一覽十大鏈上Rug Pull專案：主要來自上個牛市

原文作者：Bankless

原文編譯：Zen，PANews

如果你在DeFi 領域已深耕多年，那麼一定會經歷過了比想像中更多的騙局、駭客，這是我們在金融科技前沿互動時所承擔的風險。

在DeFi 的所有陷阱中，最刺痛的往往是Rug Pulls。這些內部漏洞也被稱為退出騙局，發生在項目內部人員利用用戶信任來竊取他們的資產時。它們通常透過潛入智慧合約的惡意程式碼發生，允許開發人員耗盡這些合約或用戶錢包。

本文將根據DefiLlama 的鏈上Rug Pulls 榜單，盤點近年來10 個最大的Rug Pulls 項目。

Jay Pegs Auto Mart

損失金額: 310 萬美元

日期: 2021 年9 月17 日

區塊鏈:Ethereum

方法：存款地址被惡意替換

Sushiswap IDO 平台Miso 的前端遭受攻擊。一個匿名承包商將惡意代碼注入Miso 前端，攻擊者用自己的錢包地址來替換拍賣錢包，導致864.8 ETH（約307 萬美元）被盜。遭受這次攻擊的拍賣活動是Jay Pegs Auto Mart 項目的DONA 代幣拍賣。隨後，SushiSwap 團隊立即修復了漏洞，並在追踪了攻擊者並請求FBI 介入後，所有資金很快就被歸還。

Dragoma

損失金額: 350 萬美元

日期: 2022 年8 月8 日

鏈：Polygon

方法: 抽逃出資

與曾經爆紅的STEPN 相似，基於Polygon 網絡的Dragoma 也是一款主打move-to-earn 概念的鏈遊，玩家可免費領取恐龍蛋，並在40 天后孵化成NFT 用於賺取收益，獲得DMA代幣等獎勵。 2022 年8 月8 日，Dragoma 疑似發生Rug Pull，DMA 從1.8 美元暴跌至0.002 美元，跌幅99.82% ，隨後其官方推特帳號也已顯示「此帳號不存在」。值得一提的是，DMA 代幣在加密交易所MEXC 上線不到24 小時，這次暴跌就發生了。

Magnate Finance

損失金額: 640 萬美元

日期: 2023 年8 月25 日

鏈:Base

方法：合約漏洞

鏈上偵探ZachXBT 在2023 年8 月25 日發布警告，表示Base 生態借貸協議Magnate Finance 或將在不久發生退出騙局，並表示Magnate Finance 部署者地址與Solfire 退出騙局有直接關聯。不久之後，Base 生態借貸協議Magnate Finance 的網站和社交平台開始無法正常存取。其Telegram 群組也刪除。 ZachXBT 也表示，部署者鏈上位址也與Kokomo Finance 退出騙局有聯繫。

根據派盾發布的事件調查，稱Magnate Finance 通過直接操縱價格預言機進行了Rug Pull，損失約650 萬美元。而根據Beosin Alert 監控顯示，Magnate Finance 部署者位址與先前發生Rug Pull 的Solfire、 Kokomo Finance 有關。該詐騙者共盜取1,670 萬美元。

新的區塊鍊網絡就像是美國的狂野西部，謹慎行事，堅持審計和經過時間考驗的協議，可幫助降低風險。

Arbix Finance

損失金額: 1000 萬美元

日期: 2022 年1 月4 日

鏈:BNB

方法: 合約漏洞

基於Binance Smart Chain 的流動性挖礦協議Arbix Finance 曾被宣傳為「以低風險獲得最佳收益」的方式，而Arbix 則利用用戶存款套利賺取收益。在2022 年1 月4 日凌晨，大約1000 萬美元的用戶資金被抽走，項目社交網站和網站也被關閉。不久之後，該團隊向PancakeSwap 注入了450 萬美元的ARBX 代幣，使其價格從1.42 美元跌至零。

根據CertiK 的事件分析，Arbix Finance 計畫顯示了太多的危險信號。 ARBX 合約只有所有者功能的mint()， 1000 萬個ARBX 代幣被鑄造到了8 個位址。 CertiK 也確認有450 萬個ARBX 被鑄造到一個地址，之後被轉移。另一個危險信號是1000 萬美元的用戶資金，這筆資金在存入後被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，盜取了1000 萬美元資產。

Compounder Finance

損失金額: 1200 萬美元

日期: 2020 年12 月2 日

鏈:Ethereum

方法: 合約漏洞

就在DeFi 之夏繁榮過後的幾個月，投資人情緒高漲，殖利率也很高。一群匿名開發者開發的Compounder Finance 吸引了部分用戶關注，它與無數其他希望進入流動性挖礦熱潮的協議沒有什麼不同。讓人吃驚的是，其用戶被盜走超過1,200 萬美元資金的罪魁禍首並非黑客，而是專案方本身。專案方在完成審計後在其代碼庫中新增了7 個惡意策略合約，是一起性質十分惡劣的DeFi 跑路事件。

不同之處在於，在經過審計後，它在聯絡人中加入了惡意後門程式。這個後門允許開發者竊取所有存入協議的用戶資金——大約價值1200 萬美元。從那以後，審計實務不得不進行調整，不僅重新關注外部威脅，也重新關注內部威脅。該事件發生後，Rekt news 和@vasa_develop 分享了事件的詳細過程。

