ดูโครงการ Rug Pull บนเครือข่ายสิบอันดับแรก: ส่วนใหญ่มาจากตลาดกระทิงครั้งล่าสุด

ผู้เขียนต้นฉบับ:Bankless

การรวบรวมต้นฉบับ: Zen, PANews

หากคุณมีส่วนร่วมในแวดวง DeFi มาหลายปี คุณจะต้องเคยพบกับกลโกงและแฮกเกอร์มากกว่าที่คุณคิด นี่คือความเสี่ยงที่เราต้องเผชิญเมื่อมีปฏิสัมพันธ์ในระดับแนวหน้าของเทคโนโลยีทางการเงิน

ในบรรดากับดักทั้งหมดใน DeFi กับดักที่ต่อยมากที่สุดมักจะเป็น Rug Pulls หรือที่รู้จักในชื่อกลโกงทางออก ช่องโหว่ภายในเหล่านี้เกิดขึ้นเมื่อคนในโปรเจ็กต์ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในการขโมยทรัพย์สินของตน สิ่งเหล่านี้มักเกิดขึ้นจากโค้ดที่เป็นอันตรายที่แอบเข้าไปในสัญญาอัจฉริยะ ทำให้นักพัฒนาสามารถระบายสัญญาหรือกระเป๋าเงินของผู้ใช้เหล่านั้นได้

บทความนี้จะรวบรวมโครงการ Rug Pulls ที่ใหญ่ที่สุด 10 โครงการในช่วงไม่กี่ปีที่ผ่านมาโดยอิงจากรายการ Rug Pulls แบบออนไลน์ของ DefiLlama

Jay Pegs Auto Mart

มูลค่าความเสียหาย: 3.1 ล้านเหรียญสหรัฐ

วันที่: 17 กันยายน 2021

บล็อกเชน:อีเธอเรียม

วิธีการ: ที่อยู่การฝากเงินถูกแทนที่อย่างประสงค์ร้าย

ส่วนหน้าของแพลตฟอร์ม Sushiswap IDO Miso ถูกโจมตี ผู้รับเหมาที่ไม่เปิดเผยตัวตนได้แทรกโค้ดที่เป็นอันตรายลงในส่วนหน้าของ Miso และผู้โจมตีได้แทนที่กระเป๋าเงินการประมูลด้วยที่อยู่กระเป๋าเงินของเขาเอง ส่งผลให้เกิดการขโมย 864.8 ETH (ประมาณ 3.07 ล้านดอลลาร์) การประมูลที่ได้รับผลกระทบจากการโจมตีครั้งนี้คือการประมูลโทเค็น DONA ของโครงการ Jay Pegs Auto Mart ทีม SushiSwap ได้แก้ไขช่องโหว่ทันที และหลังจากติดตามผู้โจมตีและขอให้ FBI เข้ามาแทรกแซง เงินทั้งหมดก็ได้รับการคืนอย่างรวดเร็ว

Dragoma

มูลค่าความเสียหาย: 3.5 ล้านเหรียญสหรัฐ

วันที่: 8 สิงหาคม 2565

โซ่: รูปหลายเหลี่ยม

วิธีการ: ถอนทุน

เช่นเดียวกับ STEPN ที่ครั้งหนึ่งเคยโด่งดัง Dragoma ที่ใช้เครือข่าย Polygon เป็นเกมลูกโซ่ที่เน้นแนวคิดการย้ายไปสู่การหารายได้ ผู้เล่นสามารถรับไข่ไดโนเสาร์ได้ฟรีและฟักเป็น NFT หลังจากผ่านไป 40 วันเพื่อรับรายได้และรับ DMA โทเค็น เหรียญและรางวัลอื่น ๆ เมื่อวันที่ 8 สิงหาคม 2022 Dragoma ถูกสงสัยว่าจะมี Rug Pull DMA ลดลงจาก $1.8 เป็น $0.002 ลดลง 99.82% ต่อจากนั้น บัญชี Twitter อย่างเป็นทางการของมันก็แสดงข้อความว่า ไม่มีบัญชีนี้ เป็นที่น่าสังเกตว่าการดิ่งลงนี้เกิดขึ้นภายในเวลาไม่ถึง 24 ชั่วโมงหลังจากที่โทเค็น DMA ได้รับการจดทะเบียนในการแลกเปลี่ยน crypto MEXC

