原文作者：Bankless

如果你在DeFi领域已深耕多年，那么一定会经历过了比想象中更多的骗局、黑客，这是我们在金融科技前沿互动时所承担的风险。

在DeFi的所有陷阱中，最让人刺痛的往往是Rug Pulls。这些内部漏洞也被称为退出骗局，发生在项目内部人员利用用户信任窃取他们的资产时。它们通常通过潜入智能合约的恶意代码发生，允许开发人员耗尽这些合约或用户钱包。

本文将根据DefiLlama的链上Rug Pulls榜单，盘点近年来10个最大的Rug Pulls项目。

Jay Pegs Auto Mart

损失金额:310万美元

日期:2021年9月17日

区块链:Ethereum

方法：存款地址被恶意替换

Sushiswap IDO平台Miso的前端遭受攻击。 一个匿名承包商将恶意代码注入 Miso 前端，攻击者用自己的钱包地址来替换拍卖钱包，导致864.8 ETH（约 307 万美元）被盗。遭受这次攻击的拍卖活动是Jay Pegs Auto Mart 项目的 DONA 代币拍卖。随后，SushiSwap团队立即修复了漏洞，并在追踪了攻击者并请求FBI介入后，所有资金很快就被归还。

Dragoma

损失金额:350万美元

日期:2022年8月8日

链：Polygon

方法: 抽逃出资

与曾爆火的STEPN相似，基于Polygon网络的Dragoma也是一款主打move-to-earn概念的链游，玩家可免费领取恐龙蛋，并在40天后孵化成NFT用于赚取收益，获得DMA代币等奖励。2022年8月8日，Dragoma疑似发生Rug Pull，DMA从1.8美元暴跌至0.002美元，跌幅99.82%，随后其官方推特账号也已显示“此账号不存在”。值得一提的是，DMA代币在加密交易所MEXC上线还不到24小时，这次暴跌就发生了。

Magnate Finance

损失金额:640万美元

日期:2023年8月25日

链:Base

方法：合约漏洞

链上侦探ZachXBT在2023年8月25日发布警告，称Base生态借贷协议Magnate Finance或将在不久发生退出骗局，并表示Magnate Finance部署者地址与Solfire退出骗局有直接关联。不久之后，Base生态借贷协议Magnate Finance的网站和社交平台开始无法正常访问。其Telegram群组也被删除。ZachXBT还表示，部署者链上地址也与Kokomo Finance退出骗局有联系。

据派盾发布的事件调查，称Magnate Finance通过直接操纵价格预言机进行了Rug Pull，损失约650万美元。而据Beosin Alert 监测显示，Magnate Finance 部署者地址与此前发生 Rug Pull 的 Solfire、 Kokomo Finance 有关。该诈骗者共盗取 1670 万美元。

新的区块链网络就像是美国的狂野西部，谨慎行事，坚持审计和经过时间考验的协议，可帮助降低风险。

Arbix Finance

损失金额:1000万美元

日期:2022年1月4日

链:BNB

方法: 合约漏洞

基于Binance Smart Chain的流动性挖矿协议Arbix Finance曾被宣传为“以低风险获得最佳收益”的方式，而Arbix则利用用户存款套利赚取收益。在2022年1月4日凌晨，大约1000万美元的用户资金被抽走，项目社交网站和网站也被关闭。不久之后，该团队向PancakeSwap注入了450万美元的ARBX代币，使其价格从1.42美元跌至零。

根据CertiK的事件分析，Arbix Finance项目显示了太多的危险信号。ARBX合约只有所有者功能的mint()，1000万个ARBX代币被铸造到了8个地址。CertiK还确认有450万个ARBX被铸造到一个地址，之后被转移。另一个危险信号是1000万美元的用户资金，这笔资金在存入后被定向到未经验证的池中，黑客最终获得了所有访问权限，盗取了1000万美元资产。

Compounder Finance

损失金额:1200万美元

日期:2020年12月2日

链:Ethereum

方法: 合约漏洞

就在DeFi之夏繁荣过后的几个月，投资者情绪高涨，收益率也很高。一群匿名开发者开发的Compounder Finance吸引到了部分用户关注，它与无数其他希望进入流动性挖矿热潮的协议没有什么不同。让人吃惊的是，其用户被盗走超过1200万美元资金的罪魁祸首并非黑客，而是项目方本身。项目方在完成审计后在其代码库中添加了7个恶意策略合约，是一起性质十分恶劣的DeFi跑路事件。

区别在于，在经过审计后，它在联系人中加入了恶意后门程序。这个后门允许开发者窃取所有存入协议的用户资金——大约价值1200万美元。从那以后，审计实践不得不进行调整，不仅重新关注外部威胁，也重新关注内部威胁。该事件发生后，Rekt news和@vasa_develop分享了事件的详细过程。

