Bankless: 암호화폐 업계에서 가장 큰 10대 체인 상의 러그풀 프로젝트를 정리하다, 주로 지난 불마켓에서 발생함

원문 출처: Bankless

원문 제목: Top 10 Rug Pulls

원문 저자: 563

편집: Zen, PANews

당신이 DeFi 분야에서 오랫동안 활동해왔다면, 상상 이상으로 많은 사기와 해킹을 경험했을 것입니다. 이는 우리가 금융 기술의 최전선에서 상호작용할 때 감수해야 하는 위험입니다.

DeFi의 모든 함정 중에서 가장 아프게 다가오는 것은 종종 Rug Pulls입니다. 이러한 내부 결함은 퇴출 사기로도 알려져 있으며, 프로젝트 내부 인력이 사용자 신뢰를 이용해 그들의 자산을 훔칠 때 발생합니다. 이들은 일반적으로 악의적인 코드가 스마트 계약에 침투하여 개발자가 이러한 계약이나 사용자 지갑을 고갈시킬 수 있도록 발생합니다.

본 문서는 DefiLlama의 체인 상 Rug Pulls 목록을 바탕으로 최근 몇 년간의 10대 최대 Rug Pulls 프로젝트를 정리합니다.

Jay Pegs Auto Mart

손실 금액: 310만 달러

날짜: 2021년 9월 17일

블록체인: Ethereum

방법: 예치 주소가 악의적으로 교체됨

Sushiswap IDO 플랫폼 Miso의 프론트엔드가 공격을 받았습니다. 한 익명의 계약자가 Miso 프론트엔드에 악의적인 코드를 주입하여 공격자는 자신의 지갑 주소로 경매 지갑을 교체하여 864.8 ETH(약 307만 달러)를 도난당했습니다. 이번 공격을 받은 경매 활동은 Jay Pegs Auto Mart 프로젝트의 DONA 토큰 경매였습니다. 이후 SushiSwap 팀은 즉시 취약점을 수정하고 공격자를 추적하여 FBI의 개입을 요청한 후 모든 자금이 빠르게 반환되었습니다.

Dragoma

손실 금액: 350만 달러

날짜: 2022년 8월 8일

체인: Polygon

방법: 자금 도주

한때 인기를 끌었던 STEPN과 유사하게, Polygon 네트워크 기반의 Dragoma도 move-to-earn 개념을 주제로 한 체인 게임으로, 플레이어는 무료로 공룡 알을 받고 40일 후 NFT로 부화시켜 수익을 얻고 DMA 토큰 등의 보상을 받을 수 있습니다. 2022년 8월 8일, Dragoma에서 Rug Pull이 발생한 것으로 의심되며, DMA는 1.8달러에서 0.002달러로 폭락하여 99.82% 하락했습니다. 이후 공식 트위터 계정도 "이 계정은 존재하지 않습니다"라고 표시되었습니다. 주목할 점은 DMA 토큰이 암호 거래소 MEXC에 상장된 지 24시간도 안 되어 이 폭락이 발생했다는 것입니다.

Magnate Finance

손실 금액: 640만 달러

날짜: 2023년 8월 25일

체인: Base

방법: 계약 취약점

체인 탐정 ZachXBT는 2023년 8월 25일 Base 생태계 대출 프로토콜 Magnate Finance가 곧 퇴출 사기를 당할 것이라고 경고하며 Magnate Finance 배포자 주소가 Solfire 퇴출 사기와 직접적으로 연관되어 있다고 밝혔습니다. 얼마 지나지 않아 Base 생태계 대출 프로토콜 Magnate Finance의 웹사이트와 소셜 플랫폼이 정상적으로 접근할 수 없게 되었습니다. 그들의 텔레그램 그룹도 삭제되었습니다. ZachXBT는 배포자 체인 상 주소가 Kokomo Finance 퇴출 사기와도 관련이 있다고 언급했습니다.

파이쉴드에서 발표한 사건 조사에 따르면, Magnate Finance는 가격 예측기를 직접 조작하여 Rug Pull을 진행했으며, 손실액은 약 650만 달러에 달합니다. Beosin Alert 모니터링에 따르면, Magnate Finance 배포자 주소는 이전에 발생한 Rug Pull의 Solfire 및 Kokomo Finance와 관련이 있습니다. 이 사기꾼은 총 1670만 달러를 훔쳤습니다.

새로운 블록체인 네트워크는 마치 미국의 황야 서부와 같습니다. 신중하게 행동하고, 감사 및 시간에 검증된 프로토콜을 고수하는 것이 위험을 줄이는 데 도움이 될 수 있습니다.

Arbix Finance

손실 금액: 1000만 달러

날짜: 2022년 1월 4일

체인: BNB

방법: 계약 취약점

Binance Smart Chain 기반의 유동성 채굴 프로토콜 Arbix Finance는 "저위험으로 최고의 수익을 얻는 방법"으로 홍보되었습니다. Arbix는 사용자 예금을 이용해 차익을 얻었습니다. 2022년 1월 4일 새벽, 약 1000만 달러의 사용자 자금이 유출되었고, 프로젝트의 소셜 사이트와 웹사이트도 폐쇄되었습니다. 얼마 지나지 않아 팀은 PancakeSwap에 450만 달러의 ARBX 토큰을 주입하여 가격이 1.42달러에서 제로로 떨어졌습니다.