Magnate Finance

มูลค่าความเสียหาย: 6.4 ล้านเหรียญสหรัฐ

วันที่: 25 สิงหาคม 2566

โซ่:ฐาน

วิธีการ: ช่องโหว่ของสัญญา

ZachXBT นักสืบออนไลน์ออกคำเตือนเมื่อวันที่ 25 สิงหาคม 2023 โดยกล่าวว่า Magnate Finance โปรโตคอลการให้ยืมระบบนิเวศ Base อาจมีกลโกงในเร็วๆ นี้ และระบุว่าที่อยู่ของผู้ปรับใช้ Magnate Finance เกี่ยวข้องโดยตรงกับกลโกงทางออกของ Solfire หลังจากนั้นไม่นาน Magnate Finance ก็ไม่สามารถเข้าถึงเว็บไซต์และแพลตฟอร์มโซเชียลของโปรโตคอลการให้ยืมเชิงนิเวศน์ของ Base ได้ กลุ่มโทรเลขก็ถูกลบเช่นกัน ZachXBT ยังระบุด้วยว่าที่อยู่ออนไลน์ของ Deployer นั้นเชื่อมโยงกับการหลอกลวงทางออก Kokomo Finance เช่นกัน

จากการสอบสวนเหตุการณ์ที่เผยแพร่โดย Paidun พบว่า Magnate Finance ดำเนินการดึงพรมโดยการควบคุมราคาโดยตรง ส่งผลให้เกิดการสูญเสียประมาณ 6.5 ล้านดอลลาร์สหรัฐ จากการติดตาม Beosin Alert ที่อยู่ของผู้ปรับใช้ Magnate Finance นั้นเกี่ยวข้องกับ Solfire และ Kokomo Finance ซึ่ง Rug Pulls เกิดขึ้นก่อนหน้านี้ นักต้มตุ๋นขโมยเงินไปทั้งสิ้น 16.7 ล้านเหรียญสหรัฐ

เครือข่ายบล็อกเชนใหม่เปรียบเสมือน Wild West ของอเมริกา การใช้ความระมัดระวังและการปฏิบัติตามการตรวจสอบและโปรโตคอลที่ผ่านการทดสอบตามเวลาสามารถช่วยลดความเสี่ยงได้

Arbix Finance

มูลค่าความเสียหาย: 10 ล้านเหรียญสหรัฐ

วันที่: 4 มกราคม 2022

เชน:BNB

วิธีการ: ช่องโหว่ของสัญญา

Arbix Finance ซึ่งเป็นโปรโตคอลการขุดสภาพคล่องที่ใช้ Binance Smart Chain ครั้งหนึ่งเคยได้รับการส่งเสริมให้เป็นวิธีการ ได้รับผลตอบแทนที่ดีที่สุดโดยมีความเสี่ยงต่ำ และ Arbix ใช้การอนุญาโตตุลาการเงินฝากของผู้ใช้เพื่อหารายได้ ในช่วงเช้าตรู่ของวันที่ 4 มกราคม 2022 เงินของผู้ใช้ประมาณ 10 ล้านดอลลาร์ถูกดูดออกไป และโซเชียลเน็ตเวิร์กและเว็บไซต์ของโปรเจ็กต์ก็ปิดตัวลง หลังจากนั้นไม่นาน ทีมงานได้อัดฉีด ARBX tokens มูลค่า 4.5 ล้านเหรียญสหรัฐเข้าสู่ PancakeSwap ส่งผลให้ราคาลดลงจาก 1.42 เหรียญสหรัฐเหลือศูนย์

จากการวิเคราะห์เหตุการณ์ของ CertiK โครงการ Arbix Finance มีสัญญาณอันตรายมากเกินไป สัญญา ARBX มีเฉพาะฟังก์ชันเจ้าของ mint() และโทเค็น ARBX 10 ล้านโทเค็นถูกสร้างไปยัง 8 ที่อยู่ CertiK ยังยืนยันด้วยว่ามีการสร้าง ARBX จำนวน 4.5 ล้านรายการไปยังที่อยู่หนึ่งและโอนในภายหลัง ธงแดงอีกประการหนึ่งคือ 10 ล้านดอลลาร์ในกองทุนผู้ใช้ ซึ่งถูกส่งไปยังพูลที่ไม่ได้รับการยืนยันหลังจากฝาก และในที่สุดแฮกเกอร์ก็สามารถเข้าถึงได้โดยสมบูรณ์ และขโมยทรัพย์สิน 10 ล้านดอลลาร์

