Bài viết này sẽ tổng hợp 10 dự án Rug Pulls lớn nhất trong những năm gần đây dựa trên danh sách Rug Pulls trên chuỗi của DefiLlama.
Được viết bởi: Bankless
Biên soạn: Zen, PANews
Nếu bạn đã tham gia lĩnh vực DeFi nhiều năm thì chắc hẳn bạn đã trải qua nhiều vụ lừa đảo và hacker hơn bạn tưởng tượng, đây là rủi ro mà chúng ta gặp phải khi tương tác ở vị trí đi đầu trong công nghệ tài chính.
Trong số tất cả những cạm bẫy của DeFi, điều nhức nhối nhất thường là việc kéo Rug . Còn được gọi là lừa đảo thoát, những lỗ hổng nội bộ này xảy ra khi những người trong nội bộ dự án lợi dụng tín nhiệm của người dùng để đánh cắp tài sản của họ. Chúng thường xảy ra thông qua việc mã độc lẻn vào các hợp đồng thông minh, cho phép các nhà phát triển rút hết các hợp đồng hoặc ví của người dùng đó.
Bài viết này sẽ tổng hợp 10 dự án Rug Pulls lớn nhất trong những năm gần đây dựa trên danh sách Rug Pulls trên chuỗi của DefiLlama.
Jay Pegs Auto Mart
Số tiền thiệt hại: 3,1 triệu ĐÔ LA
Ngày: 17 tháng 9 năm 2021
Blockchain:Ethereum
Phương pháp: Địa chỉ gửi tiền đã bị thay thế một cách ác ý
Giao diện người dùng của nền tảng SushiSwap IDO Miso đã bị tấn công. Một nhà thầu nặc danh đã tiêm mã độc vào giao diện người dùng Miso và kẻ tấn công đã thay thế ví đấu giá bằng địa chỉ ví của chính mình, dẫn đến vụ đánh cắp 864,8 ETH (khoảng 3,07 triệu ĐÔ LA). Cuộc đấu giá bị tấn công này là cuộc đấu giá token DONA cho dự án Jay Pegs Auto Mart. Sau đó, đội ngũ SushiSwap đã ngay lập tức khắc phục lỗ hổng này và sau khi theo dõi kẻ tấn công cũng như yêu cầu FBI can thiệp, toàn bộ số tiền đã nhanh chóng được trả lại.
Dragoma
Số tiền thiệt hại: 3,5 triệu ĐÔ LA
Ngày: 8 tháng 8 năm 2022
Chuỗi: Polygon
Phương pháp: rút vốn
Tương tự như STEPN phổ biến một thời, Dragoma dựa trên mạng Polygon cũng là một Gamefi tập trung vào khái niệm di chuyển để kiếm tiền. Người chơi có thể lĩnh nhận trứng khủng long miễn phí và nuôi dưỡng thành NFT sau 40 ngày để kiếm lợi nhuận và nhận DMA token và các phần thưởng khác. Vào ngày 8 tháng 8 năm 2022, Dragoma bị nghi ngờ có Rug Pull và DMA giảm mạnh từ 1,8 ĐÔ LA xuống 0,002 ĐÔ LA, giảm 99,82%. Sau đó, tài khoản Twitter chính thức của nó cũng hiển thị "Tài khoản này không tồn tại". Điều đáng nói là đợt sụt giảm này xảy ra chưa đầy 24 giờ sau khi token DMA ra mắt trên sàn giao dịch crypto MEXC.
Ông trùm tài chính
Số tiền thiệt hại: 6,4 triệu ĐÔ LA
Ngày: 25 tháng 8 năm 2023
Chuỗi: Cơ sở
Phương pháp: Lỗ hổng hợp đồng
Thám tử ZachXBT trên chuỗi đã đưa ra cảnh báo vào ngày 25 tháng 8 năm 2023, nói rằng giao thức cho vay sinh thái Base Magnate Finance có thể sớm xảy ra một vụ lừa đảo thoát và cho biết địa chỉ của người triển khai Magnate Finance có liên quan trực tiếp đến vụ lừa đảo thoát Solfire. Ngay sau đó, trang web và nền tảng xã hội của Magnate Finance, giao thức cho vay sinh thái Base, không thể truy cập được. Nhóm Telegram của nó cũng đã bị xóa. ZachXBT cũng tuyên bố rằng địa chỉ trên chuỗi của người triển khai cũng có liên quan đến vụ lừa đảo thoát Kokomo Finance.
