一覽十大鏈上Rug Pull項目：主要來自上個牛市

2023-09-19 16:09:16

原文作者： Bankless

原文編譯：Zen，PANews

如果你在 DeFi 領域已深耕多年，那么一定會經歷過了比想象中更多的騙局、黑客，這是我們在金融科技前沿互動時所承擔的風險。

在 DeFi 的所有陷阱中，最讓人刺痛的往往是 Rug Pulls。這些內部漏洞也被稱為退出騙局，發生在項目內部人員利用用戶信任竊取他們的資產時。它們通常通過潛入智能合約的惡意代碼發生，允許开發人員耗盡這些合約或用戶錢包。

本文將根據 DefiLlama 的鏈上 Rug Pulls 榜單，盤點近年來 10 個最大的 Rug Pulls 項目。

Jay Pegs Auto Mart

損失金額: 310 萬美元

日期: 2021 年 9 月 17 日

區塊鏈: Ethereum

方法：存款地址被惡意替換

Sushiswap IDO 平臺 Miso 的前端遭受攻擊。一個匿名承包商將惡意代碼注入 Miso 前端，攻擊者用自己的錢包地址來替換拍賣錢包，導致 864.8 ETH（約 307 萬美元）被盜。遭受這次攻擊的拍賣活動是 Jay Pegs Auto Mart 項目的 DONA 代幣拍賣。隨後， SushiSwap 團隊立即修復了漏洞，並在追蹤了攻擊者並請求 FBI 介入後，所有資金很快就被歸還。

Dragoma

損失金額: 350 萬美元

日期: 2022 年 8 月 8 日

鏈： Polygon

方法: 抽逃出資

與曾爆火的 STEPN 相似，基於 Polygon 網絡的 Dragoma 也是一款主打 move-to-earn 概念的鏈遊，玩家可免費領取恐龍蛋，並在 40 天後孵化成 NFT 用於賺取收益，獲得 DMA 代幣等獎勵。2022 年 8 月 8 日，Dragoma 疑似發生 Rug Pull，DMA 從 1.8 美元暴跌至 0.002 美元，跌幅 99.82% ，隨後其官方推特账號也已顯示“此账號不存在”。值得一提的是，DMA 代幣在加密交易所 MEXC 上线還不到 24 小時，這次暴跌就發生了。

Magnate Finance

損失金額: 640 萬美元

日期: 2023 年 8 月 25 日

鏈: Base

方法：合約漏洞

鏈上偵探 ZachXBT 在 2023 年 8 月 25 日發布警告，稱 Base 生態借貸協議 Magnate Finance 或將在不久發生退出騙局，並表示 Magnate Finance 部署者地址與 Solfire 退出騙局有直接關聯。不久之後，Base 生態借貸協議 Magnate Finance 的網站和社交平臺开始無法正常訪問。其 Telegram 群組也被刪除。ZachXBT 還表示，部署者鏈上地址也與 Kokomo Finance 退出騙局有聯系。

據派盾發布的事件調查，稱 Magnate Finance 通過直接操縱價格預言機進行了 Rug Pull，損失約 650 萬美元。而據 Beosin Alert 監測顯示，Magnate Finance 部署者地址與此前發生 Rug Pull 的 Solfire、 Kokomo Finance 有關。該詐騙者共盜取 1670 萬美元。

新的區塊鏈網絡就像是美國的狂野西部，謹慎行事，堅持審計和經過時間考驗的協議，可幫助降低風險。

Arbix Finance

損失金額: 1000 萬美元

日期: 2022 年 1 月 4 日

鏈:BNB

方法: 合約漏洞

基於 Binance Smart Chain 的流動性挖礦協議 Arbix Finance 曾被宣傳為“以低風險獲得最佳收益”的方式，而 Arbix 則利用用戶存款套利賺取收益。在 2022 年 1 月 4 日凌晨，大約 1000 萬美元的用戶資金被抽走，項目社交網站和網站也被關閉。不久之後，該團隊向 PancakeSwap 注入了 450 萬美元的 ARBX 代幣，使其價格從 1.42 美元跌至零。

根據 CertiK 的事件分析，Arbix Finance 項目顯示了太多的危險信號。ARBX 合約只有所有者功能的 mint()， 1000 萬個 ARBX 代幣被鑄造到了 8 個地址。CertiK 還確認有 450 萬個 ARBX 被鑄造到一個地址，之後被轉移。另一個危險信號是 1000 萬美元的用戶資金，這筆資金在存入後被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，盜取了 1000 萬美元資產。

Compounder Finance

損失金額: 1200 萬美元

日期: 2020 年 12 月 2 日

鏈:Ethereum

方法: 合約漏洞

就在 DeFi 之夏繁榮過後的幾個月，投資者情緒高漲，收益率也很高。一群匿名开發者开發的 Compounder Finance 吸引到了部分用戶關注，它與無數其他希望進入流動性挖礦熱潮的協議沒有什么不同。讓人喫驚的是，其用戶被盜走超過 1200 萬美元資金的罪魁禍首並非黑客，而是項目方本身。項目方在完成審計後在其代碼庫中添加了 7 個惡意策略合約，是一起性質十分惡劣的 DeFi 跑路事件。

區別在於，在經過審計後，它在聯系人中加入了惡意後門程序。這個後門允許开發者竊取所有存入協議的用戶資金——大約價值 1200 萬美元。從那以後，審計實踐不得不進行調整，不僅重新關注外部威脅，也重新關注內部威脅。該事件發生後，Rekt news 和@vasa_develop 分享了事件的詳細過程。