Compounder Finance

มูลค่าความเสียหาย: 12 ล้านเหรียญสหรัฐ

วันที่: 2 ธันวาคม 2020

โซ่:อีเธอเรียม

วิธีการ: ช่องโหว่ของสัญญา

เพียงไม่กี่เดือนหลังจาก DeFi Summer บูม ความเชื่อมั่นของนักลงทุนก็สูงและผลตอบแทนก็สูง Compounder Finance ซึ่งพัฒนาโดยกลุ่มนักพัฒนาที่ไม่เปิดเผยนาม ได้ดึงดูดความสนใจจากผู้ใช้ และไม่แตกต่างจากโปรโตคอลอื่น ๆ อีกนับไม่ถ้วนที่หวังจะเข้าสู่กระแสการขุดสภาพคล่อง น่าประหลาดใจที่ผู้กระทำผิดที่อยู่เบื้องหลังเงินที่ถูกขโมยไปมากกว่า 12 ล้านดอลลาร์จากผู้ใช้ไม่ใช่แฮกเกอร์ แต่เป็นตัวโครงการเอง หลังจากเสร็จสิ้นการตรวจสอบ ทีมงานโครงการได้เพิ่มสัญญากลยุทธ์ที่เป็นอันตราย 7 สัญญาลงในฐานโค้ด ซึ่งเป็นเหตุการณ์ DeFi Escape ที่แย่มาก

ข้อแตกต่างก็คือหลังจากได้รับการตรวจสอบแล้ว ก็มีการเพิ่มแบ็คดอร์ที่เป็นอันตรายให้กับผู้ติดต่อ แบ็คดอร์นี้อนุญาตให้นักพัฒนาขโมยเงินของผู้ใช้ทั้งหมดที่ฝากไว้ในโปรโตคอล ซึ่งมีมูลค่าประมาณ 12 ล้านดอลลาร์ ตั้งแต่นั้นมา แนวปฏิบัติด้านการตรวจสอบต้องปรับตัวและมุ่งเน้นไม่เพียงแต่ภัยคุกคามภายนอกเท่านั้น แต่ยังรวมไปถึงภัยคุกคามภายในด้วย หลังเกิดเหตุ Rekt news และ @vasa_develop ได้แชร์รายละเอียดของเหตุการณ์

Snowdog

มูลค่าความเสียหาย: 18.1 ล้านเหรียญสหรัฐ

วันที่: 25 พฤศจิกายน 2021

โซ่:หิมะถล่ม

วิธีการ: ช่องโหว่ของสัญญา

Avalanche Rush นำเงินจูงใจมูลค่า 180 ล้านดอลลาร์มาสู่ระบบนิเวศและแนะนำกลุ่มผู้ชื่นชอบ crypto สู่เครือข่ายใหม่ ในช่วงเวลาที่ Dogecoin กำลังร้อนแรง โครงการมีม Snowdog บน Avalanche chain ได้รับความสนใจอย่างมาก ซึ่งถึงกับอ้างว่ามี วิสัยทัศน์ในการสร้างสกุลเงินสำรองที่ได้รับการสนับสนุนจากสภาพคล่องที่เป็นของโปรโตคอล

เหตุการณ์นี้เป็น Rug Pull แบบคลาสสิก คนในโปรเจ็กต์ถูกสงสัยว่าใช้ challengeKey ที่ซ่อนอยู่จากโลกภายนอกเพื่อขาย SDOG Token ในปริมาณมากเป็นสองชุดเวลาประมาณ 6.00 น. ของเช้าวันนี้ผ่าน Snowswap ทำกำไรได้ 17 ล้านดอลลาร์สหรัฐ ทำให้ราคาของ SDOG ลดลง 90% ครึ่งชั่วโมง. TechnoArtoria ชี้ให้เห็นว่ารหัสสัญญาของ Snowswap ยังไม่ได้รับการตรวจสอบอย่างสมบูรณ์มาก่อน และมีเพียงคนวงในเท่านั้นที่รู้เกี่ยวกับ challengeKey และใช้มันเพื่อขายโทเค็นจำนวนมาก

StableMagnet

มูลค่าความเสียหาย: 27 ล้านเหรียญสหรัฐ

วันที่: 23 มิถุนายน 2564

เชน: เชน BNB

วิธีการ: ช่องโหว่ของสัญญาและกระเป๋าเงินของผู้ใช้

สัญญาว่าจะให้ผลตอบแทนสูงจากเหรียญ stablecoin โครงการ DeFi StableMagnet ดึงดูดการลงทุน TVL นับสิบล้านก่อนที่จะเปิดตัว “แนวทางพรมใหม่”

คราวนี้ปัญหาไม่ได้อยู่ที่สัญญาอัจฉริยะของโครงการ แต่อยู่ในไลบรารีฟังก์ชันพื้นฐานที่ถูกเรียกโดยสัญญาอัจฉริยะ ฝ่ายของโครงการฝังแบ็คดอร์ในไลบรารีฟังก์ชันพื้นฐาน SwapUtils Library ดังนั้น ไม่ว่ารหัสสัญญาอัจฉริยะของโปรเจ็กต์จะปลอดภัยหรือมีการล็อคเวลา ฝ่ายของโปรเจ็กต์ก็สามารถใช้แบ็คดอร์ของฟังก์ชันพื้นฐานเพื่อถ่ายโอนสินทรัพย์ได้โดยตรง .

