Subscribe to Bankless or sign in
Querida Nación Bankless,
A los estafadores les encanta una buena estafa, los iniciados prometen a los usuarios el mundo - luego desaparecen con los fondos, a menudo nunca se vuelve a saber de ellos.
Hoy, estamos desempacando las 10 mejores estafas de todos los tiempos, sacando detalles sobre los proyectos y escenarios para que puedas aprender de ellos!
Equipo Bankless
Escritor colaborador: 563
Si te has quedado por DeFi tanto tiempo, sin duda habrás soportado más estafas, hackeos y actores turbios de lo que alguna vez creíste posible. Yo también he estado a punto de sufrir pérdidas, pero ése es el riesgo que corremos cuando interactuamos en la vanguardia de la tecnología financiera.
De todas las trampas de DeFi, las que más suelen escocer son los tirones de alfombra. Estos ataques internos -también conocidos como estafas de salida- se producen cuando los responsables de un proyecto aprovechan la confianza de los usuarios para robarles activos. Suelen ocurrir a través de código malicioso que se cuela en los contratos inteligentes, lo que permite a los desarrolladores vaciar esos contratos o las carteras de los usuarios.
En el artículo de hoy, profundizamos en los mayores robos de todos los tiempos. ¿Qué salió mal? ¿Y qué podemos aprender de ellos?
Dado que a veces puede ser controvertido determinar si un exploit fue culpa de un descuido o de una falsa intención, utilizaremos la lista de ataques en cadena de DefiLlama para mantenernos imparciales. Así que, aunque esto probablemente no incluya todos los casos de robo de fondos por parte de iniciados, es un gran comienzo.
10. JayPegs Automart. JayPegs Automart
Cantidad perdida: $3.1M
Fecha: 17 de septiembre de 2021
Chain: Ethereum
Método: Redirected Deposits
Fue un día triste cuando el World's #1 2007 Kia Sedona Superstore™ fue víctima de un ataque interno< antes de su oferta inicial en SushiSwap. Un desarrollador furtivo sustituyó la dirección de auctionWallet por la suya propia, lo que provocó que todos los fondos de los usuarios fueran a parar a su bolsillo.
Lo que siguió fue una represalia sorprendentemente agresiva por parte del equipo de SushiSwap, que identificó rápidamente al presunto autor. La táctica tuvo éxito, y tras llegar al extremo de doxxing al dev y amenazar con la participación del FBI, los fondos (por un total de 865 ether) fueron devueltos rápidamente.
Al menos empezamos con un final feliz - a partir de aquí la cosa se pone mucho más negra... 😬
9. Dragoma
Cantidad perdida: 3,5M$
Fecha: 8 de agosto de 2022
Cadena: Polígono
Método: Drained Vaults
Siguiendo los pasos de STEPN de Solana, Dragoma en la red 
Polygon se comercializó como un juego move-to-earn donde los usuarios podían ganar el token $DMA realizando tareas en el juego y podían eclosionar NFT de dragón caminando. El entusiasmo de los jugadores por sacar su lado Berk fue aplastado cuando se retiró la liquidez, y el $DMA precio cayó prácticamente a cero.
#PeckShieldAlert #rugpull Dragoma $DMA en polígono accidentado. $DMA ha caído -99,7%.
- PeckShieldAlert (@PeckShieldAlert) 8 de agosto de 2022
La web https://t.co/2OJWlGqBtQ parece caída y el canal de redes sociales borrado. Los fondos robados parecen depósitos en exchanges centralizados. pic.twitter.com/ksJifCo0GH
Este tirón de alfombra se produjo menos de 24 horas después de que $DMA cotizara en MEXC, una bolsa centralizada. Recuerde: ¡ni siquiera los operadores de CEX son inmunes a las caídas en cadena!
8. Magnate Finance
Cantidad perdida: 6,4 millones de dólares
Fecha: 25 de agosto de 2023
Cadena: Base
Método: Contratos drenados
El más reciente de nuestra lista - los primeros exploradores de la cadena BaseCoinbase
experimentaron un duro golpe con Magnate Finance. El equipo que dirigía esta incipiente plataforma de préstamos manipuló un oráculo de precios, lo que les permitió robar activos bloqueados.
El sabueso de onchain ZachXBT avisó a la comunidad el día antes de la estafa de salida, señalando que la dirección de deployer de Magnate Finance estaba vinculada a una estafa similar.
Alerta a la comunidad: Magnate Finance en la
- ZachXBT (@zachxbt) 25 de agosto de 2023Base probablemente estafa de salida en un futuro próximo actualmente con más de $6.4M TVL.
La dirección de los desplegadores está directamente vinculada a la estafa de salida de Solfire $4.8M. pic.twitter.com/mBDUy3D66j
Las nuevas cadenas son el Salvaje Oeste: proceda con cautela y aténgase a protocolos auditados y probados con el tiempo para ayudar a reducir su perfil de riesgo.
