ผู้เขียนต้นฉบับ: Bankless

หากคุณมีส่วนร่วมในแวดวง DeFi มาหลายปี คุณจะต้องเคยพบกับกลโกงและแฮกเกอร์มากกว่าที่คุณคิด นี่คือความเสี่ยงที่เราต้องเผชิญเมื่อมีปฏิสัมพันธ์ในระดับแนวหน้าของเทคโนโลยีทางการเงิน

ในบรรดาข้อผิดพลาดทั้งหมดของ DeFi สิ่งที่น่ารำคาญที่สุดมักจะเป็นการดึงพรม หรือที่รู้จักในชื่อกลโกงทางออก ช่องโหว่ภายในเหล่านี้เกิดขึ้นเมื่อคนในโปรเจ็กต์ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในการขโมยทรัพย์สินของตน สิ่งเหล่านี้มักเกิดขึ้นจากโค้ดที่เป็นอันตรายที่แอบเข้าไปในสัญญาอัจฉริยะ ทำให้นักพัฒนาสามารถระบายสัญญาหรือกระเป๋าเงินของผู้ใช้เหล่านั้นได้

บทความนี้จะรวบรวมโครงการ Rug Pulls ที่ใหญ่ที่สุด 10 โครงการในช่วงไม่กี่ปีที่ผ่านมาโดยอิงจากรายการ Rug Pulls แบบออนไลน์ของ DefiLlama

เจย์ เพ็กส์ ออโต้มาร์ท

มูลค่าความเสียหาย: 3.1 ล้านเหรียญสหรัฐ

วันที่: 17 กันยายน 2021

บล็อกเชน:อีเธอเรียม

วิธีการ: ที่อยู่การฝากเงินถูกแทนที่อย่างประสงค์ร้าย

ส่วนหน้าของแพลตฟอร์ม Sushiswap IDO Miso ถูกโจมตี ผู้รับเหมาที่ไม่เปิดเผยตัวตนได้แทรกโค้ดที่เป็นอันตรายลงในส่วนหน้าของ Miso และผู้โจมตีได้แทนที่กระเป๋าเงินการประมูลด้วยที่อยู่กระเป๋าเงินของเขาเอง ส่งผลให้เกิดการขโมย 864.8 ETH (ประมาณ 3.07 ล้านดอลลาร์) การประมูลที่ได้รับผลกระทบจากการโจมตีครั้งนี้คือการประมูลโทเค็น DONA ของโครงการ Jay Pegs Auto Mart ต่อจากนั้น ทีม SushiSwap ได้แก้ไขช่องโหว่ทันที และหลังจากติดตามผู้โจมตีและขอให้ FBI เข้าแทรกแซง เงินทั้งหมดก็ได้รับการคืนอย่างรวดเร็ว

ดราโกมา

มูลค่าความเสียหาย: 3.5 ล้านเหรียญสหรัฐ

วันที่: 8 สิงหาคม 2565

โซ่: รูปหลายเหลี่ยม

วิธีการ: ถอนทุน

เช่นเดียวกับ STEPN ยอดนิยม Dragoma ที่ใช้เครือข่าย Polygon เป็นเกมลูกโซ่ที่เน้นแนวคิดการย้ายเพื่อรับ ผู้เล่นสามารถรับไข่ไดโนเสาร์ได้ฟรีและฟักเป็น NFT หลังจาก 40 วันเพื่อรับรายได้และรับโทเค็น DMA . เหรียญและรางวัลอื่นๆ เมื่อวันที่ 8 สิงหาคม 2022 Dragoma ถูกสงสัยว่าจะมี Rug Pull และ DMA ก็ร่วงลงจาก $1.8 เป็น $0.002 ลดลง 99.82% ต่อจากนั้น บัญชี Twitter อย่างเป็นทางการของมันก็แสดงข้อความว่า "ไม่มีบัญชีนี้" เป็นที่น่าสังเกตว่าการดิ่งลงนี้เกิดขึ้นภายในเวลาไม่ถึง 24 ชั่วโมงหลังจากที่โทเค็น DMA ได้รับการจดทะเบียนในการแลกเปลี่ยน crypto MEXC

