原作者：バンクレス

DeFi分野に長年携わっている人であれば、想像以上に多くの詐欺やハッカーを経験しているはずですが、これが金融テクノロジーの最前線で私たちがとるリスクです。

DeFiのあらゆる落とし穴の中で、最も刺さるのは敷物を引っ張ることです。出口詐欺としても知られるこれらのインサイダー脆弱性は、プロジェクトの内部関係者がユーザーの信頼を利用して資産を盗むと​​きに発生します。多くの場合、悪意のあるコードがスマート コントラクトに侵入することで発生し、開発者がそれらのコントラクトやユーザー ウォレットを使い果たすことを可能にします。

この記事では、DefiLlama のオンチェーン ラグ プル リストに基づいて、近年の 10 件の最大のラグ プル プロジェクトを取り上げます。

ジェイ・ペグス・オートマート

損失額：310万ドル

日付：2021年9月17日

ブロックチェーン:イーサリアム

方法: 入金アドレスが悪意を持って置き換えられました

Sushiswap IDOプラットフォームMisoのフロントエンドが攻撃されました。匿名の請負業者が、Miso フロントエンドに悪意のあるコードを注入し、攻撃者はオークション ウォレットを自分のウォレット アドレスに置き換え、その結果、8 億 64.8 ETH (約 307 万ドル) が盗難されました。この攻撃を受けたオークションは、Jay Pegs Auto Mart プロジェクトの DONA トークン オークションでした。その後、SushiSwap チームは直ちに脆弱性を修正し、攻撃者を追跡して FBI の介入を要請した後、すぐにすべての資金が返還されました。

ドラゴマ

損失額：350万ドル

日付: 2022 年 8 月 8 日

チェーン: ポリゴン

方法: 資本を引き出す

人気の STEPN と同様に、Polygon ネットワークに基づく Dragoma も、移動して獲得するコンセプトに焦点を当てたチェーン ゲームです。プレイヤーは恐竜の卵を無料で受け取り、40 日後に孵化させて NFT を生成し、収入を獲得し、DMA トークンを取得できます。 . コインとその他の報酬。 2022年8月8日、ドラゴマ社にラグプル疑惑が浮上し、DMAが1.8ドルから0.002ドルまで99.82％急落し、その後、同社の公式Twitterアカウントにも「このアカウントは存在しません」と表示された。この急落は、DMA トークンが暗号通貨取引所 MEXC に上場されてから 24 時間も経たないうちに発生したことは言及する価値があります。

金融界の大御所

損失額：640万ドル

日付: 2023 年 8 月 25 日

チェーン:ベース

方法: 契約の脆弱性

オンチェーン探偵の ZachXBT は、2023 年 8 月 25 日に警告を発し、Base のエコロジー融資プロトコルである Magnate Finance で近々出口詐欺が発生する可能性があると述べ、Magnate Finance の展開者のアドレスが Solfire 出口詐欺に直接関係していると述べました。その直後、Magnate Finance (Base エコロジー融資プロトコル) の Web サイトとソーシャル プラットフォームにアクセスできなくなりました。 Telegram グループも削除されました。 ZachXBT はまた、デプロイヤーのオンチェーン アドレスもココモ ファイナンスの出口詐欺にリンクされていると述べました。

Paidun が発表した事件調査によると、Magnate Finance は価格オラクルを直接操作することで不正行為を行い、その結果約 650 万米ドルの損失が発生しました。 Beosin Alert の監視によると、Magnate Finance の展開者のアドレスは、以前に Rug Pull が発生した Solfire と Kokomo Finance に関連しています。詐欺師は総額1670万ドルを盗んだ。

Paidun が発表した事件調査によると、Magnate Finance は価格オラクルを直接操作することで不正行為を行い、その結果約 650 万米ドルの損失が発生しました。 Beosin Alert の監視によると、Magnate Finance の展開者のアドレスは、以前に Rug Pull が発生した Solfire と Kokomo Finance に関連しています。詐欺師は総額1670万ドルを盗んだ。

新しいブロックチェーン ネットワークはアメリカの西部開拓時代のようなものであり、慎重に行動し、監査と実績のあるプロトコルを遵守することがリスクを軽減するのに役立ちます。

アービックス・ファイナンス

損失額：1,000万ドル

日付: 2022 年 1 月 4 日

チェーン:BNB

方法: 契約の脆弱性

Binance Smart Chain に基づく流動性マイニング プロトコルである Arbix Finance は、かつて「低リスクで最高のリターンを得る」方法として宣伝されており、Arbix はユーザーの預金裁定取引を利用してリターンを獲得していました。 2022年1月4日早朝、ユーザー資金約1000万ドルが吸い上げられ、プロジェクトのソーシャルネットワークとウェブサイトも閉鎖された。その直後、チームは 450 万ドルの ARBX トークンを PancakeSwap に注入し、価格が 1.42 ドルからゼロに下落しました。

