이번 아티클에서는 디필라마의 온체인 러그풀 목록을 기반으로 최근 몇 년간 가장 큰 러그풀 프로젝트 10개를 살펴보도록 하겠습니다.
글: Bankless
Zen, PANews 편집
수년 동안 탈중앙 금융 분야에 깊이 관여했다면, 핀테크 분야에서 상호작용할 때 우리 모두가 감수해야 하는 위험인 사기, 해킹, 해킹을 많이 경험하셨을 것입니다.
디파이의 모든 함정 중에서 가장 큰 피해를 입히는 것은 프로젝트 내부자가 사용자의 신뢰를 이용해 자산을 탈취하는 내부 익스플로잇인 러그 풀(Rug Pull)입니다. 보통 스마트 컨트랙트에 몰래 침투하는 악성 코드를 통해 개발자가 해당 컨트랙트나 사용자 지갑을 탈취하는 방식으로 발생합니다.
이번 아티클에서는 디필라마의 온체인 러그풀 목록을 바탕으로 최근 몇 년간 가장 큰 러그풀 프로젝트 10개를 살펴보도록 하겠습니다.
제이 페그스 오토마트
손실 금액: 310만 달러
날짜:2021년 9월 17일
블록체인:이더리움
방법:악의적으로 대체된 입금 주소
스시스왑 IDO 플랫폼인 미소의 프런트엔드가 공격을 받았습니다. 익명의 계약자가 미소 프런트엔드에 악성 코드를 삽입했으며, 공격자는 경매 지갑을 자신의 지갑 주소로 교체하여 864.8 이더(약 307만 달러)를 도난당했습니다. 이 공격을 받은 경매는 제이 페그스 오토마트 프로젝트의 DONA 토큰 경매였습니다. 스시스왑 팀은 즉시 취약점을 수정했고, 공격자를 추적하고 FBI에 개입을 요청한 후 모든 자금을 신속하게 반환했습니다.
Dragoma
손실: 350만 달러
날짜: 2022년 8월 8일
체인: 폴리곤
방법: 자금 회피
인기 있는 STEPN과 유사하게, 폴리곤 네트워크를 기반으로 하는 드라고마는 플레이어가 40일 후 NFT로 부화하여 수익, DMA 토큰 및 기타 상품을 획득하는 데 사용되는 무료 공룡 알을 받는 무브 투 적립 개념에 초점을 맞춘 체인 게임입니다. 1.8 USD에서 0.002 USD로 99.82% 하락한 후 공식 트위터 계정에 "이 계정은 존재하지 않습니다"라는 메시지가 표시되었습니다. DMA 토큰이 암호화폐 거래소 MEXC에 상장된 지 24시간이 채 지나지 않은 시점에 이런 사고가 발생했다는 점에 주목할 필요가 있습니다.
매그네이트 파이낸스
손실 금액: 640만 달러
날짜: 2023년 8월 25일
체인:베이스
방법:계약 취약점
2023년 8월 25일, 체인 수사관 잭XBT는 베이스 에코 대출 프로토콜 매그네이트 파이낸스가 곧 출구 사기를 당할 수 있다고 경고하며, 매그네이트 파이낸스 배포자의 주소가 솔파이어 출구 사기와 직접 연결되어 있다고 밝혔습니다. 얼마 지나지 않아 베이스 에코렌딩 매그네이트 파이낸스의 웹사이트와 소셜 미디어 플랫폼에 접속할 수 없게 되었습니다. 텔레그램 그룹도 삭제되었으며, ZachXBT는 배포자의 온체인 주소가 코코모 파이낸스 출구 사기와도 연결되어 있다고 밝혔습니다.
파이 실드에서 발표한 사건 조사에 따르면, 매그네이트 파이낸스가 가격 예언 기계를 직접 조작하여 러그 풀을 만들었으며, 이로 인해 약 650만 달러의 손실이 발생했다고 주장했습니다. Beosin Alert 모니터링에 따르면 매그네이트 파이낸스의 배포자 주소는 이전 러그 풀의 대상이 되었던 솔파이어와 코코모 파이낸스와 연결되어 있습니다. 사기범은 총 1,670만 달러를 훔쳤습니다.
새로운 블록체인 네트워크는 미국의 서부와 같으며, 주의하고 감사 및 오랜 기간 검증된 프로토콜을 준수하면 위험을 완화하는 데 도움이 될 수 있습니다.
아빅스 파이낸스
손실 금액: 천만 달러
날짜:2022년 1월 4일
체인:BNB
방법: 계약 취약성
바이낸스 스마트 체인에 기반한 유동성 채굴 프로토콜인 아빅스 파이낸스는 "최저 위험으로 최고의 수익을 얻을 수 있는 방법"으로 광고되었으며, 아빅스는 사용자 예치금을 사용하여 수익을 차익거래했습니다. 2022년 1월 4일 새벽, 약 천만 달러의 사용자 자금이 유출되었고 프로젝트의 소셜 미디어 사이트와 웹사이트가 폐쇄되었습니다. 얼마 지나지 않아 팀은 팬케이크스왑에 450만 달러의 ARBX 토큰을 투입하여 가격을 1.42달러에서 0달러로 떨어뜨렸습니다.
