Tác giả gốc: Bankless
Nếu bạn đã tham gia lĩnh vực DeFi nhiều năm thì chắc hẳn bạn đã trải qua nhiều vụ lừa đảo và hacker hơn bạn tưởng tượng, đây là rủi ro mà chúng ta gặp phải khi tương tác ở vị trí đi đầu trong công nghệ tài chính.
Trong số tất cả những cạm bẫy của DeFi, điều nhức nhối nhất thường là việc kéo thảm. Còn được gọi là lừa đảo thoát, những lỗ hổng nội bộ này xảy ra khi những người trong nội bộ dự án lợi dụng lòng tin của người dùng để đánh cắp tài sản của họ. Chúng thường xảy ra thông qua việc mã độc lẻn vào các hợp đồng thông minh, cho phép các nhà phát triển rút hết các hợp đồng hoặc ví của người dùng đó.
Bài viết này sẽ tổng hợp 10 dự án Rug Pulls lớn nhất trong những năm gần đây dựa trên danh sách Rug Pulls trên chuỗi của DefiLlama.
Jay Pegs Auto Mart
Số tiền thiệt hại: 3,1 triệu USD
Ngày: 17 tháng 9 năm 2021
Chuỗi khối:Ethereum
Phương thức: Địa chỉ gửi tiền đã bị thay thế một cách ác ý
Giao diện người dùng của nền tảng Sushiswap IDO Miso đã bị tấn công. Một nhà thầu ẩn danh đã tiêm mã độc vào giao diện người dùng Miso và kẻ tấn công đã thay thế ví đấu giá bằng địa chỉ ví của chính mình, dẫn đến vụ đánh cắp 864,8 ETH (khoảng 3,07 triệu USD). Cuộc đấu giá bị tấn công này là cuộc đấu giá token DONA của dự án Jay Pegs Auto Mart. Sau đó, nhóm SushiSwap đã ngay lập tức khắc phục lỗ hổng này và sau khi theo dõi kẻ tấn công cũng như yêu cầu FBI can thiệp, toàn bộ số tiền đã nhanh chóng được trả lại.
Dragoma
Số tiền thiệt hại: 3,5 triệu USD
Ngày: 8 tháng 8 năm 2022
Chuỗi: Đa giác
Cách thức: rút vốn
Tương tự như STEPN phổ biến, Dragoma dựa trên mạng Polygon cũng là một trò chơi chuỗi tập trung vào khái niệm di chuyển để kiếm tiền. Người chơi có thể nhận trứng khủng long miễn phí và ấp chúng thành NFT sau 40 ngày để kiếm thu nhập và nhận mã thông báo DMA . Tiền xu và các phần thưởng khác. Vào ngày 8 tháng 8 năm 2022, Dragoma bị nghi ngờ có Rug Pull và DMA giảm mạnh từ 1,8 USD xuống 0,002 USD, giảm 99,82%. Sau đó, tài khoản Twitter chính thức của nó cũng hiển thị "Tài khoản này không tồn tại." Điều đáng nói là đợt sụt giảm này xảy ra chưa đầy 24 giờ sau khi token DMA được niêm yết trên sàn giao dịch tiền điện tử MEXC.
Ông trùm tài chính
Số tiền thiệt hại: 6,4 triệu USD
Ngày: 25 tháng 8 năm 2023
Chuỗi: Cơ sở
Phương pháp: Lỗ hổng hợp đồng
Thám tử ZachXBT trên chuỗi đã đưa ra cảnh báo vào ngày 25 tháng 8 năm 2023, nói rằng giao thức cho vay sinh thái Base Magnate Finance có thể sớm xảy ra một vụ lừa đảo thoát và cho biết địa chỉ của người triển khai Magnate Finance có liên quan trực tiếp đến vụ lừa đảo thoát Solfire. Ngay sau đó, trang web và nền tảng xã hội của Magnate Finance, giao thức cho vay sinh thái Base, không thể truy cập được. Nhóm Telegram của nó cũng đã bị xóa. ZachXBT cũng tuyên bố rằng địa chỉ trên chuỗi của người triển khai cũng có liên quan đến vụ lừa đảo thoát Kokomo Finance.
Theo cuộc điều tra vụ việc do Paidun công bố, Magnate Finance đã tiến hành một cuộc kéo thảm bằng cách trực tiếp thao túng lời tiên tri về giá, dẫn đến khoản lỗ khoảng 6,5 triệu USD. Theo giám sát của Beosin Alert, địa chỉ của nhà triển khai Magnate Finance có liên quan đến Solfire và Kokomo Finance, nơi đã xảy ra Rug Pull trước đây. Kẻ lừa đảo đã đánh cắp tổng cộng 16,7 triệu USD.
