원작자: Bankless

수년 동안 DeFi 분야에 종사했다면 상상했던 것보다 더 많은 사기와 해커를 경험했을 것입니다.이것은 금융 기술의 최전선에서 상호 작용할 때 우리가 감수하는 위험입니다.

DeFi의 모든 함정 중에서 가장 골치 아픈 것은 종종 깔개 당기기입니다. 출구 사기라고도 알려진 이러한 내부자 취약성은 프로젝트 내부자가 사용자의 신뢰를 이용하여 자산을 훔칠 때 발생합니다. 이는 스마트 계약에 몰래 들어가는 악성 코드를 통해 발생하는 경우가 많으며, 이로 인해 개발자는 해당 계약이나 사용자 지갑을 고갈시킬 수 있습니다.

이 기사에서는 DefiLlama의 온체인 Rug Pulls 목록을 기반으로 최근 몇 년간 가장 큰 10개의 Rug Pulls 프로젝트를 살펴볼 것입니다.

제이 페그스 오토마트

손실액 : 310만 달러

날짜: 2021년 9월 17일

블록체인:이더리움

방법: 입금주소를 악의적으로 변조한 경우

Sushiswap IDO 플랫폼 Miso의 프런트 엔드가 공격을 받았습니다. 익명의 계약자가 Miso 프런트엔드에 악성코드를 주입했고, 공격자는 경매 지갑을 자신의 지갑 주소로 교체해 864.8 ETH(약 307만 달러)를 도난당했다. 이번 공격을 받은 경매는 Jay Pegs Auto Mart 프로젝트의 DONA 토큰 경매였습니다. 이후 SushiSwap 팀은 즉시 취약점을 수정했으며, 공격자를 추적하고 FBI 개입을 요청한 후 신속하게 모든 자금을 반환했습니다.

드라고마

손실액 : 350만 달러

날짜: 2022년 8월 8일

체인: 다각형

방법: 자본금 회수

인기 있는 STEPN과 마찬가지로 Polygon 네트워크를 기반으로 하는 Dragoma도 Move-to-Earn 개념에 초점을 맞춘 체인 게임입니다. 플레이어는 공룡 알을 무료로 받고 40일 후에 NFT로 부화하여 수입을 얻고 DMA 토큰을 얻을 수 있습니다. .코인 및 기타 보상. 2022년 8월 8일 Dragoma는 Rug Pull 혐의를 받았으며 DMA는 $1.8에서 $0.002로 99.82% 하락했습니다. 이후 공식 트위터 계정에도 "이 계정은 존재하지 않습니다."라는 메시지가 표시되었습니다. 이러한 급락은 DMA 토큰이 암호화폐 거래소 MEXC에 상장된 지 24시간 이내에 발생했다는 점은 언급할 가치가 있습니다.

거물 금융

손실액 : 640만 달러

날짜: 2023년 8월 25일

체인:베이스

방법: 계약 취약성

온체인 탐정 ZachXBT는 2023년 8월 25일에 기본 생태학적 대출 프로토콜인 Magnate Finance가 곧 출구 사기를 당할 수 있다고 경고하면서 Magnate Finance 배포자 주소가 Solfire 출구 사기와 직접적인 관련이 있다고 말했습니다. 얼마 지나지 않아 기본 생태학적 대출 프로토콜인 Magnate Finance의 웹사이트와 소셜 플랫폼에 액세스할 수 없게 되었습니다. 텔레그램 그룹도 삭제되었습니다. ZachXBT는 또한 배포자의 온체인 주소도 Kokomo Finance 출구 사기와 연결되어 있다고 밝혔습니다.

Paidun이 발표한 사건 조사에 따르면 Magnate Finance는 가격 오라클을 직접 조작하여 러그 풀을 수행하여 약 650만 달러의 손실을 입었습니다. Beosin Alert 모니터링에 따르면 Magnate Finance 배포자 주소는 이전에 Rug Pulls가 발생한 Solfire 및 Kokomo Finance와 관련이 있습니다. 사기꾼은 총 1,670만 달러를 훔쳤습니다.