CertiK のイベント分析によると、Arbix Finance プロジェクトには危険信号が多すぎます。 ARBX コントラクトにはオーナー関数 mint() のみがあり、1,000 万個の ARBX トークンが 8 つのアドレスに鋳造されました。 CertiK はまた、450 万個の ARBX が特定の住所に鋳造され、その後転送されたことを確認しました。もう 1 つの危険信号は、1,000 万ドルのユーザー資金が入金された後に未確認のプールに送られ、最終的にハッカーがフルアクセスを取得して 1,000 万ドルの資産を盗んだことです。

複利融資

損失額：1200万ドル

日付：2020年12月2日

チェーン:イーサリアム

方法: 契約の脆弱性

DeFiの夏のブームからわずか数か月で、投資家心理は高まり、利回りも高くなっています。匿名の開発者のグループによって開発された Compounder Finance は一部のユーザーの注目を集めており、流動性マイニング ブームへの参入を望んでいる他の無数のプロトコルと何ら変わりはありません。驚くべきことに、ユーザーから 1,200 万ドル以上を盗んだ犯人はハッカーではなく、プロジェクトそのものでした。監査完了後、プロジェクトチームはコードベースに7つの悪意のある戦略コントラクトを追加しましたが、これは非常に悪質なDeFi脱出インシデントでした。

違いは、監査後に連絡先に悪意のあるバックドアが追加されたことです。このバックドアにより、開発者はプロトコルに預けられたすべてのユーザー資金 (約 1,200 万ドル相当) を盗むことができました。それ以来、監査の実践は外部の脅威だけでなく内部の脅威にも適応し、再度焦点を当てる必要がありました。インシデント発生後、Rekt news と @vasa_develop がインシデントの詳細なプロセスを共有しました。

スノードッグ

損失額：1,810万ドル

日付：2021年11月25日

チェーン:アバランチ

方法: 契約の脆弱性

Avalanche Rush はエコシステムに 1 億 8,000 万ドルのインセンティブをもたらし、多くの仮想通貨愛好家を新しいチェーンに紹介しました。Dogecoin が流行していた当時、Avalanche オンチェーン ミーム プロジェクト Snowdog は多くの注目を集めました。プロトコルが所有する流動性を裏付けとした準備通貨を作成するというビジョン。

この事件は典型的な「敷物引き事件」だった。プロジェクト内部関係者は、外部から隠蔽された「challengeKey」を使用して今朝午前6時ごろ、Snowswapを通じてSDOGトークンを2回に分けて大量に販売し、1,700万米ドルの利益を得てSDOG価格を90％下落させた疑いがある。 30分以内に。 TechnoArtoriaは、Snowswapの契約コードはこれまで完全にレビューされておらず、内部関係者だけが「challengeKey」について知っており、それを使って巨額のトークンを販売していたと指摘した。

安定した磁石

損失額：2,700万ドル

日付：2021年6月23日

安定した磁石

損失額：2,700万ドル

日付：2021年6月23日

チェーン：BNBチェーン

方法: 契約の脆弱性とユーザーウォレット

ステーブルコインの高い収益を約束する DeFi プロジェクト StableMagnet は、「斬新なカーペット アプローチ」を開始する前に、数千万の TVL 投資を集めました。

今回の問題は、プロジェクト自体のスマート コントラクトではなく、スマート コントラクトによって呼び出される基盤となる関数ライブラリにあります。プロジェクト パーティは、基礎となる関数ライブラリ SwapUtils Library にバックドアを埋め込んでいるため、プロジェクト自体のスマート コントラクト コードが安全であるか、タイム ロックがあるかに関係なく、プロジェクト パーティは基礎となる関数のバックドアを直接使用して転送できます。資産。

事件後、被害者の一人であるDeFi分野のKOLオーグル氏とコミュニティ調査チームによる全面捜索が行われ、最終的に情報を入手した英国警察がプロジェクト関係者らの逮捕に成功した。逮捕されたメンバーが返還した資産は総額約2,250万ドルに達した。

有料ネットワーク

損失額：2,700万ドル

日付：2021年3月5日

チェーン:イーサリアム

方法: 無限キャストとダンピング

分散型アプリケーション Paid Network は、独自の SMART プロトコル、コミュニティ管理の仲裁システム、評判スコアリング、および DeFi ツールを通じて、新しいビジネス方法を提供することを目指しています。