ARBX 컨트랙트에는 소유자 함수에 대한 mint() 함수만 있었고, 8개의 주소로 1,000만 개의 ARBX 토큰이 발행되었으며, 단일 주소로 450만 개의 ARBX가 발행된 후 전송된 것을 확인했습니다. 또 다른 위험 신호는 사용자 자금 1,000만 달러가 입금된 후 확인되지 않은 풀로 전송되었고, 해커가 결국 모든 액세스 권한을 획득하여 1,000만 달러의 자산을 탈취한 것입니다.
컴파운더 금융
손실 금액: 1,200만 달러
날짜:2020년 12월 2일
체인:이더리움
방법: 컨트랙트 취약점
디파이 여름 붐이 일어난 지 불과 몇 달 후, 투자자들의 심리가 고조되고 수익률도 상승했습니다. 익명의 개발자 그룹이 개발한 컴파운더 파이낸스는 일부 사용자들의 관심을 끌었고, 유동성 채굴 열풍에 참여하고자 하는 수많은 다른 프로토콜과 다르지 않았습니다. 놀랍게도 사용자들로부터 1,200만 달러가 넘는 자금을 도난당한 범인은 해커가 아니라 프로젝트 소유자였습니다. 프로젝트 측은 감사를 마친 후 코드베이스에 7개의 악성 전략 컨트랙트를 추가했는데, 이는 매우 나쁜 성격의 디파이 폭주였습니다.
다른 점은 감사 후 악성 백도어를 연락처에 추가했다는 것입니다. 이 백도어를 통해 개발자는 계약에 예치된 모든 사용자 자금(약 1,200만 달러 상당)을 훔칠 수 있었습니다. 그 이후로 감사 관행은 외부 위협뿐만 아니라 내부 위협에도 다시 초점을 맞추도록 조정되어야 했습니다. 사건 발생 후 Rekt 뉴스와 @vasa_develop에서 자세한 사건 경위를 공유했습니다.
Snowdog
피해 규모: 1,810만 달러
날짜: 2021년 11월 25일
체인:눈사태
방법:계약 취약점
애벌랜치 러시는 1억 8천만 달러의 인센티브를 생태계에 가져왔고, 수많은 암호화폐 애호가들을 새로운 체인에 소개했으며, 도그코인이 뜨거웠던 시기에 애벌랜치 온체인 밈 프로젝트인 스노우독은 프로토콜 소유의 유동성으로 뒷받침되는 준비 통화를 만든다는 비전으로 많은 관심을 받았습니다.
이번 사건은 전형적인 "러그 풀" 사건입니다. 프로젝트 내부자들은 대중에게 숨겨진 '챌린지키'를 사용해 오늘 오전 6시경 두 차례에 걸쳐 스노우스왑을 통해 SDOG 토큰을 대량 판매하여 1,700만 달러의 수익을 올리고 30분 만에 SDOG의 가격을 90% 하락시킨 혐의를 받고 있습니다. 테크노아토리아는 스노우스왑의 컨트랙트 코드가 완전히 검증되지 않았으며, 내부자만 '챌린지키'에 대해 알고 있었고 이를 이용해 막대한 양의 토큰을 판매했다고 지적했습니다.
스테이블마그넷
손실: 2,700만 달러
날짜: 2021년 6월 23일
체인:BNB 체인
방법: 계약 취약성 및 사용자 지갑
스테이블 코인에 대한 높은 수익을 약속한 탈중앙 금융 프로젝트 스테이블마그넷은 '새로운 카펫 접근 방식'을 출시하기 전에 수천만 달러의 TVL 투자를 유치했습니다.
이번 문제는 프로젝트 자체의 스마트 컨트랙트가 아니라 스마트 컨트랙트가 호출하는 기본 함수 라이브러리에서 발생했습니다. 프로젝트 소유자는 기반 함수 라이브러리인 스왑유틸 라이브러리에 백도어를 심어 프로젝트 자체 스마트 컨트랙트 코드의 보안 여부와 상관없이 기반 함수에 있는 백도어를 직접 사용해 자산을 전송할 수 있도록 했습니다.
사건 발생 후, 사건의 피해자 중 한 명이자 탈중앙 금융 분야의 KOL인 Ogle과 커뮤니티 조사팀은 카펫 수색을 실시했고, 마침내 정보를 입수한 영국 경찰이 프로젝트 멤버들을 성공적으로 체포하여 총 2,250만 달러 상당의 자산을 반환했습니다.
유료 네트워크
손실: 2,700만 달러
날짜: 2021년 3월 5일
체인:이더리움
방법:무제한 채굴 및 덤핑
탈중앙화 애플리케이션 페이드 네트워크는 독점적인 스마트 프로토콜, 커뮤니티 관리 중재 시스템, 평판 점수, 디파이 도구를 통해 새로운 비즈니스 방식을 제공하는 것을 목표로 합니다.