เจ้าสัวการเงิน

มูลค่าความเสียหาย: 6.4 ล้านเหรียญสหรัฐ

วันที่: 25 สิงหาคม 2566

โซ่:ฐาน

วิธีการ: ช่องโหว่ของสัญญา

ZachXBT นักสืบออนไลน์ออกคำเตือนเมื่อวันที่ 25 สิงหาคม 2023 โดยกล่าวว่า Magnate Finance โปรโตคอลการให้ยืมระบบนิเวศ Base อาจมีกลโกงในเร็วๆ นี้ และกล่าวว่าที่อยู่ของผู้ปรับใช้ Magnate Finance เกี่ยวข้องโดยตรงกับกลโกงทางออกของ Solfire หลังจากนั้นไม่นาน เว็บไซต์และแพลตฟอร์มโซเชียลของ Magnate Finance ซึ่งเป็นโปรโตคอลการให้กู้ยืมเพื่อระบบนิเวศฐานก็ไม่สามารถเข้าถึงได้ กลุ่มโทรเลขก็ถูกลบเช่นกัน ZachXBT ยังระบุด้วยว่าที่อยู่ออนไลน์ของผู้ปรับใช้นั้นเชื่อมโยงกับการหลอกลวงทางออก Kokomo Finance เช่นกัน

จากการสืบสวนเหตุการณ์ที่เกิดขึ้นโดย Paidun พบว่า Magnate Finance ดำเนินการดึงพรมโดยการควบคุมราคาโดยตรง ส่งผลให้เกิดการสูญเสียประมาณ 6.5 ล้านดอลลาร์สหรัฐ จากการติดตาม Beosin Alert ที่อยู่ของผู้ปรับใช้ Magnate Finance นั้นเกี่ยวข้องกับ Solfire และ Kokomo Finance ซึ่ง Rug Pulls เกิดขึ้นก่อนหน้านี้ นักต้มตุ๋นขโมยเงินไปทั้งสิ้น 16.7 ล้านเหรียญสหรัฐ

จากการสืบสวนเหตุการณ์ที่เกิดขึ้นโดย Paidun พบว่า Magnate Finance ดำเนินการดึงพรมโดยการควบคุมราคาโดยตรง ส่งผลให้เกิดการสูญเสียประมาณ 6.5 ล้านดอลลาร์สหรัฐ จากการติดตาม Beosin Alert ที่อยู่ของผู้ปรับใช้ Magnate Finance นั้นเกี่ยวข้องกับ Solfire และ Kokomo Finance ซึ่ง Rug Pulls เกิดขึ้นก่อนหน้านี้ นักต้มตุ๋นขโมยเงินไปทั้งสิ้น 16.7 ล้านเหรียญสหรัฐ

เครือข่ายบล็อกเชนใหม่เปรียบเสมือน Wild West ของอเมริกา การใช้ความระมัดระวังและการปฏิบัติตามการตรวจสอบและโปรโตคอลที่ผ่านการทดสอบตามเวลาสามารถช่วยลดความเสี่ยงได้

การเงินของอาร์บิกซ์

จำนวนความเสียหาย: 10 ล้านเหรียญสหรัฐ

วันที่: 4 มกราคม 2022

เชน:BNB

วิธีการ: ช่องโหว่ของสัญญา

Arbix Finance ซึ่งเป็นโปรโตคอลการขุดสภาพคล่องที่ใช้ Binance Smart Chain ครั้งหนึ่งเคยได้รับการส่งเสริมให้เป็นวิธีการ "ได้รับผลตอบแทนที่ดีที่สุดโดยมีความเสี่ยงต่ำ" และ Arbix ใช้การอนุญาโตตุลาการเงินฝากของผู้ใช้เพื่อรับผลตอบแทน ในช่วงเช้าของวันที่ 4 มกราคม พ.ศ. 2565 เงินทุนผู้ใช้ประมาณ 10 ล้านดอลลาร์สหรัฐถูกดูดออกไป และเครือข่ายโซเชียลและเว็บไซต์ของโปรเจ็กต์ก็ปิดตัวลงเช่นกัน หลังจากนั้นไม่นาน ทีมงานได้อัดฉีด ARBX tokens มูลค่า 4.5 ล้านเหรียญสหรัฐเข้าสู่ PancakeSwap ส่งผลให้ราคาลดลงจาก 1.42 เหรียญสหรัฐเหลือศูนย์