Snowdog

损失金额:1810万美元

日期:2021年11月25日

链:Avalanche

方法：合约漏洞

Avalanche Rush为生态系统带来了1.8亿美元的激励，将成群的加密爱好者引入了一条新的链，而当时又正是狗狗币火热之际，Avalanche 链上 Meme 项目 Snowdog博得了许多关注，其更是号称以创造一种由协议拥有的流动性支持的储备货币为愿景。

此次事件是一场典型的“Rug Pull”。项目内部人员疑似利用对外隐藏的“challengeKey”，通过 Snowswap 在今日早上 6 点左右分两次大量抛售 SDOG Token，获利 1700 万美元，使 SDOG 价格在半小时内下跌 90%。TechnoArtoria 指出，此前 Snowswap 的合约代码并未得到全面审查，只有内部人员知道“challengeKey”的情况，并利用其进行巨额 Token 抛售。

StableMagnet

损失金额:2700万美元

日期:2021年6月23日

链：BNB Chain

方法：合约漏洞和用户钱包

DeFi 项目StableMagnet承诺稳定币的高回报，在推出“新颖的地毯方法”之前，吸引到了数千万的TVL投资。

此次问题并不是出在项目本身的智能合约中，而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library中植入后门，因此不论项目本身的智能合约代码是否安全、是否有时间锁，项目方都可以直接利用底层函数的后门转移资产。

事情发生后，该事件的受害者之一、DeFi 领域KOL Ogle以及社区调查组进行了地毯式搜索，最终获得情报的英国警方顺利抓获了项目方成员，被捕的成员退还的资产总计约 2250 万美元。

Paid Network

损失金额:2700万美元

日期:2021年3月5日

链:Ethereum

方法：无限铸造及抛售

去中心化应用Paid Network旨在通过专有的 SMART 协议、社区管理的仲裁系统、声誉评分、DeFi 工具，为开展业务提供一种新方法。

北京时间2021年3月6日，PAID Network官方发推称合约遭到黑客攻击，由于PAID Network项目使用的是可升级的存储代理合约模型，攻击者利用PAID Network代理合约owner权限部署了恶意逻辑合约，并盗取了超过5900万个PAID代币。

据了解，合同所有者可以自由地铸造额外代币的漏洞，很早就被用户发现和指出，推特用户@WARONRUGS(已删除的帐户)就曾发推提及此漏洞。

Meerkat Finance

损失金额:3200万美元

日期:2021年3月4日

链:BNB Chain

方法：合约漏洞

币安BSC链上的DeFi项目Meerkat Finance在运营了一天之后，就获得了1300万BUSD和7.3万BNB的收益，时价约为3100万美元，随后这些资金就被项目方立刻卷走。

Meerkat Finance最初声称这是一次黑客攻击，但随后该项目方删除了他们的账户

Meerkat Finance部署者升级了该项目的2个金库。攻击者地址通过Vault代理调用无需许可初始化函数，有效地允许任何人成为Vault所有者[2]。攻击者随后通过调用签名为0x70fcb0a7的函数来耗尽金库，该函数接受了一个代币地址作为输入。升级为智能合约的反编译，显示了所调用函数的唯一用途是移除以所有者为受益人的资金。由于升级是Meerkat Finance部署者完成的，考虑到链上数据的所有方面，因此这次事件最有可能的情况是蓄意的跑路事件，而私钥泄露的可能性是非常小的。

AnubisDAO

损失金额:6000万美元

日期:2021年10月29日

链:Ethereum

方法：合约漏洞

在Copper Launch启动的OHM仿盘项目AnubisDAO上线一天后撤走流动性池，疑似卷款跑路，共逾13556枚ETH被转移至地址@0x9fc，价值约5830万美元。不久之后，该项目的Twitter账户停止了活动。

今年3月，AnubisDAO攻击者（被标记为AnubisDAO exploiter3）的地址将2500枚WETH转移至“0x0D19”开头地址，并通过Tornado Cash清洗了2400枚ETH（约376万美元）；5月，骗局事件相关的EOA地址（0xa570d...）将约3000枚ETH（约590万美元）转入Tornado Cash。0

总结

这些令人沮丧的资金被盗数据背后，我们也可以看到积极的一面——在被调查的事件中，绝大多数资金损失事件发生在2022年之前。事实上，在这份前十名的榜单中，2021年损失的资金占到了总额的84%。

这教给我们什么?总的来说，审计公司已经从惨痛的教训中认识到，他们必须迅速适应以保持良好的声誉。此外，过去被攻击过的加密社区成员可以更快地深入代码，并以更高的命中率识别出可疑的团队。

在屡次出现Rug Pulls后，DeFi的反脆弱性使其变得更加坚强，这意味着当它暴露在波动性、随机性、混乱和压力、风险和不确定性下时，反而能茁壮成长和壮大，并随着时间的推移最终走向正确道路。是否会有一天，不知名的团队不再赚取不义之财？这当然不太现实。只要有利可图，坏人就会不断挑战底线，但我们发展的方向绝对是正确的。