Nhìn vào mười dự án Rug Pull trên chuỗi hàng đầu: chủ yếu từ thị trường tăng giá vừa qua

Tác giả gốc:Bankless

Biên soạn gốc: Zen, PANews

Nếu bạn đã tham gia lĩnh vực DeFi nhiều năm thì chắc hẳn bạn đã trải qua nhiều vụ lừa đảo và hacker hơn bạn tưởng tượng, đây là rủi ro mà chúng ta gặp phải khi tương tác ở vị trí đi đầu trong công nghệ tài chính.

Trong số tất cả các bẫy trong DeFi, những cái bẫy gây nhức nhối nhất thường là Rug Pull. Còn được gọi là lừa đảo thoát, những lỗ hổng nội bộ này xảy ra khi những người trong nội bộ dự án lợi dụng lòng tin của người dùng để đánh cắp tài sản của họ. Chúng thường xảy ra thông qua việc mã độc lẻn vào các hợp đồng thông minh, cho phép các nhà phát triển rút hết các hợp đồng hoặc ví của người dùng đó.

Bài viết này sẽ tổng hợp 10 dự án Rug Pulls lớn nhất trong những năm gần đây dựa trên danh sách Rug Pulls trên chuỗi của DefiLlama.

Jay Pegs Auto Mart

Số tiền thiệt hại: 3,1 triệu USD

Ngày: 17 tháng 9 năm 2021

Chuỗi khối:Ethereum

Phương thức: Địa chỉ gửi tiền đã bị thay thế một cách ác ý

Giao diện người dùng của nền tảng Sushiswap IDO Miso đã bị tấn công. Một nhà thầu ẩn danh đã tiêm mã độc vào giao diện người dùng Miso và kẻ tấn công đã thay thế ví đấu giá bằng địa chỉ ví của chính mình, dẫn đến vụ đánh cắp 864,8 ETH (khoảng 3,07 triệu USD). Cuộc đấu giá bị tấn công này là cuộc đấu giá token DONA của dự án Jay Pegs Auto Mart. Nhóm SushiSwap đã ngay lập tức khắc phục lỗ hổng này và sau khi theo dõi những kẻ tấn công cũng như yêu cầu FBI can thiệp, tất cả số tiền đã nhanh chóng được trả lại.

Dragoma

Số tiền thiệt hại: 3,5 triệu USD

Ngày: 8 tháng 8 năm 2022

Chuỗi: Đa giác

Cách thức: rút vốn

Tương tự như STEPN phổ biến một thời, Dragoma dựa trên mạng Polygon cũng là một trò chơi chuỗi tập trung vào khái niệm di chuyển để kiếm tiền. Người chơi có thể nhận trứng khủng long miễn phí và ấp chúng thành NFT sau 40 ngày để kiếm thu nhập và nhận DMA token. Tiền xu và các phần thưởng khác. Vào ngày 8 tháng 8 năm 2022, Dragoma bị nghi ngờ có Rug Pull. DMA giảm mạnh từ 1,8 USD xuống 0,002 USD, giảm 99,82%. Sau đó, tài khoản Twitter chính thức của nó cũng hiển thị Tài khoản này không tồn tại. Điều đáng nói là đợt sụt giảm này xảy ra chưa đầy 24 giờ sau khi token DMA được niêm yết trên sàn giao dịch tiền điện tử MEXC.

Magnate Finance

Số tiền thiệt hại: 6,4 triệu USD

Ngày: 25 tháng 8 năm 2023

Chuỗi: Cơ sở

Phương pháp: Lỗ hổng hợp đồng

Thám tử ZachXBT trên chuỗi đã đưa ra cảnh báo vào ngày 25 tháng 8 năm 2023, nói rằng giao thức cho vay sinh thái Base Magnate Finance có thể sớm xảy ra một vụ lừa đảo thoát và tuyên bố rằng địa chỉ của người triển khai Magnate Finance có liên quan trực tiếp đến vụ lừa đảo thoát Solfire. Ngay sau đó, trang web và nền tảng xã hội của giao thức cho vay sinh thái Magnate Finance của Base không thể truy cập được. Nhóm Telegram của nó cũng đã bị xóa. ZachXBT cũng tuyên bố rằng địa chỉ trên chuỗi của người triển khai cũng có liên quan đến vụ lừa đảo thoát Kokomo Finance.