จากการวิเคราะห์เหตุการณ์ของ CertiK โครงการ Arbix Finance มีสัญญาณอันตรายมากเกินไป สัญญา ARBX มีเฉพาะฟังก์ชันเจ้าของ mint() และโทเค็น ARBX 10 ล้านโทเค็นถูกสร้างไปยัง 8 ที่อยู่ CertiK ยังยืนยันด้วยว่ามีการสร้าง ARBX จำนวน 4.5 ล้านรายการไปยังที่อยู่หนึ่งและโอนในภายหลัง ธงแดงอีกประการหนึ่งคือ 10 ล้านดอลลาร์ในกองทุนผู้ใช้ ซึ่งถูกส่งไปยังพูลที่ไม่ได้รับการยืนยันหลังจากฝาก และในที่สุดแฮกเกอร์ก็สามารถเข้าถึงได้อย่างเต็มที่และขโมยทรัพย์สิน 10 ล้านดอลลาร์

การเงินแบบผสม

มูลค่าความเสียหาย: 12 ล้านเหรียญสหรัฐ

วันที่: 2 ธันวาคม 2020

โซ่:อีเธอเรียม

วิธีการ: ช่องโหว่ของสัญญา

เพียงไม่กี่เดือนหลังจาก DeFi เติบโตในช่วงฤดูร้อน ความเชื่อมั่นของนักลงทุนก็สูงและผลตอบแทนก็สูง Compounder Finance ซึ่งพัฒนาโดยกลุ่มนักพัฒนาที่ไม่ระบุชื่อ ได้ดึงดูดความสนใจของผู้ใช้บางราย และมันก็ไม่แตกต่างจากโปรโตคอลอื่น ๆ อีกนับไม่ถ้วนที่หวังจะเข้าสู่การเติบโตอย่างรวดเร็วของการขุดสภาพคล่อง น่าประหลาดใจที่ผู้กระทำผิดซึ่งขโมยเงินมากกว่า 12 ล้านดอลลาร์จากผู้ใช้ไม่ใช่แฮกเกอร์ แต่เป็นตัวโครงการเอง หลังจากเสร็จสิ้นการตรวจสอบ ทีมงานโครงการได้เพิ่มสัญญากลยุทธ์ที่เป็นอันตราย 7 สัญญาลงในฐานโค้ด ซึ่งเป็นเหตุการณ์ DeFi Escape ที่แย่มาก

ข้อแตกต่างก็คือหลังจากได้รับการตรวจสอบแล้ว ก็มีการเพิ่มแบ็คดอร์ที่เป็นอันตรายให้กับผู้ติดต่อ แบ็คดอร์นี้อนุญาตให้นักพัฒนาขโมยเงินของผู้ใช้ทั้งหมดที่ฝากไว้ในโปรโตคอล ซึ่งมีมูลค่าประมาณ 12 ล้านดอลลาร์ ตั้งแต่นั้นมา แนวปฏิบัติด้านการตรวจสอบต้องปรับตัวและมุ่งเน้นไม่เพียงแต่ภัยคุกคามภายนอกเท่านั้น แต่ยังรวมไปถึงภัยคุกคามภายในด้วย หลังจากเหตุการณ์เกิดขึ้น Rekt news และ @vasa_develop ได้แชร์รายละเอียดกระบวนการของเหตุการณ์