Theo cuộc điều tra vụ việc do Paidun công bố, Magnate Finance đã tiến hành một cuộc kéo thảm bằng cách trực tiếp thao túng lời tiên tri về giá, dẫn đến khoản lỗ khoảng 6,5 triệu USD. Theo giám sát của Beosin Alert, địa chỉ của nhà triển khai Magnate Finance có liên quan đến Solfire và Kokomo Finance, nơi đã xảy ra Rug Pull trước đây. Kẻ lừa đảo đã đánh cắp tổng cộng 16,7 triệu USD.
Các mạng blockchain mới giống như miền Tây hoang dã của Mỹ và việc thận trọng cũng như tuân thủ các cuộc kiểm toán cũng như các giao thức đã được kiểm tra theo thời gian có thể giúp giảm thiểu rủi ro.
Tài chính Arbix
Số tiền thiệt hại: 10 triệu USD
Ngày: ngày 4 tháng 1 năm 2022
Chuỗi:BNB
Phương pháp: Lỗ hổng hợp đồng
Arbix Finance, giao thức khai thác thanh khoản dựa trên Binance Smart Chain, từng được quảng cáo là cách để "thu được lợi nhuận tốt nhất với rủi ro thấp" và Arbix đã sử dụng cơ chế chênh lệch tiền gửi của người dùng để kiếm tiền lãi. Vào sáng sớm ngày 4 tháng 1 năm 2022, khoảng 10 triệu đô la Mỹ tiền của người dùng đã bị rút sạch, mạng xã hội và trang web của dự án cũng bị đóng cửa. Ngay sau đó, nhóm đã bơm 4,5 triệu USD token ARBX vào PancakeSwap, khiến giá của nó giảm từ 1,42 USD xuống 0.
Theo phân tích sự kiện của CertiK, dự án Arbix Finance đã xuất hiện quá nhiều dấu hiệu đỏ. Hợp đồng ARBX chỉ có chức năng chủ sở hữu mint() và 10 triệu mã thông báo ARBX đã được đúc tới 8 địa chỉ. CertiK cũng xác nhận rằng 4,5 triệu ARBX đã được đúc vào một địa chỉ và sau đó được chuyển đi. Một dấu hiệu đỏ khác là 10 triệu đô la tiền của người dùng, được chuyển đến một nhóm chưa được xác minh sau khi được gửi và tin tặc cuối cùng đã có được quyền truy cập đầy đủ và đánh cắp tài sản trị giá 10 triệu đô la.
Tài chính tổng hợp
Số tiền thiệt hại: 12 triệu USD
Ngày: 2 tháng 12 năm 2020
Chuỗi:Ethereum
Phương pháp: Lỗ hổng hợp đồng
Chỉ vài tháng sau đợt bùng nổ mùa hè DeFi, tâm lý nhà đầu tư rất cao và lợi suất cũng cao. Hợp chất tài chính, được phát triển bởi một nhóm các nhà phát triển ẩn danh, đã thu hút sự chú ý của một số người dùng và nó không khác gì vô số giao thức khác đang hy vọng bước vào thời kỳ bùng nổ khai thác thanh khoản. Điều đáng ngạc nhiên là thủ phạm đã đánh cắp hơn 12 triệu USD của người dùng không phải là tin tặc mà là chính dự án. Sau khi hoàn tất quá trình kiểm tra, nhóm dự án đã thêm 7 hợp đồng chiến lược độc hại vào cơ sở mã của mình, đây là một sự cố thoát DeFi rất tồi tệ.
Điểm khác biệt là sau khi được kiểm tra, nó đã thêm một cửa hậu độc hại vào danh bạ. Cửa hậu này cho phép các nhà phát triển đánh cắp tất cả tiền của người dùng gửi vào giao thức – trị giá khoảng 12 triệu USD. Kể từ đó, các hoạt động kiểm toán đã phải điều chỉnh và tái tập trung không chỉ vào các mối đe dọa bên ngoài mà còn cả các mối đe dọa bên trong. Sau khi sự việc xảy ra, Rekt news và @vasa_develop đã chia sẻ diễn biến chi tiết của vụ việc.