Theo một cuộc điều tra sự cố do Paidun công bố, Magnate Finance đã tiến hành một cuộc kéo thảm bằng cách trực tiếp thao túng lời tiên tri về giá, dẫn đến khoản lỗ khoảng 6,5 triệu USD. Theo giám sát của Beosin Alert, địa chỉ của nhà triển khai Magnate Finance có liên quan đến Solfire và Kokomo Finance, nơi đã xảy ra Rug Pull trước đây. Kẻ lừa đảo đã đánh cắp tổng cộng 16,7 triệu USD.

Các mạng blockchain mới giống như miền Tây hoang dã của Mỹ và việc thận trọng cũng như tuân thủ các cuộc kiểm toán cũng như các giao thức đã được kiểm tra theo thời gian có thể giúp giảm thiểu rủi ro.

Arbix Finance

Số tiền thiệt hại: 10 triệu USD

Ngày: ngày 4 tháng 1 năm 2022

Chuỗi:BNB

Phương pháp: Lỗ hổng hợp đồng

Arbix Finance, một giao thức khai thác thanh khoản dựa trên Binance Smart Chain, từng được quảng cáo là cách để thu được lợi nhuận tốt nhất với rủi ro thấp và Arbix đã sử dụng cơ chế chênh lệch tiền gửi của người dùng để kiếm thu nhập. Vào sáng sớm ngày 4 tháng 1 năm 2022, khoảng 10 triệu đô la tiền của người dùng đã bị rút, mạng xã hội và trang web của dự án đã ngừng hoạt động. Ngay sau đó, nhóm đã bơm 4,5 triệu USD token ARBX vào PancakeSwap, khiến giá của nó giảm từ 1,42 USD xuống 0.

Theo phân tích sự kiện của CertiK, dự án Arbix Finance đã xuất hiện quá nhiều dấu hiệu đỏ. Hợp đồng ARBX chỉ có chức năng chủ sở hữu mint() và 10 triệu mã thông báo ARBX đã được đúc tới 8 địa chỉ. CertiK cũng xác nhận rằng 4,5 triệu ARBX đã được đúc vào một địa chỉ và sau đó được chuyển đi. Một dấu hiệu đỏ khác là 10 triệu đô la tiền của người dùng, được chuyển đến một nhóm chưa được xác minh sau khi được gửi và tin tặc cuối cùng đã có được quyền truy cập đầy đủ, đánh cắp tài sản trị giá 10 triệu đô la.

Compounder Finance

Số tiền thiệt hại: 12 triệu USD

Ngày: 2 tháng 12 năm 2020

Chuỗi:Ethereum

Phương pháp: Lỗ hổng hợp đồng

Chỉ vài tháng sau sự bùng nổ của DeFi Summer, tâm lý nhà đầu tư rất cao và lợi suất cũng cao. Hợp chất tài chính, được phát triển bởi một nhóm các nhà phát triển ẩn danh, đã thu hút một số sự chú ý của người dùng và nó không khác gì vô số giao thức khác đang hy vọng bước vào thời kỳ bùng nổ khai thác thanh khoản. Điều đáng ngạc nhiên là thủ phạm đằng sau hơn 12 triệu USD tiền bị đánh cắp từ người dùng không phải là tin tặc mà là chính dự án. Sau khi hoàn tất quá trình kiểm tra, nhóm dự án đã thêm 7 hợp đồng chiến lược độc hại vào cơ sở mã của mình, đây là một sự cố thoát DeFi rất tồi tệ.

Điểm khác biệt là sau khi được kiểm tra, nó đã thêm một cửa hậu độc hại vào danh bạ. Cửa hậu này cho phép các nhà phát triển đánh cắp tất cả tiền của người dùng gửi vào giao thức—trị giá khoảng 12 triệu USD. Kể từ đó, các hoạt động kiểm toán đã phải điều chỉnh và tái tập trung không chỉ vào các mối đe dọa bên ngoài mà còn cả các mối đe dọa bên trong. Sau vụ việc, Rekt news và @vasa_develop đã chia sẻ chi tiết về vụ việc.