หลังจากเหตุการณ์ดังกล่าว หนึ่งในเหยื่อของเหตุการณ์ KOL Ogle ในสนาม DeFi และทีมสืบสวนชุมชนได้ทำการค้นหาแบบครอบคลุม ในที่สุด ตำรวจอังกฤษที่ได้รับข่าวกรองก็จับกุมสมาชิกโครงการได้สำเร็จ ทรัพย์สินที่คืนโดย สมาชิกที่ถูกจับกุมมีมูลค่ารวมประมาณ 22.5 ล้านเหรียญสหรัฐ

Paid Network

มูลค่าความเสียหาย: 27 ล้านเหรียญสหรัฐ

วันที่: 5 มีนาคม 2564

โซ่:อีเธอเรียม

วิธีการ: การหล่อและการทุ่มตลาดแบบไม่มีที่สิ้นสุด

Paid Network แอปพลิเคชันกระจายอำนาจมีเป้าหมายเพื่อมอบแนวทางใหม่ในการทำธุรกิจผ่านโปรโตคอล SMART ที่เป็นกรรมสิทธิ์ ระบบอนุญาโตตุลาการที่จัดการโดยชุมชน การให้คะแนนชื่อเสียง และเครื่องมือ DeFi

เมื่อวันที่ 6 มีนาคม 2021 ตามเวลาปักกิ่ง PAID Network ได้ทวีตอย่างเป็นทางการว่าสัญญาดังกล่าวถูกแฮกเกอร์โจมตี เนื่องจากโครงการ PAID Network ใช้โมเดลสัญญาเอเจนต์การจัดเก็บข้อมูลที่อัปเกรดได้ ผู้โจมตีจึงใช้สิทธิ์ของเจ้าของสัญญาตัวแทน PAID Network เพื่อปรับใช้สัญญาลอจิกที่เป็นอันตราย . และขโมยโทเค็นที่จ่ายไปมากกว่า 59 ล้านโทเค็น

เป็นที่เข้าใจกันว่าช่องโหว่ที่เจ้าของสัญญาสามารถสร้างโทเค็นเพิ่มเติมได้อย่างอิสระได้ถูกค้นพบและชี้ให้เห็นโดยผู้ใช้ตั้งแต่เนิ่นๆ ผู้ใช้ Twitter @WARONRUGS (บัญชีที่ถูกลบ) เคยทวีตเกี่ยวกับช่องโหว่นี้

Meerkat Finance

มูลค่าความเสียหาย: 32 ล้านเหรียญสหรัฐ

วันที่: 4 มีนาคม 2564

โซ่: โซ่ BNB

วิธีการ: ช่องโหว่ของสัญญา

Meerkat Finance ซึ่งเป็นโปรเจ็กต์ DeFi บน Binance BSC chain ได้รับ 13 ล้าน BUSD และ 73,000 BNB หลังจากดำเนินการหนึ่งวัน โดยมีราคาปัจจุบันประมาณ US$31 ล้าน กองทุนเหล่านี้ถูกยึดโดยทีมงานโครงการทันที

ในตอนแรก Meerkat Finance อ้างว่าเป็นการแฮ็ก แต่โปรเจ็กต์ได้ลบบัญชีของพวกเขาออกไปในภายหลัง

