Bankless:暗号界のトップ10オンチェーンラグプルプロジェクトを振り返る、主に昨年のブルマーケットから。
DeFi のすべての罠の中で、最も痛ましいのは Rug Pulls です。原文来源:Bankless
原文标题: トップ10のラグプル
原文作者:563
編訳:Zen,PANews
もしあなたがDeFi分野で長年活動しているなら、想像以上に多くの詐欺やハッキングを経験していることでしょう。これは、私たちがフィンテックの最前線でインタラクションを行う際に負うリスクです。
DeFiのすべての罠の中で、最も痛ましいのはラグプルです。これらの内部の脆弱性は、プロジェクトの内部者がユーザーの信頼を利用して彼らの資産を盗む際に発生する退出詐欺とも呼ばれます。これらは通常、スマートコントラクトに悪意のあるコードが潜入することによって発生し、開発者がこれらのコントラクトやユーザーのウォレットを枯渇させることを可能にします。
この記事では、DefiLlamaのオンチェーンラグプルランキングに基づいて、近年の10の最大のラグプルプロジェクトを振り返ります。
Jay Pegs Auto Mart
損失額:310万ドル
日付:2021年9月17日
ブロックチェーン: Ethereum
方法:預金アドレスが悪意で置き換えられた
Sushiswap IDOプラットフォームMisoのフロントエンドが攻撃を受けました。匿名の請負業者がMisoのフロントエンドに悪意のあるコードを注入し、攻撃者は自分のウォレットアドレスでオークションウォレットを置き換え、864.8 ETH(約307万ドル)が盗まれました。この攻撃を受けたオークションはJay Pegs Auto MartプロジェクトのDONAトークンオークションでした。その後、SushiSwapチームはすぐに脆弱性を修正し、攻撃者を追跡しFBIに介入を依頼した後、すべての資金がすぐに返還されました。
Dragoma
損失額:350万ドル
日付:2022年8月8日
チェーン: Polygon
方法: 資金を引き出す
かつて人気を博したSTEPNに似て、Polygonネットワークに基づくDragomaも、move-to-earnコンセプトを主打ちにしたブロックチェーンゲームで、プレイヤーは恐竜の卵を無料で受け取り、40日後にNFTとして孵化させて収益を得ることができます。2022年8月8日、Dragomaはラグプルが発生した疑いがあり、DMAは1.8ドルから0.002ドルに暴落し、下落率は99.82%でした。その後、公式Twitterアカウントも「このアカウントは存在しません」と表示されました。注目すべきは、DMAトークンが暗号取引所MEXCに上場してから24時間も経たないうちに、この暴落が発生したことです。
Magnate Finance
損失額:640万ドル
日付:2023年8月25日
チェーン: Base
方法:コントラクトの脆弱性
オンチェーン探偵ZachXBTは2023年8月25日に警告を発し、Baseエコシステムの貸付プロトコルMagnate Financeが近く退出詐欺を行う可能性があると述べ、Magnate Financeのデプロイ者アドレスがSolfireの退出詐欺と直接関連していると指摘しました。その後、Baseエコシステムの貸付プロトコルMagnate Financeのウェブサイトとソーシャルプラットフォームは正常にアクセスできなくなりました。Telegramグループも削除されました。ZachXBTは、デプロイ者のオンチェーンアドレスもKokomo Financeの退出詐欺と関連していると述べました。
派盾が発表した事件調査によると、Magnate Financeは価格オラクルを直接操作することによってラグプルを行い、約650万ドルの損失を出しました。また、Beosin Alertの監視によれば、Magnate Financeのデプロイ者アドレスは以前にラグプルが発生したSolfireやKokomo Financeに関連しています。この詐欺者は合計で1670万ドルを盗みました。
新しいブロックチェーンネットワークはアメリカの西部開拓時代のようで、慎重に行動し、監査と時間の試練に耐えたプロトコルを堅持することでリスクを低減するのに役立ちます。
Arbix Finance
損失額:1000万ドル
日付:2022年1月4日
チェーン: BNB
方法: コントラクトの脆弱性