CertiK의 사건 분석에 따르면, Arbix Finance 프로젝트는 너무 많은 위험 신호를 보였습니다. ARBX 계약은 소유자 기능의 mint()만 있었고, 1000만 개의 ARBX 토큰이 8개의 주소로 발행되었습니다. CertiK는 또한 450만 개의 ARBX가 한 주소로 발행된 후 전송되었다고 확인했습니다. 또 다른 위험 신호는 1000만 달러의 사용자 자금이 예치된 후 검증되지 않은 풀로 향했다는 것입니다. 해커는 결국 모든 접근 권한을 얻어 1000만 달러의 자산을 훔쳤습니다.

Compounder Finance

손실 금액: 1200만 달러

날짜: 2020년 12월 2일

체인: Ethereum

방법: 계약 취약점

DeFi 여름이 번창한 몇 달 후, 투자자들의 감정이 고조되고 수익률도 높았습니다. 익명의 개발자들이 개발한 Compounder Finance는 일부 사용자들의 관심을 끌었으며, 이는 유동성 채굴 열풍에 진입하고자 하는 수많은 다른 프로토콜과 다르지 않았습니다. 놀랍게도, 사용자들이 1200만 달러 이상의 자금을 도난당한 범인은 해커가 아니라 프로젝트 측 자체였습니다. 프로젝트 측은 감사 후 코드베이스에 7개의 악의적인 전략 계약을 추가하여 매우 악질적인 DeFi 도주 사건을 일으켰습니다.

차이점은 감사 후 연락처에 악의적인 백도어 프로그램을 추가했다는 것입니다. 이 백도어는 개발자가 모든 예치된 사용자 자금을 훔칠 수 있도록 허용했습니다—약 1200만 달러의 가치가 있습니다. 그 이후로 감사 관행은 조정되어 외부 위협뿐만 아니라 내부 위협에도 다시 초점을 맞추게 되었습니다. 사건 발생 후 Rekt news와 @vasa_develop은 사건의 자세한 과정을 공유했습니다.

Snowdog

손실 금액: 1810만 달러

날짜: 2021년 11월 25일

체인: Avalanche

방법: 계약 취약점

Avalanche Rush는 생태계에 1.8억 달러의 인센티브를 제공하여 많은 암호화 애호가들을 새로운 체인으로 끌어들였고, 당시 개코인도 인기를 끌고 있었습니다. Avalanche 체인에서 Meme 프로젝트 Snowdog는 많은 주목을 받았으며, 이는 프로토콜이 소유한 유동성으로 지원되는 준비 통화를 창출하는 것을 비전으로 삼고 있었습니다.

이번 사건은 전형적인 "Rug Pull"입니다. 프로젝트 내부 인력이 외부에 숨겨진 "challengeKey"를 이용하여 Snowswap에서 오늘 아침 6시경 두 차례에 걸쳐 SDOG Token을 대량으로 매도하여 1700만 달러를 수익으로 얻었고, SDOG 가격은 반시간 만에 90% 하락했습니다. TechnoArtoria는 이전에 Snowswap의 계약 코드가 전면적으로 검토되지 않았으며, 오직 내부 인원만이 "challengeKey"를 알고 있었고 이를 이용해 대규모 Token 매도를 진행했다고 지적했습니다.

StableMagnet

손실 금액: 2700만 달러

날짜: 2021년 6월 23일

체인: BNB Chain

방법: 계약 취약점 및 사용자 지갑

DeFi 프로젝트 StableMagnet는 스테이블코인의 높은 수익을 약속하며 "신선한 카펫 방법"을 출시하기 전에 수천만의 TVL 투자를 유치했습니다.

문제는 프로젝트 자체의 스마트 계약이 아니라 스마트 계약이 호출하는 하위 함수 라이브러리에서 발생했습니다. 프로젝트 측은 하위 함수 라이브러리 SwapUtils Library에 백도어를 심어, 프로젝트 자체의 스마트 계약 코드가 안전하든 시간 잠금이 있든 관계없이 프로젝트 측이 하위 함수의 백도어를 이용해 자산을 직접 이전할 수 있도록 했습니다.

사건 발생 후, 사건의 피해자 중 한 명인 DeFi 분야 KOL Ogle과 커뮤니티 조사팀이 전면적인 수색을 진행하였고, 결국 정보를 얻은 영국 경찰이 프로젝트 측의 구성원을 체포했습니다. 체포된 구성원이 반환한 자산 총액은 약 2250만 달러에 달합니다.