Paidun이 발표한 사건 조사에 따르면 Magnate Finance는 가격 오라클을 직접 조작하여 러그 풀을 수행하여 약 650만 달러의 손실을 입었습니다. Beosin Alert 모니터링에 따르면 Magnate Finance 배포자 주소는 이전에 Rug Pulls가 발생한 Solfire 및 Kokomo Finance와 관련이 있습니다. 사기꾼은 총 1,670만 달러를 훔쳤습니다.

새로운 블록체인 네트워크는 미국의 서부 개척 시대와 같으며, 주의를 기울이고 감사와 오랜 테스트를 거친 프로토콜을 준수하면 위험을 줄이는 데 도움이 될 수 있습니다.

아빅스파이낸스

손실액 : 1,000만 달러

날짜: 2022년 1월 4일

체인:BNB

방법: 계약 취약성

바이낸스 스마트 체인을 기반으로 한 유동성 채굴 프로토콜인 Arbix Finance는 한때 "낮은 위험으로 최고의 수익을 얻는" 방법으로 홍보되었으며 Arbix는 수익을 얻기 위해 사용자 예금 차익거래를 사용했습니다. 2022년 1월 4일 이른 아침, 약 천만 달러의 사용자 자금이 빠져나가고 프로젝트 소셜 네트워크와 웹사이트도 폐쇄되었습니다. 얼마 지나지 않아 팀은 ARBX 토큰 450만 달러를 PancakeSwap에 주입하여 가격이 1.42달러에서 0으로 떨어졌습니다.

CertiK의 이벤트 분석에 따르면 Arbix Finance 프로젝트는 너무 많은 위험 신호를 보여주었습니다. ARBX 계약에는 소유자 함수 mint()만 있으며 1,000만 개의 ARBX 토큰이 8개 주소로 발행되었습니다. CertiK는 또한 450만 ARBX가 특정 주소로 발행된 후 나중에 전송되었음을 확인했습니다. 또 다른 위험 신호는 1,000만 달러의 사용자 자금이 입금된 후 확인되지 않은 풀로 전달되었으며 해커는 결국 전체 액세스 권한을 얻고 1,000만 달러의 자산을 훔쳤습니다.

복리 금융

손실액 : 1,200만 달러

날짜: 2020년 12월 2일

체인:이더리움

방법: 계약 취약성

DeFi 여름 붐이 일어난 지 불과 몇 달 만에 투자 심리가 높아지고 수익률도 높습니다. 익명의 개발자 그룹이 개발한 컴파운더 파이낸스(Compounder Finance)는 일부 사용자들의 관심을 끌었으며 유동성 채굴 붐에 뛰어들기를 희망하는 수많은 다른 프로토콜과 다르지 않습니다. 놀랍게도 사용자로부터 1,200만 달러 이상을 훔친 범인은 해커가 아니라 프로젝트 자체였습니다. 감사를 마친 후 프로젝트 팀은 7개의 악성 전략 계약을 코드 베이스에 추가했는데, 이는 매우 나쁜 DeFi 탈출 사건이었습니다.

차이점은 감사를 받은 후 연락처에 악성 백도어를 추가했다는 점이다. 이 백도어를 통해 개발자는 프로토콜에 예치된 모든 사용자 자금(약 1,200만 달러 상당)을 훔칠 수 있었습니다. 그 이후로 감사 관행은 외부 위협뿐만 아니라 내부 위협에도 적응하고 다시 집중해야 했습니다. 사건 발생 후 Rekt news와 @vasa_develop에서는 사건의 자세한 과정을 공유했습니다.

스노우독

손실액: 1,810만 달러

날짜: 2021년 11월 25일

체인:눈사태

방법: 계약 취약성

Avalanche Rush는 생태계에 1억 8천만 달러의 인센티브를 제공하고 수많은 암호화폐 애호가들을 새로운 체인에 소개했습니다. Dogecoin이 뜨거울 때 Avalanche 온체인 밈 프로젝트 Snowdog이 많은 주목을 받았습니다. 프로토콜이 소유한 유동성을 기반으로 하는 준비 통화를 만드는 비전입니다.