Binance Smart Chainに基づく流動性マイニングプロトコルArbix Financeは、「低リスクで最高のリターンを得る方法」として宣伝されていましたが、Arbixはユーザーの預金を利用してアービトラージで利益を得ていました。2022年1月4日の午前中、約1000万ドルのユーザー資金が引き出され、プロジェクトのソーシャルサイトとウェブサイトも閉鎖されました。その後、チームはPancakeSwapに450万ドルのARBXトークンを注入し、その価格は1.42ドルからゼロに下落しました。
CertiKの事件分析によると、Arbix Financeプロジェクトは多くの危険信号を示しました。ARBXコントラクトには所有者機能のmint()しかなく、1000万のARBXトークンが8つのアドレスに鋳造されました。CertiKはまた、450万のARBXが1つのアドレスに鋳造され、その後転送されたことを確認しました。別の危険信号は、1000万ドルのユーザー資金が預け入れ後に未検証のプールに向けられ、ハッカーが最終的にすべてのアクセス権を得て1000万ドルの資産を盗んだことです。
Compounder Finance
損失額:1200万ドル
日付:2020年12月2日
チェーン: Ethereum
方法: コントラクトの脆弱性
DeFiの夏の繁栄から数ヶ月後、投資家の感情は高まり、リターンも非常に高かった。匿名の開発者グループが開発したCompounder Financeは、一部のユーザーの関心を引きましたが、流動性マイニングの熱潮に参加したいと考える無数の他のプロトコルと何ら変わりありませんでした。驚くべきことに、ユーザーが1200万ドル以上の資金を盗まれた原因はハッカーではなく、プロジェクトチーム自身でした。プロジェクトチームは監査を完了した後、コードベースに7つの悪意のある戦略コントラクトを追加し、非常に悪質なDeFiの逃亡事件を引き起こしました。
違いは、監査を経た後に連絡先に悪意のあるバックドアを追加したことです。このバックドアにより、開発者はプロトコルに預けられたすべてのユーザー資金を盗むことができました------約1200万ドルの価値です。それ以来、監査の実践は調整を余儀なくされ、外部の脅威だけでなく内部の脅威にも再び焦点を当てる必要がありました。この事件の後、Rekt newsと@vasa_developは事件の詳細な経過を共有しました。
Snowdog
損失額:1810万ドル
日付:2021年11月25日
チェーン: Avalanche
方法:コントラクトの脆弱性
Avalanche Rushはエコシステムに1.8億ドルのインセンティブをもたらし、多くの暗号愛好者を新しいチェーンに引き込みました。その時、Dogecoinが人気を博していた頃、Avalancheチェーン上のMemeプロジェクトSnowdogは多くの注目を集め、プロトコルが所有する流動性を支える準備通貨を創造することをビジョンとして掲げていました。
この事件は典型的な「ラグプル」です。プロジェクト内部者が外部に隠された「challengeKey」を利用し、Snowswapを通じて今朝6時頃にSDOGトークンを大量に売却し、1700万ドルの利益を上げ、SDOGの価格は30分以内に90%下落しました。TechnoArtoriaは、以前のSnowswapのコントラクトコードは完全に審査されておらず、「challengeKey」の状況を知っているのは内部者だけであり、それを利用して巨額のトークンを売却したと指摘しました。
StableMagnet
損失額:2700万ドル
日付:2021年6月23日
チェーン: BNB Chain
方法:コントラクトの脆弱性とユーザーウォレット
DeFiプロジェクトStableMagnetは、安定したコインの高リターンを約束し、「新しいカーペット手法」を導入する前に数千万のTVL投資を集めました。
問題はプロジェクト自体のスマートコントラクトにあるのではなく、スマートコントラクトが呼び出す基盤の関数ライブラリにありました。プロジェクトチームは基盤の関数ライブラリSwapUtils Libraryにバックドアを埋め込んだため、プロジェクト自体のスマートコントラクトコードが安全であるかどうか、またはタイムロックがあるかどうかにかかわらず、プロジェクトチームは基盤の関数のバックドアを直接利用して資産を移転することができました。
事件が発生した後、事件の被害者の一人であるDeFi分野のKOL Ogleとコミュニティ調査チームは徹底的な捜索を行い、最終的に情報を得た英国警察がプロジェクトチームのメンバーを逮捕し、逮捕されたメンバーが返還した資産は合計約2250万ドルに上りました。
Paid Network
損失額:2700万ドル