Paid Network

손실 금액: 2700만 달러

날짜: 2021년 3월 5일

체인: Ethereum

방법: 무한 발행 및 매도

탈중앙화 애플리케이션 Paid Network는 독점적인 SMART 프로토콜, 커뮤니티 관리의 중재 시스템, 평판 점수, DeFi 도구를 통해 비즈니스를 수행하는 새로운 방법을 제공하는 것을 목표로 합니다.

2021년 3월 6일, PAID Network 공식 트위터는 계약이 해킹당했다고 발표했습니다. PAID Network 프로젝트는 업그레이드 가능한 저장소 프록시 계약 모델을 사용하고 있었으며, 공격자는 PAID Network 프록시 계약의 소유자 권한을 이용해 악의적인 로직 계약을 배포하고 5900만 개 이상의 PAID 토큰을 훔쳤습니다.

계약 소유자가 추가 토큰을 자유롭게 발행할 수 있는 취약점은 사용자에 의해 일찍이 발견되고 지적되었습니다. 트위터 사용자 @WARONRUGS(삭제된 계정)는 이 취약점을 언급한 트윗을 올린 바 있습니다.

Meerkat Finance

손실 금액: 3200만 달러

날짜: 2021년 3월 4일

체인: BNB Chain

방법: 계약 취약점

바이낸스 BSC 체인上的 DeFi 프로젝트 Meerkat Finance는 운영 하루 만에 1300만 BUSD와 7.3만 BNB의 수익을 올렸고, 당시 시가는 약 3100만 달러였습니다. 이후 이 자금은 프로젝트 측에 의해 즉시 유출되었습니다.

Meerkat Finance는 처음에 이를 해킹으로 주장했지만, 이후 프로젝트 측은 그들의 계정을 삭제했습니다.

Meerkat Finance 배포자는 프로젝트의 2개의 금고를 업그레이드했습니다. 공격자 주소는 Vault 프록시를 통해 허가 없이 초기화 함수를 호출하여 사실상 누구나 Vault 소유자가 될 수 있도록 했습니다. 공격자는 이후 0x70fcb0a7로 서명된 함수를 호출하여 금고를 고갈시켰습니다. 이 함수는 토큰 주소를 입력으로 받았습니다. 스마트 계약의 반역 컴파일 결과, 호출된 함수의 유일한 용도는 소유자를 수익자로 하는 자금을 제거하는 것이었습니다. 업그레이드는 Meerkat Finance 배포자가 완료했으며, 체인 상 데이터의 모든 측면을 고려할 때, 이번 사건은 의도적인 도주 사건일 가능성이 가장 높고, 개인 키 유출의 가능성은 매우 낮습니다.

AnubisDAO

손실 금액: 6000만 달러

날짜: 2021년 10월 29일

체인: Ethereum

방법: 계약 취약점

Copper Launch에서 시작된 OHM 복제 프로젝트 AnubisDAO가 출시 하루 만에 유동성 풀을 철회하며 의심스러운 도주가 발생했습니다. 총 13556 ETH가 주소 @0x9fc로 이전되어 약 5830만 달러의 가치가 있었습니다. 얼마 지나지 않아 해당 프로젝트의 트위터 계정은 활동을 중단했습니다.

올해 3월, AnubisDAO 공격자(AnubisDAO exploiter 3로 표시된)의 주소는 2500개의 W ETH를 "0x0D19"로 시작하는 주소로 이전하고, Tornado Cash를 통해 2400개의 ETH(약 376만 달러)를 세탁했습니다. 5월에는 사기 사건과 관련된 EOA 주소(0xa570d…)가 약 3000개의 ETH(약 590만 달러)를 Tornado Cash로 이전했습니다.

요약

이러한 실망스러운 자금 도난 데이터 뒤에는 긍정적인 면도 있습니다—조사된 사건 중 대다수의 자금 손실 사건은 2022년 이전에 발생했습니다. 사실, 이 10대 목록에서 2021년에 손실된 자금은 총액의 84%를 차지합니다.

이것이 우리에게 무엇을 가르쳐 줄까요? 전반적으로 감사 회사들은 고통스러운 교훈을 통해 그들이 신뢰를 유지하기 위해 신속하게 적응해야 한다는 것을 인식하게 되었습니다. 또한, 과거에 공격을 당했던 암호화 커뮤니티 구성원들은 코드를 더 빠르게 깊이 파악하고 더 높은 확률로 의심스러운 팀을 식별할 수 있습니다.

Rug Pulls가 여러 번 발생한 후, DeFi의 반취약성은 더욱 강해졌습니다. 이는 DeFi가 변동성, 무작위성, 혼란과 압박, 위험 및 불확실성에 노출될 때 오히려 성장하고 강화될 수 있음을 의미하며, 시간이 지남에 따라 결국 올바른 길로 나아갈 것입니다. 언젠가 알려지지 않은 팀이 더 이상 부당한 이익을 얻지 못할 날이 올까요? 이는 물론 현실적이지 않습니다. 이익이 있는 한 나쁜 사람들은 계속해서 한계를 도전할 것이지만, 우리가 발전하는 방향은 확실히 올바릅니다.