Snowdog

損失金額: 1810 萬美元

日期: 2021 年11 月25 日

鏈:Avalanche

方法：合約漏洞

Avalanche Rush 為生態系統帶來了1.8 億美元的激勵，將成群的加密愛好者引入了一條新的鏈，而當時又正是狗狗幣火熱之際，Avalanche 鏈上Meme 項目Snowdog 博得了很多關注，其更是號稱以創造一種由協議擁有的流動性支持的儲備貨幣為願景。

此次事件是一場典型的「Rug Pull」。項目內部人員疑似利用對外隱藏的“challengeKey”，透過Snowswap 在今日早上6 點左右分兩次大量拋售SDOG Token，獲利1700 萬美元，使SDOG 價格在半小時內下跌90% 。 TechnoArtoria 指出，先前Snowswap 的合約代碼並未全面審查，只有內部人員知道「challengeKey」的情況，並利用其進行巨額Token 拋售。

StableMagnet

損失金額: 2700 萬美元

日期: 2021 年6 月23 日

鏈：BNB Chain

方法：合約漏洞和使用者錢包

DeFi 專案StableMagnet 承諾穩定幣的高回報，在推出「新穎的地毯方法」之前，吸引了數千萬的TVL 投資。

此次問題並非出在專案本身的智慧合約中，而是在智慧合約所呼叫的底層函數庫。專案方在底層函數庫SwapUtils Library 中植入後門，因此無論專案本身的智慧合約程式碼是否安全、是否有時間鎖，專案方都可以直接利用底層函數的後門轉移資產。

事情發生後，該事件的受害者之一、DeFi 領域KOL Ogle 以及社區調查組進行了地毯式搜索，最終獲得情報的英國警方順利抓獲了項目方成員，被捕的成員退還的資產總計約2250 萬美元。

Paid Network

損失金額: 2700 萬美元

日期: 2021 年3 月5 日

鏈:Ethereum

方法：無限鑄造及拋售

去中心化應用Paid Network 旨在透過專有的SMART 協議、社群管理的仲裁系統、聲譽評分、DeFi 工具，為開展業務提供一種新方法。

北京時間2021 年3 月6 日，PAID Network 官方發推稱合約遭到駭客攻擊，由於PAID Network 專案使用的是可升級的儲存代理合約模型，攻擊者利用PAID Network 代理合約owner 權限部署了惡意邏輯合約，並盜取了超過5900 萬個PAID 代幣。

據了解，合約所有者可以自由地鑄造額外代幣的漏洞，很早就被用戶發現和指出，推特用戶@WARONRUGS(已刪除的賬戶)就曾發推提及此漏洞。

Meerkat Finance

損失金額: 3200 萬美元

日期: 2021 年3 月4 日

鏈:BNB Chain

方法：合約漏洞

幣安BSC 鏈上的DeFi 專案Meerkat Finance 在營運了一天之後，就獲得了1,300 萬BUSD 和7.3 萬BNB 的收益，時價約為3,100 萬美元，隨後這些資金就被專案方立刻捲走。

Meerkat Finance 最初聲稱這是一次黑客攻擊，但隨後該項目方刪除了他們的帳戶

Meerkat Finance 部署者升級了該專案的2 個金庫。攻擊者地址透過Vault 代理呼叫無需許可初始化函數，有效地允許任何人成為Vault 所有者[ 2 ]。攻擊者隨後透過呼叫簽名為0x 70 fcb 0 a 7 的函數來耗盡金庫，該函數接受了一個代幣位址作為輸入。升級為智慧合約的反編譯，顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。由於升級是Meerkat Finance 部署者完成的，考慮到鏈上資料的所有方面，因此這次事件最有可能的情況是蓄意的跑路事件，而私鑰洩露的可能性是非常小的。

AnubisDAO

損失金額: 6000 萬美元

日期: 2021 年10 月29 日

鏈:Ethereum

方法：合約漏洞

在Copper Launch 啟動的OHM 仿盤項目AnubisDAO 上線一天后撤走流動性池，疑似捲款跑路，共逾13556 枚ETH 被轉移至地址@0x 9 fc，價值約5830 萬美元。不久之後，該項目的Twitter 帳戶停止了活動。

今年3 月，AnubisDAO 攻擊者（被標記為AnubisDAO exploiter 3）的地址將2500 枚WETH 轉移至“0x 0 D 19 ”開頭地址，並通過Tornado Cash 清洗了2400 枚ETH（約376 萬美元）；5 月枚，由騙局事件相關的EOA 地址（0x a 570 d...）將約3000 枚ETH（約590 萬美元）轉入Tornado Cash。 0

總結

這些令人沮喪的資金被盜資料背後，我們也可以看到正面的一面——在被調查的事件中，絕大多數資金損失事件發生在2022 年之前。事實上，在這份前十名的名單中， 2021 年損失的資金占到了總額的84% 。

這教給我們什麼?總的來說，審計公司已經從慘痛的教訓中認識到，他們必須迅速適應以保持良好的聲譽。此外，過去被攻擊過的加密社群成員可以更快地深入程式碼，並以更高的命中率識別出可疑的團隊。

在多次出現Rug Pulls 後，DeFi 的反脆弱性使其變得更加堅強，這意味著當它暴露在波動性、隨機性、混亂和壓力、風險和不確定性下時，反而能茁壯成長和壯大，並隨著時間的推移最終走向正確道路。是否會有一天，不知名的團隊不再賺取不義之財？這當然不太現實。只要有利可圖，壞人就會不斷挑戰底線，但我們發展的方向絕對是正確的。