สโนว์ด็อก

มูลค่าความเสียหาย: 18.1 ล้านเหรียญสหรัฐ

วันที่: 25 พฤศจิกายน 2021

โซ่:หิมะถล่ม

วิธีการ: ช่องโหว่ของสัญญา

Avalanche Rush นำเงินจูงใจมูลค่า 180 ล้านดอลลาร์มาสู่ระบบนิเวศและแนะนำกลุ่มผู้ที่ชื่นชอบ crypto ให้กับเครือข่ายใหม่ ในช่วงเวลาที่ Dogecoin กำลังร้อนแรง โครงการมีมออนไลน์ Avalanche Snowdog ได้รับความสนใจอย่างมาก ซึ่งถึงกับอ้างว่ามี วิสัยทัศน์ในการสร้างสกุลเงินสำรองที่ได้รับการสนับสนุนจากสภาพคล่องที่เป็นของโปรโตคอล

เหตุการณ์นี้เป็น "Rug Pull" แบบคลาสสิก คนในโปรเจ็กต์ถูกสงสัยว่าใช้ "challengeKey" ที่ซ่อนอยู่จากโลกภายนอกเพื่อขาย SDOG Token ในปริมาณมากเป็นสองชุดเวลาประมาณ 6.00 น. ของเช้าวันนี้ผ่าน Snowswap ทำกำไรได้ 17 ล้านดอลลาร์สหรัฐ ทำให้ราคาของ SDOG ลดลง 90% ครึ่งชั่วโมง. TechnoArtoria ชี้ให้เห็นว่ารหัสสัญญาของ Snowswap ยังไม่ได้รับการตรวจสอบอย่างสมบูรณ์มาก่อน และมีเพียงคนวงในเท่านั้นที่รู้เกี่ยวกับ "challengeKey" และใช้มันเพื่อขายโทเค็นจำนวนมาก

แม่เหล็กที่เสถียร

มูลค่าความเสียหาย: 27 ล้านเหรียญสหรัฐ

วันที่: 23 มิถุนายน 2564

แม่เหล็กที่เสถียร

มูลค่าความเสียหาย: 27 ล้านเหรียญสหรัฐ

วันที่: 23 มิถุนายน 2564

เชน: เชน BNB

วิธีการ: ช่องโหว่ของสัญญาและกระเป๋าเงินของผู้ใช้

สัญญาว่าจะให้ผลตอบแทนสูงจากเหรียญ stablecoin โครงการ DeFi StableMagnet ดึงดูดการลงทุน TVL นับสิบล้านก่อนที่จะเปิดตัว "แนวทางพรมใหม่"

คราวนี้ปัญหาไม่ได้อยู่ที่สัญญาอัจฉริยะของโครงการ แต่อยู่ในไลบรารีฟังก์ชันพื้นฐานที่ถูกเรียกโดยสัญญาอัจฉริยะ ฝ่ายโครงการได้ฝังประตูหลังไว้ในไลบรารีฟังก์ชันพื้นฐาน SwapUtils Library ดังนั้น ไม่ว่ารหัสสัญญาอัจฉริยะของโครงการจะปลอดภัยหรือมีการล็อคเวลา ฝ่ายโครงการก็สามารถใช้ประตูหลังของฟังก์ชันพื้นฐานเพื่อถ่ายโอนได้โดยตรง สินทรัพย์

หลังจากเหตุการณ์ดังกล่าว หนึ่งในเหยื่อของเหตุการณ์ KOL Ogle ในวงการ DeFi และทีมสืบสวนชุมชนได้ทำการค้นหาแบบครอบคลุม ในที่สุด ตำรวจอังกฤษที่ได้รับข่าวกรองก็จับกุมสมาชิกของปาร์ตี้โครงการได้สำเร็จ ทรัพย์สินที่สมาชิกที่ถูกจับกุมคืนมีมูลค่ารวมประมาณ 22.5 ล้านดอลลาร์

เครือข่ายแบบชำระเงิน

มูลค่าความเสียหาย: 27 ล้านเหรียญสหรัฐ

วันที่: 5 มีนาคม 2564

โซ่:อีเธอเรียม

วิธีการ: การหล่อและการทุ่มตลาดแบบไม่มีที่สิ้นสุด

Paid Network แอปพลิเคชันกระจายอำนาจมีเป้าหมายเพื่อมอบวิธีการใหม่ในการทำธุรกิจผ่านโปรโตคอล SMART ที่เป็นกรรมสิทธิ์ ระบบอนุญาโตตุลาการที่จัดการโดยชุมชน การให้คะแนนชื่อเสียง และเครื่องมือ DeFi