北京時間の2021年3月6日、PAID Networkは契約がハッカーによって攻撃されたと公式ツイートした｡PAID Networkプロジェクトはアップグレード可能なストレージエージェント契約モデルを使用しているため､攻撃者はPAID Networkエージェント契約所有者の権利を利用して悪意のあるロジックコントラクトを展開した｡ . 、5,900万以上のPAIDトークンを盗みました。

契約所有者が自由に追加トークンを鋳造できる抜け穴はかなり早い段階でユーザーによって発見され指摘されていたことがわかっており、Twitterユーザーの@WARONRUGS（アカウント削除済み）もかつてこの抜け穴についてツイートしていました。

ミーアキャット・ファイナンス

損失額：3,200万ドル

日付：2021年3月4日

チェーン:BNBチェーン

方法: 契約の脆弱性

Binance BSC チェーンの DeFi プロジェクトである Meerkat Finance は、1 日の運用後に 1,300 万 BUSD と 73,000 BNB を獲得し、現在の価格は約 3,100 万米ドルとなり、これらの資金はプロジェクト チームによって直ちに取り上げられました。

Meerkat Finance は当初、これはハッキングだと主張しましたが、プロジェクトは後にアカウントを削除しました

Meerkat Finance のデプロイ担当者は、プロジェクトのボールト 2 つをアップグレードしました。攻撃者のアドレスは、Vault プロキシを介して許可のない初期化関数を呼び出し、事実上誰でも Vault 所有者になることを可能にします [2]。次に、攻撃者は、トークン アドレスを入力として受け入れる関数署名 0x70fcb0a7 を呼び出してボールトを空にしました。スマート コントラクトの逆コンパイルにアップグレードすると、呼び出される関数の唯一の目的が所有者に有利な資金を削除することであることがわかります。アップグレードは Meerkat Finance のデプロイ担当者によって完了したため、チェーン上のデータのあらゆる側面を考慮すると、このインシデントの最も可能性の高いケースは意図的な逃走インシデントであり、秘密キーの漏洩の可能性は非常に小さいです。

アヌビスDAO

損失額：6,000万ドル

日付：2021年10月29日

チェーン:イーサリアム

方法: 契約の脆弱性

Copper Launchが立ち上げたOHM模倣ディスクプロジェクトであるAnubisDAOは、オンラインになった翌日に流動性プールを引き出し、その資金が逃亡に使われた疑いがあり、合計13,556ETH以上がアドレス@0x9fcに送金された。約5,830万米ドル。その直後、プロジェクトの Twitter アカウントは活動を停止しました。

方法: 契約の脆弱性

Copper Launchが立ち上げたOHM模倣ディスクプロジェクトであるAnubisDAOは、オンラインになった翌日に流動性プールを引き出し、その資金が逃亡に使われた疑いがあり、合計13,556ETH以上がアドレス@0x9fcに送金された。約5,830万米ドル。その直後、プロジェクトの Twitter アカウントは活動を停止しました。

今年 3 月、AnubisDAO 攻撃者のアドレス (AnubisDAO Exploiter3 とラベル付け) は、「0x0D19」で始まるアドレスに 2,500 WETH を転送し、Tornado Cash を通じて 2,400 ETH (約 376 万米ドル) を洗浄しました。5 月には、詐欺事件に関連して、 EOA アドレス (0xa570d...) は、約 3,000 ETH (約 590 万ドル) を Tornado Cash に転送しました。 0

要約する

盗まれた資金に関するこれらの憂鬱なデータの裏には、前向きな側面も見ることができます。調査された事件のうち、資金損失の大部分は 2022 年以前に発生したものでした。実際、このトップ 10 リストでは、2021 年に失われた資金が全体の 84% を占めています。

これは何を教えてくれるのでしょうか? 全体として、監査法人は、良い評判を維持するには迅速に適応しなければならないという苦い経験を​​積んできました。さらに、過去に侵害を受けた暗号通貨コミュニティのメンバーは、より迅速にコードを深く掘り下げ、より高いヒット率で疑わしいチームを特定できます。

ラグプルを繰り返すと、DeFi の反脆弱性が DeFi を強化します。つまり、不安定性、ランダム性、混乱とストレス、リスクと不確実性にさらされても繁栄し、成長し、時間が経つにつれて最終的には正しい道に向かって進みます。無名チームが不正に利益を得られなくなる日は来るのだろうか？もちろんこれは非現実的です。利益がある限り、悪者は収益に挑戦し続けますが、当社の発展方向は間違いなく正しい方向にあります。