ผู้ปรับใช้ Meerkat Finance อัปเกรดห้องนิรภัย 2 ห้องของโครงการ ที่อยู่ของผู้โจมตีเรียกใช้ฟังก์ชันการเริ่มต้นที่ไม่ได้รับอนุญาตผ่านพร็อกซีห้องนิรภัย ซึ่งช่วยให้ใครก็ตามเป็นเจ้าของห้องนิรภัยได้อย่างมีประสิทธิภาพ [2] จากนั้นผู้โจมตีได้ระบายข้อมูล vault โดยการเรียกใช้ฟังก์ชันที่ลงนาม 0x 70 fcb 0 a 7 ซึ่งยอมรับที่อยู่โทเค็นเป็นอินพุต การอัพเกรดเป็นการถอดรหัสสัญญาอัจฉริยะแสดงให้เห็นว่าจุดประสงค์เดียวของฟังก์ชันที่ถูกเรียกคือการถอนเงินออกเพื่อประโยชน์ของเจ้าของ เนื่องจากการอัพเกรดเสร็จสิ้นโดยผู้ปรับใช้ Meerkat Finance โดยคำนึงถึงข้อมูลทุกด้านในห่วงโซ่ สถานการณ์ที่เป็นไปได้มากที่สุดสำหรับเหตุการณ์นี้คือเหตุการณ์การหลบหนีโดยเจตนา และความเป็นไปได้ที่จะรั่วไหลของคีย์ส่วนตัวมีน้อยมาก

AnubisDAO

มูลค่าความเสียหาย: 60 ล้านเหรียญสหรัฐ

วันที่: 29 ตุลาคม 2021

โซ่:อีเธอเรียม

วิธีการ: ช่องโหว่ของสัญญา

AnubisDAO ซึ่งเป็นโครงการดิสก์เลียนแบบ OHM ที่เปิดตัวโดย Copper Launch ได้ถอนตัวออกจากกลุ่มสภาพคล่องหนึ่งวันหลังจากออนไลน์ สงสัยว่าเงินถูกใช้แล้วหนีไป มีการโอน ETH ทั้งหมดมากกว่า 13,556 ETH ไปยังที่อยู่ @ 0x 9 เอฟซี มูลค่าประมาณ 58.3 ล้านเหรียญสหรัฐ หลังจากนั้นไม่นาน บัญชี Twitter ของโครงการก็หยุดกิจกรรม

ในเดือนมีนาคมปีนี้ ที่อยู่ของผู้โจมตี AnubisDAO (ชื่อ AnubisDAO Exploiter 3) โอน 2,500 WETH ไปยังที่อยู่ที่เริ่มต้นด้วย 0x 0 D 19 และฟอก 2,400 ETH (ประมาณ US$3.76 ล้าน) ผ่าน Tornado Cash; ในเดือนพฤษภาคม EOA ที่อยู่ (0x a 570 วัน...) ที่เกี่ยวข้องกับเหตุการณ์หลอกลวงได้โอนประมาณ 3,000 ETH (ประมาณ 5.9 ล้านดอลลาร์สหรัฐ) ไปยัง Tornado Cash 0

สรุป

นอกจากนี้ยังมีด้านบวกต่อข้อมูลที่น่าหดหู่เกี่ยวกับกองทุนที่ถูกขโมยเหล่านี้ โดยจากเหตุการณ์ที่มีการสอบสวนนั้น เงินที่สูญหายส่วนใหญ่เกิดขึ้นก่อนปี 2022 ในความเป็นจริงในสิบอันดับแรกนี้ 84% ของเงินทุนทั้งหมดหายไปในปี 2021

สิ่งนี้สอนอะไรเรา โดยรวมแล้ว บริษัทตรวจสอบบัญชีได้เรียนรู้ถึงวิธีการที่ยากลำบากที่ต้องปรับตัวอย่างรวดเร็วเพื่อรักษาชื่อเสียงที่ดี นอกจากนี้ สมาชิกของชุมชน crypto ที่เคยถูกบุกรุกในอดีตสามารถเจาะลึกเข้าไปในโค้ดได้เร็วขึ้น และระบุทีมที่น่าสงสัยด้วยอัตราการเข้าถึงที่สูงกว่า

หลังจากการดึงพรมซ้ำแล้วซ้ำเล่า DeFi จะแข็งแกร่งขึ้นด้วยความสามารถในการต้านการแตกหัก ซึ่งหมายความว่ามันจะเติบโตและเติบโตเมื่อต้องเผชิญกับความผันผวน ความสุ่ม ความโกลาหลและความเครียด ความเสี่ยงและความไม่แน่นอน และในที่สุดก็เคลื่อนไปสู่เส้นทางที่ถูกต้องเมื่อเวลาผ่านไป จะมีสักวันไหมที่ทีมที่ไม่รู้จักจะไม่ทำกำไรอย่างไม่ดีอีกต่อไป? แน่นอนว่านี่ไม่สมจริง ตราบใดที่ยังมีกำไร คนเลวจะยังคงท้าทายผลกำไรต่อไป แต่ทิศทางการพัฒนาของเราอยู่ในทิศทางที่ถูกต้องอย่างแน่นอน