Snowdog

Số tiền thiệt hại: 18,1 triệu USD

Ngày: 25 tháng 11 năm 2021

Chuỗi:Tuyết lở

Phương pháp: Lỗ hổng hợp đồng

Avalanche Rush đã mang lại 180 triệu đô la khuyến khích cho hệ sinh thái và giới thiệu một chuỗi mới cho những người đam mê tiền điện tử. Vào thời điểm Dogecoin đang rất hot, dự án meme Snowdog trên chuỗi Avalanche đã thu hút được rất nhiều sự chú ý, thậm chí còn tuyên bố là có tầm nhìn tạo ra một loại tiền dự trữ được hỗ trợ bởi tính thanh khoản do giao thức sở hữu.

Sự việc này là một màn Kéo thảm kinh điển. Người trong dự án bị nghi ngờ sử dụng challengeKey ẩn giấu với thế giới bên ngoài để bán SDOG Token với số lượng lớn thành hai đợt vào khoảng 6 giờ sáng nay thông qua Snowswap, thu về 17 triệu USD, khiến giá SDOG giảm 90% trong nửa giờ. TechnoArtoria chỉ ra rằng mã hợp đồng của Snowswap trước đây chưa được xem xét đầy đủ và chỉ những người trong cuộc mới biết về challengeKey và sử dụng nó để bán các token khổng lồ.

StableMagnet

Số tiền thiệt hại: 27 triệu USD

Ngày: 23 tháng 6 năm 2021

Chuỗi: Chuỗi BNB

Phương pháp: Lỗ hổng hợp đồng và ví người dùng

Hứa hẹn mang lại lợi nhuận cao cho stablecoin, dự án DeFi StableMagnet đã thu hút hàng chục triệu khoản đầu tư TVL trước khi tung ra “phương pháp tiếp cận thảm mới lạ”.

Lần này vấn đề không nằm ở hợp đồng thông minh của dự án mà nằm ở thư viện chức năng cơ bản được gọi bởi hợp đồng thông minh. Bên dự án đã cấy một backdoor vào thư viện chức năng cơ bản SwapUtils Library, do đó, bất kể mã hợp đồng thông minh của chính dự án có an toàn hay có khóa thời gian thì bên dự án đều có thể trực tiếp sử dụng cửa sau của chức năng cơ bản để chuyển tài sản .

Sau khi vụ việc xảy ra, một trong những nạn nhân của vụ việc là KOL Ogle trong lĩnh vực DeFi và nhóm điều tra cộng đồng đã tiến hành khám xét tổng thể, cuối cùng cảnh sát Anh thu được thông tin tình báo đã bắt giữ thành công các thành viên dự án. tổng số tiền các thành viên bị bắt khoảng 22,5 triệu đô la.

Paid Network

Số tiền thiệt hại: 27 triệu USD

Ngày: 5 tháng 3 năm 2021

Chuỗi:Ethereum

Phương pháp: Đúc và đổ vô hạn

Ứng dụng phi tập trung Mạng trả phí nhằm mục đích cung cấp một cách kinh doanh mới thông qua giao thức SMART độc quyền, hệ thống trọng tài do cộng đồng quản lý, chấm điểm danh tiếng và các công cụ DeFi.

Vào ngày 6 tháng 3 năm 2021, giờ Bắc Kinh, PAID Network đã chính thức tweet rằng hợp đồng đã bị tin tặc tấn công. Do dự án PAID Network sử dụng mô hình hợp đồng đại lý lưu trữ có thể nâng cấp nên kẻ tấn công đã sử dụng quyền của chủ sở hữu hợp đồng đại lý PAID Network để triển khai hợp đồng logic độc hại . , và đánh cắp hơn 59 triệu token TRẢ TIỀN.

Người dùng Twitter @WARONRUGS (đã xóa tài khoản) đã từng tweet về lỗ hổng này.

Meerkat Finance

Số tiền thiệt hại: 32 triệu USD

Ngày: 4 tháng 3 năm 2021

Chuỗi:Chuỗi BNB

Phương pháp: Lỗ hổng hợp đồng

Meerkat Finance, một dự án DeFi trên chuỗi Binance BSC, đã kiếm được 13 triệu BUSD và 73.000 BNB sau một ngày hoạt động, với mức giá hiện tại xấp xỉ 31 triệu USD. Số tiền này ngay lập tức bị nhóm dự án lấy đi.