Theo cuộc điều tra vụ việc do Paidun công bố, Magnate Finance đã tiến hành Rug trực tiếp oracle về giá, dẫn đến khoản lỗ khoảng 6,5 triệu ĐÔ LA. Theo giám sát của Beosin Alert, địa chỉ của nhà triển khai Magnate Finance có liên quan đến Solfire và Kokomo Finance, nơi đã xảy ra Rug Pull trước đây. Kẻ lừa đảo đã đánh cắp tổng cộng 16,7 triệu ĐÔ LA.
Các mạng blockchain mới giống như miền Tây hoang dã của Mỹ, việc thận trọng và tuân thủ kiểm toán cũng như các giao thức đã được kiểm tra theo thời gian có thể giúp giảm thiểu rủi ro.
Tài chính Arbix
Số tiền thiệt hại: 10 triệu ĐÔ LA
Ngày: ngày 4 tháng 1 năm 2022
Chuỗi:BNB
Phương pháp: Lỗ hổng hợp đồng
Arbix Finance, một giao thức Khai thác thanh khoản dựa trên Binance Smart Chain, đã được quảng bá như một cách để "thu được lợi nhuận tốt nhất với rủi ro thấp ", trong khi Arbix sử dụng cơ chế chênh lệch tiền gửi của người dùng để kiếm lợi nhuận. Vào sáng sớm ngày 4 tháng 1 năm 2022, khoảng 10 triệu đô la la tiền của người dùng đã bị rút hết, các trang web và mạng xã hội của dự án cũng bị đóng cửa. Ngay sau đó, đội ngũ đã bơm 4,5 triệu ĐÔ LA token ARBX vào PancakeSwap , khiến giá của nó giảm từ 1,42 ĐÔ LA xuống 0.
Theo phân tích sự kiện của CertiK, dự án Arbix Finance đã xuất hiện quá nhiều dấu hiệu đỏ. Hợp đồng ARBX chỉ có chức năng chủ sở hữu mint() và 10 triệu token ARBX đã được đúc tới 8 địa chỉ. CertiK cũng xác nhận rằng 4,5 triệu ARBX đã đúc vào một địa chỉ và sau đó được chuyển đi. Một lá cờ đỏ khác là đô la triệu đô la tiền của người dùng, được chuyển đến một nhóm chưa được xác minh sau khi được gửi tiền và hacker cuối cùng đã có được toàn quyền truy cập và đánh cắp tài sản trị giá 10 triệu đô la.
Tài chính tổng hợp
Số tiền thiệt hại: 12 triệu ĐÔ LA
Ngày: 2 tháng 12 năm 2020
Chuỗi:Ethereum
Phương pháp: Lỗ hổng hợp đồng
Chỉ vài tháng sau đợt bùng nổ mùa hè DeFi, tâm lý nhà đầu tư đã lên cao và tỷ suất lợi nhuận cũng cao. Hợp chất tài chính, được phát triển bởi một nhóm các nhà phát triển nặc danh, đã thu hút một số sự chú ý của người dùng và nó không khác gì vô số giao thức khác đang hy vọng bước vào thời kỳ bùng nổ Khai thác thanh khoản. Điều đáng ngạc nhiên là thủ phạm đã đánh cắp hơn 12 triệu ĐÔ LA của người dùng không phải là hacker mà chính là dự án. Sau khi hoàn tất kiểm toán, nhóm dự án đã thêm 7 hợp đồng chiến lược độc hại vào cơ sở mã của mình, đây là một sự cố thoát DeFi rất tồi tệ.
Điểm khác biệt là sau khi được kiểm toán, nó đã thêm một cửa hậu độc hại vào danh bạ. Cửa hậu này cho phép các nhà phát triển đánh cắp tất cả tiền của người dùng gửi vào giao thức—trị giá khoảng 12 triệu ĐÔ LA. Kể từ đó, các hoạt động kiểm toán đã phải điều chỉnh và tái tập trung không chỉ vào các mối đe dọa bên ngoài mà còn cả các mối đe dọa bên trong. Sau vụ việc, Rekt news và @vasa_develop đã chia sẻ chi tiết về vụ việc.