เมื่อวันที่ 6 มีนาคม 2021 ตามเวลาปักกิ่ง PAID Network ได้ทวีตอย่างเป็นทางการว่าสัญญาดังกล่าวถูกโจมตีโดยแฮกเกอร์ เนื่องจากโครงการ PAID Network ใช้โมเดลสัญญาเอเจนต์การจัดเก็บข้อมูลที่อัปเกรดได้ ผู้โจมตีจึงใช้สิทธิ์ของเจ้าของสัญญาตัวแทน PAID Network เพื่อปรับใช้สัญญาลอจิกที่เป็นอันตราย . และขโมยโทเค็นที่จ่ายไปมากกว่า 59 ล้านโทเค็น

เป็นที่เข้าใจกันว่าช่องโหว่ที่เจ้าของสัญญาสามารถสร้างโทเค็นเพิ่มเติมได้อย่างอิสระได้ถูกค้นพบและชี้ให้เห็นโดยผู้ใช้ตั้งแต่เนิ่นๆ ผู้ใช้ Twitter @WARONRUGS (บัญชีที่ถูกลบ) เคยทวีตเกี่ยวกับช่องโหว่นี้

การเงินเมียร์แคต

มูลค่าความเสียหาย: 32 ล้านเหรียญสหรัฐ

วันที่: 4 มีนาคม 2564

โซ่: โซ่ BNB

วิธีการ: ช่องโหว่ของสัญญา

Meerkat Finance ซึ่งเป็นโปรเจ็กต์ DeFi บน Binance BSC chain ได้รับ 13 ล้าน BUSD และ 73,000 BNB หลังจากดำเนินการหนึ่งวัน โดยมีราคาปัจจุบันประมาณ US$31 ล้าน กองทุนเหล่านี้ถูกยึดโดยทีมงานโครงการทันที

ในตอนแรก Meerkat Finance อ้างว่าเป็นการแฮ็ก แต่โปรเจ็กต์ได้ลบบัญชีของพวกเขาออกไปในภายหลัง

ผู้ปรับใช้ Meerkat Finance ได้อัปเกรดห้องนิรภัยของโครงการ 2 แห่ง ที่อยู่ของผู้โจมตีเรียกใช้ฟังก์ชันการเริ่มต้นที่ไม่ได้รับอนุญาตผ่านพร็อกซี Vault ซึ่งช่วยให้ใครก็ตามเป็นเจ้าของ Vault ได้อย่างมีประสิทธิภาพ [2] จากนั้นผู้โจมตีได้ระบายข้อมูล vault โดยการเรียกฟังก์ชันที่ลงนาม 0x70fcb0a7 ซึ่งยอมรับที่อยู่โทเค็นเป็นอินพุต การอัพเกรดเป็นการถอดรหัสสัญญาอัจฉริยะแสดงให้เห็นว่าจุดประสงค์เดียวของฟังก์ชันที่ถูกเรียกคือการถอนเงินออกเพื่อประโยชน์ของเจ้าของ เนื่องจากการอัปเกรดเสร็จสมบูรณ์โดยผู้ปรับใช้ Meerkat Finance โดยคำนึงถึงข้อมูลทุกด้านในห่วงโซ่ กรณีที่เป็นไปได้มากที่สุดของเหตุการณ์นี้คือเหตุการณ์การหลีกเลี่ยงโดยเจตนา และความเป็นไปได้ที่จะรั่วไหลของคีย์ส่วนตัวมีน้อยมาก