日付:2021年3月5日
チェーン: Ethereum
方法:無限鋳造と売却
分散型アプリケーションPaid Networkは、独自のSMARTプロトコル、コミュニティ管理の仲裁システム、評判スコア、DeFiツールを通じてビジネスを行う新しい方法を提供することを目的としています。
2021年3月6日、中国標準時間でPAID Networkの公式Twitterが契約がハッキングされたと発表しました。PAID Networkプロジェクトはアップグレード可能なストレージプロキシ契約モデルを使用しており、攻撃者はPAID Networkプロキシ契約のオーナー権限を利用して悪意のあるロジック契約をデプロイし、5900万PAIDトークン以上を盗みました。
契約の所有者が追加のトークンを自由に鋳造できる脆弱性は、早くからユーザーによって発見され指摘されていました。Twitterユーザー@WARONRUGS(削除されたアカウント)はこの脆弱性に言及したツイートを投稿していました。
Meerkat Finance
損失額:3200万ドル
日付:2021年3月4日
チェーン: BNB Chain
方法:コントラクトの脆弱性
Binance BSCチェーン上のDeFiプロジェクトMeerkat Financeは、運営開始から1日後に1300万BUSDと7.3万BNBの利益を得て、時価約3100万ドルとなり、その後これらの資金がプロジェクトチームによって即座に持ち去られました。
Meerkat Financeは最初、これをハッキング攻撃だと主張しましたが、その後プロジェクトチームは彼らのアカウントを削除しました。
Meerkat Financeのデプロイ者はプロジェクトの2つの金庫をアップグレードしました。攻撃者アドレスはVaultプロキシを通じて許可なしに初期化関数を呼び出すことができ、実質的に誰でもVaultの所有者になることを可能にしました。攻撃者はその後、0x70fcb0a7という署名の関数を呼び出して金庫を枯渇させました。この関数はトークンアドレスを入力として受け取ります。スマートコントラクトの逆コンパイルは、呼び出された関数の唯一の目的が所有者を受益者とする資金を除去することであることを示しました。アップグレードはMeerkat Financeのデプロイ者によって行われたため、チェーン上のデータのすべての側面を考慮すると、この事件は意図的な逃亡事件である可能性が最も高く、秘密鍵が漏洩した可能性は非常に低いです。
AnubisDAO
損失額:6000万ドル
日付:2021年10月29日
チェーン: Ethereum
方法:コントラクトの脆弱性
Copper Launchで開始されたOHMの模倣プロジェクトAnubisDAOは、ローンチから1日後に流動性プールを撤回し、疑似的に資金を持ち去ったとされ、13556ETH以上がアドレス@0x9fcに転送され、約5830万ドルの価値となりました。その後、プロジェクトのTwitterアカウントは活動を停止しました。
今年3月、AnubisDAOの攻撃者(AnubisDAO exploiter 3としてマークされた)のアドレスは2500枚のW ETHを「0x0D19」で始まるアドレスに転送し、Tornado Cashを通じて2400枚のETH(約376万ドル)を洗浄しました。5月には、詐欺事件に関連するEOAアドレス(0xa570d …)が約3000枚のETH(約590万ドル)をTornado Cashに転入しました。
まとめ
これらの失望させる資金盗難データの背後には、積極的な側面も見受けられます------調査された事件の中で、資金損失事件の大多数は2022年以前に発生しました。実際、このトップ10のリストでは、2021年の損失資金が総額の84%を占めています。
これは私たちに何を教えているのでしょうか?全体的に見て、監査会社は痛ましい教訓から迅速に適応し、良好な評判を維持する必要があることを認識しています。また、過去に攻撃を受けた暗号コミュニティのメンバーは、コードにより迅速に深く入り込み、より高いヒット率で疑わしいチームを識別することができます。
ラグプルが頻発する中で、DeFiの反脆弱性はそれをより強くし、波動性、ランダム性、混乱、圧力、リスク、不確実性にさらされるときに成長し、時間の経過とともに正しい道に進むことを意味します。果たして、無名のチームが不正な利益を得ることがなくなる日が来るのでしょうか?これはもちろん現実的ではありません。利益がある限り、悪人は常に限界に挑戦し続けますが、私たちの発展の方向性は確実に正しいのです。