Chó tuyết
Số tiền thiệt hại: 18,1 triệu USD
Ngày: 25 tháng 11 năm 2021
Chuỗi:Tuyết lở
Phương pháp: Lỗ hổng hợp đồng
Avalanche Rush đã mang lại 180 triệu đô la khuyến khích cho hệ sinh thái và giới thiệu một chuỗi mới cho những người đam mê tiền điện tử. Vào thời điểm Dogecoin đang rất hot, dự án meme trên chuỗi Avalanche Snowdog đã thu hút được rất nhiều sự chú ý, thậm chí còn tuyên bố là có tầm nhìn tạo ra một loại tiền dự trữ được hỗ trợ bởi tính thanh khoản do giao thức sở hữu.
Sự việc này là một màn "Kéo thảm" kinh điển. Người trong dự án bị nghi ngờ sử dụng "challengeKey" ẩn giấu với thế giới bên ngoài để bán SDOG Token với số lượng lớn thành hai đợt vào khoảng 6 giờ sáng nay thông qua Snowswap, thu về 17 triệu USD, khiến giá SDOG giảm 90% trong nửa giờ. TechnoArtoria chỉ ra rằng mã hợp đồng của Snowswap trước đây chưa được xem xét đầy đủ và chỉ những người trong cuộc mới biết về "challengeKey" và sử dụng nó để bán các token khổng lồ.
Nam châm ổn định
Số tiền thiệt hại: 27 triệu USD
Ngày: 23 tháng 6 năm 2021
Nam châm ổn định
Số tiền thiệt hại: 27 triệu USD
Ngày: 23 tháng 6 năm 2021
Chuỗi: Chuỗi BNB
Phương pháp: Lỗ hổng hợp đồng và ví người dùng
Hứa hẹn mang lại lợi nhuận cao cho stablecoin, dự án DeFi StableMagnet đã thu hút hàng chục triệu khoản đầu tư TVL trước khi tung ra “phương pháp tiếp cận thảm mới lạ”.
Lần này vấn đề không nằm ở hợp đồng thông minh của dự án mà nằm ở thư viện chức năng cơ bản được gọi bởi hợp đồng thông minh. Bên dự án đã cấy một backdoor vào thư viện chức năng cơ bản SwapUtils Library, do đó, bất kể mã hợp đồng thông minh của bản thân dự án có an toàn hay có khóa thời gian thì bên dự án đều có thể trực tiếp sử dụng backdoor của chức năng cơ bản để chuyển tài sản.
Sau vụ việc, một trong những nạn nhân của vụ việc là KOL Ogle trong lĩnh vực DeFi và nhóm điều tra cộng đồng đã tiến hành khám xét tổng thể, cuối cùng, cảnh sát Anh thu được thông tin tình báo đã bắt giữ thành công các thành viên của nhóm dự án. tài sản mà các thành viên bị bắt trả lại tổng cộng khoảng 22,5 triệu đô la.
Mạng trả phí
Số tiền thiệt hại: 27 triệu USD
Ngày: 5 tháng 3 năm 2021
Chuỗi:Ethereum
Phương pháp: Đúc và đổ vô hạn
Ứng dụng phi tập trung Mạng trả phí nhằm mục đích cung cấp một cách mới để kinh doanh thông qua giao thức SMART độc quyền, hệ thống trọng tài do cộng đồng quản lý, chấm điểm danh tiếng và các công cụ DeFi.
Vào ngày 6 tháng 3 năm 2021, theo giờ Bắc Kinh, PAID Network đã chính thức tweet rằng hợp đồng đã bị tin tặc tấn công. Do dự án PAID Network sử dụng mô hình hợp đồng đại lý lưu trữ có thể nâng cấp nên kẻ tấn công đã sử dụng quyền chủ sở hữu hợp đồng đại lý của PAID Network để triển khai hợp đồng logic độc hại . , và đánh cắp hơn 59 triệu token TRẢ TIỀN.
Người dùng Twitter @WARONRUGS (đã xóa tài khoản) đã từng tweet về lỗ hổng này.
Tài chính Meerkat
Số tiền thiệt hại: 32 triệu USD
Ngày: 4 tháng 3 năm 2021
Chuỗi:Chuỗi BNB
Phương pháp: Lỗ hổng hợp đồng
Meerkat Finance, một dự án DeFi trên chuỗi Binance BSC, đã kiếm được 13 triệu BUSD và 73.000 BNB sau một ngày hoạt động, với mức giá hiện tại xấp xỉ 31 triệu USD. Số tiền này ngay lập tức bị nhóm dự án lấy đi.