베이징 시간으로 2021년 3월 6일, 페이티드 네트워크 관계자는 트위터를 통해 페이티드 네트워크 프로젝트가 확장 가능한 스토리지 프록시 계약 모델을 사용하기 때문에 공격자가 페이티드 네트워크 프록시 계약 소유자 권한을 사용하여 악성 로직 계약을 배포하고 5,900만 개 이상의 페이티드 토큰을 훔쳤다는 트윗을 올렸습니다.
계약 소유자가 자유롭게 추가 토큰을 발행할 수 있는 이 취약점은 트위터 사용자 @WARONRUGS(삭제된 계정)가 트윗한 것처럼 사용자들에 의해 초기에 발견되어 지적되었습니다.
미어캣 파이낸스
손실: 3,200만 달러
날짜: 2021년 3월 4일
체인:BNB 체인
방법:계약 취약점
코인 BSC 체인의 탈중앙 금융 프로젝트인 미어캣 파이낸스는 운영 하루 만에 1,300만 BUSD와 73,000 BNB를 획득하여 약 3,100만 달러를 기록했지만, 곧바로 프로젝트가 사라졌습니다.
미어캣 파이낸스는 처음에는 해킹이라고 주장했지만, 이후 프로젝트 측에서 계정을 삭제했습니다.
미어캣 파이낸스 배포자는 프로젝트의 볼트 중 2개를 업그레이드했습니다. 공격자의 주소는 볼트 프록시[2]를 통해 무허가 초기화 기능을 호출하여 누구나 볼트 소유자가 될 수 있도록 허용했습니다. 그런 다음 공격자는 토큰 주소를 입력으로 받아들이는 0x70fcb0a7로 서명된 함수를 호출하여 볼트를 고갈시킵니다. 업그레이드는 스마트 컨트랙트의 디컴파일로, 호출된 함수의 유일한 목적은 소유자에게 유리하게 자금을 제거하는 것임을 보여줍니다. 업그레이드가 미어캣 파이낸스 배포자에 의해 이루어졌으므로, 체인에 있는 데이터의 모든 측면을 고려할 때 이 사건의 가장 가능성이 높은 시나리오는 고의적인 폭주 이벤트이며 개인 키가 손상될 가능성은 매우 낮습니다.
아누비스DAO
손실 금액: 6천만 달러
날짜:2021년 10월 29일
체인:이더리움
방법:계약 취약점
코퍼 런치에서 시작된 OHM 목업 프로젝트인 아누비스DAO는 하루 만에 자금 부족으로 의심되어 유동성 풀을 인출했으며, 총 13,556개 이상의 ETH가 @0x9fc 주소로 전송되어 약 5830만 달러의 가치가 있는 것으로 추정됩니다. 얼마 지나지 않아 해당 프로젝트의 트위터 계정은 활동을 중단했습니다.
3월에는 아누비스DAO 공격자(AnubisDAO 익스플로잇터3)가 '0x0D19'로 시작하는 주소로 2,500 WETH를 이체하고 토네이도 캐시를 통해 2,400 ETH(약 376만 달러)를 세탁했으며, 5월에는 사기와 관련된 EOA 주소(0xa570d...)가 사기의 주소로 사용되었습니다. 5월에 사기와 관련된 EOA 주소(0xa570d ...) 는 약 3,000 ETH(약 590만 원)를 Tornado Cash.0으로 이체했습니다.
요약하자면
금전 도난에 대한 이러한 우울한 데이터 이면에는 긍정적인 측면도 있습니다. 조사 대상 중 대다수의 금전 손실 사건이 2022년 이전에 발생했다는 점입니다. 실제로 2021년은 상위 10개 목록에서 손실된 총 자금의 84%를 차지했습니다.
이것이 우리에게 주는 교훈은 무엇일까요? 전반적으로 감사 회사는 좋은 평판을 유지하기 위해 빠르게 적응해야 한다는 어려운 교훈을 얻었습니다. 또한, 과거에 공격을 받은 적이 있는 암호화폐 커뮤니티의 구성원들은 더 빠르게 코드를 분석하고 더 높은 적중률로 의심스러운 팀을 식별할 수 있습니다.
반복되는 러그 풀을 통해 디파이의 취약성 방지 기능은 더욱 강력해졌으며, 이는 변동성, 무작위성, 혼란과 스트레스, 위험과 불확실성에 노출되더라도 오히려 번성하고 성장하며 시간이 지나면 올바른 길로 나아간다는 것을 의미합니다. 무명 팀이 부당한 이득을 취하는 것을 멈출 때가 올까요? 그건 확실히 현실적이지 않습니다. 수익성이 있는 한 악당들은 계속해서 수익에 도전할 것이지만, 우리는 분명 올바른 방향으로 성장하고 있습니다.