이 사건은 고전적인 "러그 풀(Rug Pull)" 사건이었습니다. 프로젝트 내부자는 외부에 숨겨져 있던 'challengeKey'를 이용해 오늘 오전 6시경 스노우스왑을 통해 SDOG 토큰을 2회에 걸쳐 대량 판매해 1,700만 달러의 수익을 올리고 SDOG 가격이 90% 하락한 것으로 의심된다. 30분 안에. TechnoArtoria는 Snowswap의 계약 코드가 이전에 완전히 검토되지 않았으며 내부자만이 "challengeKey"에 대해 알고 이를 사용하여 막대한 토큰을 판매했다고 지적했습니다.

안정자석

손실액 : 2,700만 달러

날짜: 2021년 6월 23일

안정자석

손실액 : 2,700만 달러

날짜: 2021년 6월 23일

체인: BNB 체인

방법: 계약 취약점 및 사용자 지갑

스테이블 코인에 대한 높은 수익을 약속하는 DeFi 프로젝트 StableMagnet은 "새로운 카펫 접근 방식"을 시작하기 전에 수천만 개의 TVL 투자를 유치했습니다.

이번에는 문제가 프로젝트 자체의 스마트 계약에 있는 것이 아니라 스마트 계약에 의해 호출되는 기본 함수 라이브러리에 있습니다. 프로젝트 당사자는 기본 기능 라이브러리 SwapUtils 라이브러리에 백도어를 이식했기 때문에 프로젝트 자체의 스마트 계약 코드가 안전하거나 시간 잠금이 있는지 여부에 관계없이 프로젝트 당사자는 기본 기능의 백도어를 직접 사용하여 전송할 수 있습니다. 자산.

사건 이후 사건의 피해자 중 한 명인 DeFi 분야의 KOL 오글과 커뮤니티 조사팀이 전면 수색을 실시했고, 마침내 첩보를 입수한 영국 경찰은 프로젝트 관계자들을 체포하는 데 성공했다. 검거된 멤버들이 반환한 자산은 총 2250만 달러.

유료 네트워크

손실액 : 2,700만 달러

날짜: 2021년 3월 5일

체인:이더리움

방법: 무한 캐스팅 및 덤핑

분산형 애플리케이션 유료 네트워크는 독점적인 SMART 프로토콜, 커뮤니티 관리 중재 시스템, 평판 점수 및 DeFi 도구를 통해 비즈니스를 수행하는 새로운 방법을 제공하는 것을 목표로 합니다.

베이징 시간인 2021년 3월 6일, PAID 네트워크는 해당 계약이 해커의 공격을 받았다고 공식 트위터를 통해 밝혔습니다. PAID 네트워크 프로젝트는 업그레이드 가능한 스토리지 에이전트 계약 모델을 사용하므로 공격자는 PAID 네트워크 에이전트 계약 소유자 권한을 사용하여 악의적인 논리 계약을 배포했습니다. . , 5900만 개가 넘는 PAID 토큰을 훔쳤습니다.

계약 소유자가 자유롭게 추가 토큰을 발행할 수 있는 허점이 매우 일찍 발견되어 사용자들에 의해 지적된 것으로 이해됩니다. 트위터 사용자 @WARONRUGS(삭제된 계정)는 이 허점에 대해 트윗한 적이 있습니다.

미어캣 파이낸스

손실액 : 3,200만 달러

날짜: 2021년 3월 4일

체인:BNB 체인

방법: 계약 취약성

Binance BSC 체인의 DeFi 프로젝트인 Meerkat Finance는 운영 하루 만에 1,300만 BUSD와 73,000 BNB를 얻었으며 현재 가격은 약 3,100만 달러입니다. 이 자금은 프로젝트 팀에서 즉시 회수되었습니다.