Meerkat Finance ban đầu cho rằng đó là một vụ hack, nhưng dự án sau đó đã xóa tài khoản của họ
Các nhà triển khai Meerkat Finance đã nâng cấp 2 kho tiền của dự án. Địa chỉ kẻ tấn công gọi chức năng khởi tạo không được phép thông qua proxy Vault, cho phép bất kỳ ai trở thành chủ sở hữu Vault một cách hiệu quả [2]. Sau đó, kẻ tấn công đã rút hết vault bằng cách gọi một hàm có ký hiệu 0x70fcb0a7, hàm này chấp nhận địa chỉ mã thông báo làm đầu vào. Việc nâng cấp lên bản dịch ngược của hợp đồng thông minh cho thấy mục đích duy nhất của chức năng được gọi là rút tiền có lợi cho chủ sở hữu. Vì quá trình nâng cấp đã được nhà triển khai Meerkat Finance hoàn thành, có tính đến tất cả các khía cạnh của dữ liệu trên chuỗi, nên trường hợp rất có thể xảy ra sự cố này là sự cố cố tình trốn thoát và khả năng rò rỉ khóa riêng là rất nhỏ.
AnubisDAO
Số tiền thiệt hại: 60 triệu USD
Ngày: 29 tháng 10 năm 2021
Chuỗi:Ethereum
Phương pháp: Lỗ hổng hợp đồng
AnubisDAO, dự án đĩa giả OHM do Copper Launch khởi xướng, đã rút nhóm thanh khoản của mình một ngày sau khi nó lên mạng. Người ta nghi ngờ rằng số tiền này đã được sử dụng để trốn thoát. Tổng cộng hơn 13.556 ETH đã được chuyển đến địa chỉ @ 0x9fc, trị giá khoảng 58,3 triệu USD. Ngay sau đó, tài khoản Twitter của dự án đã ngừng hoạt động.
Phương pháp: Lỗ hổng hợp đồng
AnubisDAO, dự án đĩa giả OHM do Copper Launch khởi xướng, đã rút nhóm thanh khoản của mình một ngày sau khi nó lên mạng. Người ta nghi ngờ rằng số tiền này đã được sử dụng để trốn thoát. Tổng cộng hơn 13.556 ETH đã được chuyển đến địa chỉ @ 0x9fc, trị giá khoảng 58,3 triệu USD. Ngay sau đó, tài khoản Twitter của dự án đã ngừng hoạt động.
Vào tháng 3 năm nay, địa chỉ của kẻ tấn công AnubisDAO (được gắn nhãn AnubisDAO mininger3) đã chuyển 2.500 WETH đến địa chỉ bắt đầu bằng “0x0D19” và rửa 2.400 ETH (khoảng 3,76 triệu USD) thông qua Tornado Cash; vào tháng 5, liên quan đến vụ lừa đảo The Địa chỉ EOA (0xa570d...) đã chuyển khoảng 3.000 ETH (khoảng 5,9 triệu USD) sang Tornado Cash. 0
Tóm tắt
Đằng sau những dữ liệu đáng buồn về số tiền bị đánh cắp này, chúng ta cũng có thể thấy mặt tích cực - trong số các sự cố được điều tra, phần lớn các khoản lỗ quỹ xảy ra trước năm 2022. Trên thực tế, trong danh sách top 10 này, số tiền bị mất vào năm 2021 chiếm 84% tổng số tiền.
Nhìn chung, các công ty kiểm toán đã học được một cách khó khăn rằng họ phải thích ứng nhanh chóng để duy trì danh tiếng tốt. Ngoài ra, các thành viên của cộng đồng tiền điện tử đã bị xâm phạm trước đây có thể tìm hiểu sâu hơn về mã nhanh hơn và xác định các nhóm đáng ngờ có tỷ lệ trúng cao hơn.
Sau nhiều lần Rug Pull, khả năng cải thiện nghịch cảnh của DeFi làm cho nó mạnh hơn, có nghĩa là nó phát triển và lớn mạnh khi gặp phải sự biến động, ngẫu nhiên, hỗn loạn và căng thẳng, rủi ro và sự không chắc chắn, và cuối cùng đi theo con đường đúng đắn khi thời gian trôi qua. Liệu sẽ có một ngày mà các đội vô danh không còn kiếm được những lợi ích bất chính nữa? Điều này tất nhiên là không thực tế. Chỉ cần có lợi nhuận, kẻ xấu sẽ tiếp tục thách thức điểm mấu chốt, nhưng hướng phát triển của chúng tôi chắc chắn là đúng hướng.
Tất cả bình luận