สุสานDAO

มูลค่าความเสียหาย: 60 ล้านเหรียญสหรัฐ

วันที่: 29 ตุลาคม 2021

โซ่:อีเธอเรียม

วิธีการ: ช่องโหว่ของสัญญา

AnubisDAO ซึ่งเป็นโครงการดิสก์เลียนแบบ OHM ที่เปิดตัวโดย Copper Launch ได้ถอนสภาพคล่องออกไปหนึ่งวันหลังจากออนไลน์ สงสัยว่าเงินทุนถูกใช้เพื่อหลบหนี รวมกว่า 13,556 ETH ถูกโอนไปยังที่อยู่ @0x9fc มูลค่า ประมาณ 58.3 ล้านเหรียญสหรัฐ หลังจากนั้นไม่นาน บัญชี Twitter ของโครงการก็หยุดกิจกรรม

วิธีการ: ช่องโหว่ของสัญญา

AnubisDAO ซึ่งเป็นโครงการดิสก์เลียนแบบ OHM ที่เปิดตัวโดย Copper Launch ได้ถอนสภาพคล่องออกไปหนึ่งวันหลังจากออนไลน์ สงสัยว่าเงินทุนถูกใช้เพื่อหลบหนี รวมกว่า 13,556 ETH ถูกโอนไปยังที่อยู่ @0x9fc มูลค่า ประมาณ 58.3 ล้านเหรียญสหรัฐ หลังจากนั้นไม่นาน บัญชี Twitter ของโครงการก็หยุดกิจกรรม

ในเดือนมีนาคมปีนี้ ที่อยู่ของผู้โจมตี AnubisDAO (ชื่อ AnubisDAO Exploiter3) โอน 2,500 WETH ไปยังที่อยู่ที่เริ่มต้นด้วย "0x0D19" และฟอก 2,400 ETH (ประมาณ US$3.76 ล้าน) ผ่าน Tornado Cash ในเดือนพฤษภาคม เกี่ยวข้องกับเหตุการณ์หลอกลวง ที่อยู่ EOA (0xa570d...) โอนประมาณ 3,000 ETH (ประมาณ 5.9 ล้านดอลลาร์) ไปยัง Tornado Cash 0

สรุป

เบื้องหลังข้อมูลที่ตกต่ำเกี่ยวกับกองทุนที่ถูกขโมยเหล่านี้ เรายังเห็นด้านบวกอีกด้วย ในบรรดาเหตุการณ์ที่ได้รับการตรวจสอบ การสูญเสียกองทุนส่วนใหญ่เกิดขึ้นก่อนปี 2022 ในความเป็นจริง ในสิบอันดับแรกนี้ เงินที่สูญเสียไปในปี 2021 คิดเป็น 84% ของทั้งหมด

สิ่งนี้สอนอะไรเรา โดยรวมแล้ว บริษัทตรวจสอบบัญชีได้เรียนรู้ถึงวิธีการที่ยากลำบากที่ต้องปรับตัวอย่างรวดเร็วเพื่อรักษาชื่อเสียงที่ดี นอกจากนี้ สมาชิกของชุมชน crypto ที่เคยถูกบุกรุกในอดีตสามารถเจาะลึกเข้าไปในโค้ดได้เร็วขึ้น และระบุทีมที่น่าสงสัยด้วยอัตราการเข้าถึงที่สูงกว่า

หลังจากการดึง Rug ซ้ำแล้วซ้ำเล่า ความสามารถในการต้านการแตกหักของ DeFi ทำให้มันแข็งแกร่งขึ้น ซึ่งหมายความว่ามันจะเติบโตและเติบโตเมื่อต้องเผชิญกับความผันผวน ความสุ่ม ความโกลาหลและความเครียด ความเสี่ยงและความไม่แน่นอน และในที่สุดก็เคลื่อนไปสู่เส้นทางที่ถูกต้องเมื่อเวลาผ่านไป จะมีสักวันไหมที่ทีมที่ไม่รู้จักจะไม่ทำกำไรอย่างไม่ดีอีกต่อไป? แน่นอนว่านี่ไม่สมจริง ตราบใดที่ยังมีกำไร คนเลวจะยังคงท้าทายผลกำไรต่อไป แต่ทิศทางการพัฒนาของเราอยู่ในทิศทางที่ถูกต้องอย่างแน่นอน