Chó tuyết
Số tiền thiệt hại: 18,1 triệu ĐÔ LA
Ngày: 25 tháng 11 năm 2021
Chuỗi:Tuyết lở
Phương pháp: Lỗ hổng hợp đồng
Avalanche Rush đã mang lại 180 triệu đô la la khích lệ cho hệ sinh thái và giới thiệu một chuỗi mới cho những người đam mê crypto. Vào thời điểm Dogecoin đang rất hot, dự án meme Snowdog trên chuỗi Avalanche đã thu hút được rất nhiều sự chú ý, thậm chí còn tuyên bố là có viễn cảnh mong đợi tạo ra một loại tiền dự trữ được hỗ trợ bởi thanh khoản do giao thức sở hữu.
Sự việc này là một vụ "Kéo Rug " điển hình. Người trong dự án bị nghi ngờ sử dụng "challengeKey" ẩn giấu với thế giới bên ngoài bán tháo SDOG Token lượng lớn thành hai đợt vào khoảng 6 giờ sáng nay thông qua Snowswap, thu về 17 triệu ĐÔ LA, khiến giá SDOG giảm 90 % trong nửa giờ. TechnoArtoria chỉ ra rằng mã hợp đồng của Snowswap trước đây chưa được xem xét đầy đủ và chỉ những người trong cuộc mới biết về “challengeKey” và sử dụng nó để bán tháo số lượng lớn token.
Nam châm ổn định
Số tiền thiệt hại: 27 triệu ĐÔ LA
Ngày: 23 tháng 6 năm 2021
Chuỗi: Chuỗi BNB
Phương pháp: Lỗ hổng hợp đồng và ví người dùng
Dự án DeFi StableMagnet hứa hẹn mang lại lợi nhuận cao cho stablecoin và thu hút hàng chục triệu khoản đầu tư TVL trước khi tung ra“phương pháp thảm mới lạ”.
Lần này vấn đề không nằm ở hợp đồng thông minh của dự án mà nằm ở thư viện chức năng cơ bản được gọi bởi hợp đồng thông minh. Bên dự án đã cấy một backdoor vào thư viện chức năng cơ bản SwapUtils Library, do đó, bất kể mã hợp đồng thông minh của chính dự án có an toàn hay có khóa thời gian thì bên dự án đều có thể trực tiếp sử dụng cửa sau của chức năng cơ bản để chuyển tài sản .
Sau khi vụ việc xảy ra, một trong những nạn nhân của vụ việc là KOL Ogle trong lĩnh vực DeFi và nhóm điều tra cộng đồng đã tiến hành khám xét tổng thể, cuối cùng cảnh sát Anh thu được thông tin tình báo đã bắt giữ thành công các thành viên dự án. tổng số thành viên bị bắt lên tới xấp xỉ 22,5 triệu đô la.
Mạng trả phí
Số tiền thiệt hại: 27 triệu ĐÔ LA
Ngày: 5 tháng 3 năm 2021
Chuỗi:Ethereum
Phương pháp: Đúc và bán tháo vô hạn
Ứng dụng phi tập trung Mạng trả phí nhằm mục đích cung cấp một phương pháp mới để việc kinh doanh thông qua giao thức SMART độc quyền, hệ thống trọng tài do cộng đồng quản lý, chấm điểm danh tiếng và các công cụ DeFi.
Vào ngày 6 tháng 3 năm 2021, giờ Bắc Kinh, PAID Network chính thức tweet hợp đồng đã bị hacker tấn công. Do dự án PAID Network sử dụng mô hình hợp đồng đại lý lưu trữ nâng cấp nên kẻ tấn công đã sử dụng quyền của chủ sở hữu hợp đồng đại lý PAID Network để triển khai hợp đồng logic độc hại . , và đánh cắp hơn 59 triệu token TRẢ TIỀN .
Người dùng Twitter @WARONRUGS (đã đúc token khoản) đã từng tweet về lỗ hổng này.
Tài chính Meerkat
Số tiền thiệt hại: 32 triệu ĐÔ LA
Ngày: 4 tháng 3 năm 2021
Chuỗi:Chuỗi BNB
Phương pháp: Lỗ hổng hợp đồng
Meerkat Finance, một dự án DeFi trên chuỗi Binance BSC, đã nhận được 13 triệu BUSD và 73.000 BNB sau một ngày hoạt động, với lợi nhuận hiện tại xấp xỉ 31 triệu ĐÔ LA. Số tiền này ngay lập tức bị nhóm dự án lấy đi.