Snowdog

損失金額: 1810 萬美元

日期: 2021 年 11 月 25 日

鏈:Avalanche

方法：合約漏洞

Avalanche Rush 為生態系統帶來了 1.8 億美元的激勵，將成群的加密愛好者引入了一條新的鏈，而當時又正是狗狗幣火熱之際，Avalanche 鏈上 Meme 項目 Snowdog 博得了許多關注，其更是號稱以創造一種由協議擁有的流動性支持的儲備貨幣為愿景。

此次事件是一場典型的“Rug Pull”。項目內部人員疑似利用對外隱藏的“challengeKey”，通過 Snowswap 在今日早上 6 點左右分兩次大量拋售 SDOG Token，獲利 1700 萬美元，使 SDOG 價格在半小時內下跌 90% 。TechnoArtoria 指出，此前 Snowswap 的合約代碼並未得到全面審查，只有內部人員知道“challengeKey”的情況，並利用其進行巨額 Token 拋售。

StableMagnet

損失金額: 2700 萬美元

日期: 2021 年 6 月 23 日

鏈： BNB Chain

方法：合約漏洞和用戶錢包

DeFi 項目 StableMagnet 承諾穩定幣的高回報，在推出“新穎的地毯方法”之前，吸引到了數千萬的 TVL 投資。

此次問題並不是出在項目本身的智能合約中，而在智能合約調用的底層函數庫。項目方在底層函數庫 SwapUtils Library 中植入後門，因此不論項目本身的智能合約代碼是否安全、是否有時間鎖，項目方都可以直接利用底層函數的後門轉移資產。

事情發生後，該事件的受害者之一、DeFi 領域 KOL Ogle 以及社區調查組進行了地毯式搜索，最終獲得情報的英國警方順利抓獲了項目方成員，被捕的成員退還的資產總計約 2250 萬美元。

Paid Network

損失金額: 2700 萬美元

日期: 2021 年 3 月 5 日

鏈:Ethereum

方法：無限鑄造及拋售

去中心化應用 Paid Network 旨在通過專有的 SMART 協議、社區管理的仲裁系統、聲譽評分、DeFi 工具，為开展業務提供一種新方法。

北京時間 2021 年 3 月 6 日， PAID Network 官方發推稱合約遭到黑客攻擊，由於 PAID Network 項目使用的是可升級的存儲代理合約模型，攻擊者利用 PAID Network 代理合約 owner 權限部署了惡意邏輯合約，並盜取了超過 5900 萬個 PAID 代幣。

據了解，合同所有者可以自由地鑄造額外代幣的漏洞，很早就被用戶發現和指出，推特用戶@WARONRUGS(已刪除的帳戶)就曾發推提及此漏洞。

Meerkat Finance

損失金額: 3200 萬美元

日期: 2021 年 3 月 4 日

鏈:BNB Chain

方法：合約漏洞

幣安 BSC 鏈上的 DeFi 項目 Meerkat Finance 在運營了一天之後，就獲得了 1300 萬 BUSD 和 7.3 萬 BNB 的收益，時價約為 3100 萬美元，隨後這些資金就被項目方立刻卷走。

Meerkat Finance 最初聲稱這是一次黑客攻擊，但隨後該項目方刪除了他們的账戶

Meerkat Finance 部署者升級了該項目的 2 個金庫。攻擊者地址通過 Vault 代理調用無需許可初始化函數，有效地允許任何人成為 Vault 所有者[ 2 ]。攻擊者隨後通過調用籤名為0x 70 fcb 0 a 7 的函數來耗盡金庫，該函數接受了一個代幣地址作為輸入。升級為智能合約的反編譯，顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。由於升級是 Meerkat Finance 部署者完成的，考慮到鏈上數據的所有方面，因此這次事件最有可能的情況是蓄意的跑路事件，而私鑰泄露的可能性是非常小的。

AnubisDAO

損失金額: 6000 萬美元

日期: 2021 年 10 月 29 日

鏈:Ethereum

方法：合約漏洞

在 Copper Launch 啓動的 OHM 仿盤項目 AnubisDAO 上线一天後撤走流動性池，疑似卷款跑路，共逾 13556 枚 ETH 被轉移至地址@0x 9 fc，價值約 5830 萬美元。不久之後，該項目的 Twitter 账戶停止了活動。

今年 3 月，AnubisDAO 攻擊者（被標記為 AnubisDAO exploiter 3）的地址將 2500 枚 WETH 轉移至“0x 0 D 19 ”开頭地址，並通過 Tornado Cash 清洗了 2400 枚 ETH（約 376 萬美元）；5 月，騙局事件相關的 EOA 地址（0x a 570 d...）將約 3000 枚 ETH（約 590 萬美元）轉入 Tornado Cash。0

總結

這些令人沮喪的資金被盜數據背後，我們也可以看到積極的一面——在被調查的事件中，絕大多數資金損失事件發生在 2022 年之前。事實上，在這份前十名的榜單中， 2021 年損失的資金佔到了總額的 84% 。

這教給我們什么?總的來說，審計公司已經從慘痛的教訓中認識到，他們必須迅速適應以保持良好的聲譽。此外，過去被攻擊過的加密社區成員可以更快地深入代碼，並以更高的命中率識別出可疑的團隊。

在屢次出現 Rug Pulls 後，DeFi 的反脆弱性使其變得更加堅強，這意味着當它暴露在波動性、隨機性、混亂和壓力、風險和不確定性下時，反而能茁壯成長和壯大，並隨着時間的推移最終走向正確道路。是否會有一天，不知名的團隊不再賺取不義之財？這當然不太現實。只要有利可圖，壞人就會不斷挑战底线，但我們發展的方向絕對是正確的。