Meerkat Finance는 처음에 그것이 해킹이라고 주장했지만 프로젝트는 나중에 계정을 삭제했습니다.

Meerkat Finance 배포자는 프로젝트 금고 2개를 업그레이드했습니다. 공격자 주소는 Vault 프록시를 통해 무허가 초기화 기능을 호출하여 누구나 효과적으로 Vault 소유자가 될 수 있도록 허용합니다[2]. 그런 다음 공격자는 토큰 주소를 입력으로 받아들이는 0x70fcb0a7로 서명된 함수를 호출하여 저장소를 비웠습니다. 스마트 계약의 역컴파일로 업그레이드하면 호출되는 함수의 유일한 목적이 소유자를 위해 자금을 제거하는 것임을 알 수 있습니다. 체인에 있는 데이터의 모든 측면을 고려하여 미어캣 파이낸스 배치자에 의해 업그레이드가 완료되었기 때문에 이번 사건의 가능성은 고의적인 탈출 사건일 가능성이 가장 높으며 개인키 유출 가능성은 매우 적습니다.

아누비스DAO

손실액 : 6천만 달러

날짜: 2021년 10월 29일

체인:이더리움

방법: 계약 취약성

Copper Launch가 런칭한 OHM 모조 디스크 프로젝트인 AnubisDAO는 온라인에 접속한 지 하루 만에 유동성 풀을 철회했으며, 해당 자금이 탈출에 사용된 것으로 의심되었습니다. 총 13,556 ETH 이상이 @0x9fc 주소로 이체되었습니다. 약 5,830만 달러. 얼마 지나지 않아 프로젝트의 트위터 계정이 활동을 중단했습니다.

방법: 계약 취약성

Copper Launch가 런칭한 OHM 모조 디스크 프로젝트인 AnubisDAO는 온라인에 접속한 지 하루 만에 유동성 풀을 철회했으며, 해당 자금이 탈출에 사용된 것으로 의심되었습니다. 총 13,556 ETH 이상이 @0x9fc 주소로 이체되었습니다. 약 5,830만 달러. 얼마 지나지 않아 프로젝트의 트위터 계정이 활동을 중단했습니다.

올해 3월 AnubisDAO 공격자(AnubisDAOExplorer3로 라벨링)의 주소는 "0x0D19"로 시작하는 주소로 2,500 WETH를 전송하고 Tornado Cash를 통해 2,400 ETH(약 376만 달러)를 세탁한 것으로 나타났습니다. EOA 주소(0xa570d...)는 약 3,000 ETH(약 590만 달러)를 Tornado Cash로 이체했습니다. 0

요약하다

도난 자금에 대한 이러한 우울한 데이터 뒤에는 긍정적인 측면도 볼 수 있습니다. 조사된 사건 중 자금 손실의 대부분은 2022년 이전에 발생했습니다. 실제로 이 상위 10개 목록에서 2021년에 손실된 자금은 전체의 84%를 차지했습니다.

이것이 우리에게 주는 교훈 전반적으로 감사 회사는 좋은 평판을 유지하기 위해 신속하게 적응해야 한다는 어려운 방법을 배웠습니다. 또한 과거에 해킹당한 적이 있는 암호화폐 커뮤니티 구성원은 코드를 더 빠르게 심층 분석하고 더 높은 적중률로 의심스러운 팀을 식별할 수 있습니다.

Rug Pulls를 반복한 후 DeFi의 안티프래그성은 DeFi를 더욱 강력하게 만듭니다. 즉, 변동성, 무작위성, 혼돈과 스트레스, 위험과 불확실성에 노출될 때 번성하고 성장하며 결국 시간이 지남에 따라 올바른 길을 향해 나아갑니다. 무명의 팀이 더 이상 부당 이득을 얻지 못하는 날이 올까요? 물론 이것은 비현실적이다. 이익이 있는 한, 악당들은 계속해서 수익을 향해 도전하겠지만, 우리의 발전 방향은 확실히 올바른 방향입니다.