Meerkat Finance ban đầu cho rằng đó là hacker, nhưng sau đó dự án đã xóa tài khoản của họ
Nhà triển khai Meerkat Finance nâng cấp 2 vault của dự án. Địa chỉ kẻ tấn công gọi chức năng khởi tạo không được phép thông qua proxy Vault, cho phép bất kỳ ai trở thành chủ sở hữu Vault một cách hiệu quả [2]. Sau đó, kẻ tấn công đã rút hết vault bằng cách gọi một hàm có ký hiệu 0x70fcb0a7, hàm này chấp nhận địa chỉ token làm đầu vào. Nâng cấp lên bản dịch ngược của hợp đồng thông minh cho thấy mục đích duy nhất của chức năng được gọi là rút tiền có lợi cho chủ sở hữu. Vì nâng cấp đã được nhà triển khai Meerkat Finance hoàn thành, có tính đến tất cả các khía cạnh của dữ liệu trên chuỗi, nên kịch bản rất có thể xảy ra với sự cố này là sự cố trốn thoát có chủ ý và khả năng rò rỉ khóa riêng là rất nhỏ.
AnubisDAO
Số tiền thiệt hại: 60 triệu ĐÔ LA
Ngày: 29 tháng 10 năm 2021
Chuỗi:Ethereum
Phương pháp: Lỗ hổng hợp đồng
AnubisDAO, một dự án giả mạo OHM do Copper Launch khởi xướng, đã rút nhóm thanh khoản của mình một ngày sau khi ra mắt . Người ta nghi ngờ rằng số tiền này đã được sử dụng để trốn thoát. Tổng cộng hơn 13.556 ETH đã được chuyển đến địa chỉ @ 0x9fc, trị giá khoảng 58,3 triệu ĐÔ LA. Ngay sau đó, tài khoản Twitter của dự án đã ngừng hoạt động.
Vào tháng 3 năm nay, địa chỉ của kẻ tấn công AnubisDAO (đánh dấu AnubisDAO mininger3) đã chuyển 2.500 WETH đến địa chỉ bắt đầu bằng "0x0D19" và rửa 2.400 ETH (khoảng 3,76 triệu ĐÔ LA) thông qua Tornado Cash; vào tháng 5, vụ lừa đảo liên quan đến The Địa chỉ EOA (0xa570d...) đã chuyển khoảng 3.000 ETH (khoảng 5,9 triệu ĐÔ LA) sang Tornado Cash. 0
Tóm tắt
Đằng sau dữ liệu đáng buồn về số tiền bị đánh cắp này, chúng ta cũng có thể thấy mặt tích cực - trong số các sự cố được điều tra, phần lớn các khoản lỗ quỹ xảy ra trước năm 2022. Trên thực tế, trong danh sách top 10 này, số tiền bị mất vào năm 2021 chiếm 84% tổng số tiền.
Nhìn chung, các công ty kiểm toán đã học được một cách khó khăn rằng họ phải thích ứng nhanh chóng để duy trì danh tiếng tốt. Ngoài ra, các thành viên của cộng đồng crypto đã bị xâm phạm trước đây có thể tìm hiểu sâu hơn về mã nhanh hơn và xác định đội ngũ đáng ngờ có tỷ lệ trúng cao hơn.
Sau nhiều lần kéo Rug , DeFi được làm cho mạnh mẽ hơn nhờ Kháng thương của nó, nghĩa là nó phát triển và lớn mạnh khi gặp phải sự biến động, ngẫu nhiên, hỗn loạn và căng thẳng, rủi ro và sự không chắc chắn, và cuối cùng đi theo con đường đúng đắn khi thời gian trôi qua. Liệu sẽ có một ngày mà đội ngũ vô danh không còn kiếm được những lợi ích bất chính nữa? Điều này tất nhiên là không thực tế. Chỉ cần có lợi nhuận, kẻ xấu sẽ tiếp tục thách thức điểm mấu chốt, nhưng hướng phát triển của chúng tôi chắc chắn là đúng hướng.
