、秘密キー漏洩の可能性は非常に小さいです。
AnubisDAO
損失額:6,000万ドル
日付:2021年10月29日
チェーン:イーサリアム
方法: 契約の脆弱性
Copper Launchが立ち上げたOHM模倣ディスクプロジェクト「AnubisDAO」は、オンライン化から1日後に流動性プールを撤回し、その資金が使い込まれて逃走した疑いがあり、合計13,556ETH以上がアドレス@0x9に送金された。 fc、約5,830万米ドル相当。その直後、プロジェクトの Twitter アカウントは活動を停止しました。
今年 3 月、AnubisDAO 攻撃者のアドレス (AnubisDAO エクスプロイター 3 とラベル付け) は、「0x 0 D 19」で始まるアドレスに 2,500 WETH を転送し、Tornado Cash を通じて 2,400 ETH (約 376 万米ドル) を洗浄しました。詐欺イベントに関連するアドレス (0x a 570 d...) は、約 3,000 ETH (約 590 万米ドル) を Tornado Cash に送金しました。 0
要約する
盗難された資金に関するこれらの憂鬱なデータには前向きな側面もあります。調査された事件のうち、紛失した資金の大部分は 2022 年以前に発生しました。実際、このトップ 10 リストでは、2021 年に失われた資金総額の 84% が占めています。
これは何を教えてくれるのでしょうか? 全体として、監査法人は、良い評判を維持するには迅速に適応しなければならないという苦い経験を積んできました。さらに、過去に侵害を受けた暗号通貨コミュニティのメンバーは、より迅速にコードを深く掘り下げ、より高いヒット率で疑わしいチームを特定できます。
繰り返しの敷物を引っ張った後、DeFiはその反脆弱性によってより強力になりました。つまり、不安定性、ランダム性、混乱とストレス、リスクと不確実性にさらされても繁栄し、成長し、時間が経つにつれて最終的には正しい道に向かって進みます。無名チームが不正に利益を得られなくなる日は来るのだろうか?もちろんこれは非現実的です。利益がある限り、悪者は収益に挑戦し続けますが、当社の発展方向は間違いなく正しい方向にあります。