Meerkat Finance ban đầu cho rằng đó là một vụ hack, nhưng dự án sau đó đã xóa tài khoản của họ

Nhà triển khai Meerkat Finance đã nâng cấp 2 vault của dự án. Địa chỉ kẻ tấn công gọi chức năng khởi tạo không được phép thông qua proxy Vault, cho phép bất kỳ ai trở thành chủ sở hữu Vault một cách hiệu quả [2]. Sau đó, kẻ tấn công đã rút hết vault bằng cách gọi một hàm có ký hiệu 0x 70 fcb 0 a 7, hàm này chấp nhận địa chỉ mã thông báo làm đầu vào. Việc nâng cấp lên bản dịch ngược của hợp đồng thông minh cho thấy mục đích duy nhất của chức năng được gọi là rút tiền có lợi cho chủ sở hữu. Vì quá trình nâng cấp đã được nhà triển khai Meerkat Finance hoàn thành, có tính đến tất cả các khía cạnh của dữ liệu trên chuỗi, nên kịch bản rất có thể xảy ra với sự cố này là sự cố trốn thoát có chủ ý và khả năng rò rỉ khóa riêng là rất nhỏ.

AnubisDAO

Số tiền thiệt hại: 60 triệu USD

Ngày: 29 tháng 10 năm 2021

Chuỗi:Ethereum

Phương pháp: Lỗ hổng hợp đồng

AnubisDAO, dự án đĩa giả OHM do Copper Launch khởi động, đã rút nhóm thanh khoản một ngày sau khi lên mạng. Người ta nghi ngờ rằng số tiền đã được sử dụng và bỏ trốn. Tổng cộng hơn 13.556 ETH đã được chuyển đến địa chỉ @ 0x 9 fc, trị giá khoảng 58,3 triệu USD. Ngay sau đó, tài khoản Twitter của dự án đã ngừng hoạt động.

Vào tháng 3 năm nay, địa chỉ của kẻ tấn công AnubisDAO (được gắn nhãn AnubisDAO mininger 3) đã chuyển 2.500 WETH đến địa chỉ bắt đầu bằng 0x 0 D 19 và rửa 2.400 ETH (khoảng 3,76 triệu USD) thông qua Tornado Cash; vào tháng 5, EOA địa chỉ (0x a 570 d...) liên quan đến sự kiện lừa đảo đã chuyển khoảng 3.000 ETH (khoảng 5,9 triệu đô la Mỹ) sang Tornado Cash. 0

Tóm tắt

Dữ liệu đáng buồn về số tiền bị đánh cắp cũng có mặt tích cực - trong số các vụ việc được điều tra, phần lớn số tiền bị mất xảy ra trước năm 2022. Trên thực tế, trong danh sách top 10 này, 84% tổng số tiền bị mất vào năm 2021.

Nhìn chung, các công ty kiểm toán đã học được một cách khó khăn rằng họ phải thích ứng nhanh chóng để duy trì danh tiếng tốt. Ngoài ra, các thành viên của cộng đồng tiền điện tử đã bị xâm phạm trước đây có thể tìm hiểu sâu hơn về mã nhanh hơn và xác định các nhóm đáng ngờ có tỷ lệ trúng cao hơn.

Sau nhiều lần kéo thảm, DeFi trở nên mạnh mẽ hơn nhờ khả năng cải thiện nghịch cảnh của nó, nghĩa là nó phát triển và lớn mạnh khi gặp phải sự biến động, ngẫu nhiên, hỗn loạn và căng thẳng, rủi ro và sự không chắc chắn, và cuối cùng đi theo con đường đúng đắn khi thời gian trôi qua. Liệu sẽ có một ngày mà các đội vô danh không còn kiếm được những lợi ích bất chính nữa? Điều này tất nhiên là không thực tế. Chỉ cần có lợi nhuận, kẻ xấu sẽ tiếp tục thách thức điểm mấu chốt, nhưng hướng phát triển của chúng tôi chắc chắn là đúng hướng.