7. Arbix Finance
Cantidad perdida: 10 millones de dólares
Fecha: 4 de enero de 2022
Cadena: Cadena BNB
Método: Contratos drenados
En lo que se anunciaba como una forma de "ganar un rendimiento óptimo con bajo riesgo", Arbix utilizó el arbitraje para obtener un rendimiento de los depósitos de los usuarios. En las primeras horas de la mañana del 4 de enero de 2022, las bóvedas se vaciaron de aproximadamente 10 millones de dólares en fondos de los usuarios, y las redes sociales y el sitio web del proyecto fueron retirados. Poco después, el equipo descargó 4,5 millones de tokens $ARBX en PancakeSwap, haciendo caer el precio de 1,42 $ a cero.
#CommunityAlert 🚨#Arbix Finanzas ha sido identificado como #rugpull. En los contratos inteligentes identificados aparecen funcionalidades privilegiadas.
- CertiK Security Leaderboard (@CertiKCommunity) 4 de enero de 2022
El equipo lo está investigando.
¡NO interactúes con el proyecto! pic.twitter.com/MhxN92jZH8
6. Compounder Finance
Cantidad perdida: 12M$
Fecha: 2 de diciembre de 2020
Chain: Ethereum
Método: Contratos Drenados
Pocos meses después del boom del DeFi Summer, los ánimos estaban caldeados y los rendimientos eran mayores. Cada día aparecían granjas con un rendimiento del 1000% TAE, y casi se te podía perdonar que te saltaras la diligencia debida para meterte en una nueva granja... casi.
Enjoying this article?
Subscribe to Bankless or sign in
Compounder Finance, una bifurcación de Yearn, fue creada por un grupo de desarrolladores anónimos y no parecía diferente de otros innumerables protocolos que esperaban alimentar la locura de la minería de liquidez. Lo que era diferente era la puerta trasera maliciosa escrita en sus contactos después de haber sido auditados. Esta puerta trasera permitió a los desarrolladores robar todos los fondos de los usuarios depositados en el protocolo, por un valor aproximado de 12 millones de dólares.
Desde entonces, las prácticas de auditoría han tenido que adaptarse, con un enfoque renovado no sólo en las amenazas externas, sino también en las internas. Rekt.news y @vasa_develop comparten un increíblemente detallado relato del suceso - Recomiendo la lectura.
5. Snowdog
Cantidad perdida: 18,1 millones de dólares
Fecha: 25 de noviembre de 2021
Cadena: Avalancha
Método: Contratos drenados
Avalanche Rush aportó $180M< en incentivos al ecosistema, llevando a hordas de entusiastas de las criptomonedas a una nueva cadena. La ambiciosa (léase "presuntuosa") visión de Snowdog era crear una moneda de reserva respaldada por la liquidez del protocolo... y también era una moneda de perro (DOGE estaba explotando en ese momento).
Tras la "fase de acumulación" inicial, en la que los usuarios podían acuñar la moneda $SDOG de forma OHM-fork depositando la stablecoin $MIM, estaba prevista una recompra. La recompra debía ser una oportunidad para que los primeros compradores canjearan sus $SDOG por $MIM antes de que se agotara la oferta de $SDOG. Aquí es donde todo se fue a GoblinTown.
Inmediatamente después de que el grupo SDOG-MIM se estableció en TraderJoe, dos pioneros fueron capaces de volcar bolsas masivas de $SDOG a valoraciones infladas. La probabilidad de que estos pioneros tuvieran información privilegiada comenzó a aumentar después de que los investigadores descubrieran varias "conveniencias" que insinuaban conocimiento interno. Aún, el caso permanece en el limbo, con algunos argumentando que la "teoría del juego", y no la maleficencia, podría haber llevado a esta conclusión.
4. StableMagnet
Cantidad perdida: 27M$
Fecha: 23 de junio de 2021
Cadena: Cadena BNB
Método: Drained Contracts & User Wallets
Prometiendo altos rendimientos en stablecoins, StableMagnet atrajo decenas de millones en TVL antes de iniciar un "novedoso método de alfombra."
🚨‼️ StableMagnet acaba de rugir masivamente utilizando un NOVEL RUG METHOD‼️🚨
- Rugdoc.io (@RugDocIO) 23 de junio de 2021
Total robado: $22m y creciendo
Potencialmente vulnerable: @dopplefi, @StableGaj . Por favor considere RETIRAR y REVOCAR LA APROBACIÓN por el momento. pic.twitter.com/X5EhJT4zIN
El equipo desplegó una librería completamente diferente a la del código fuente porque los exploradores Etherscan/BSCscan no comprobaron la fuente de la librería. Debido a esto, los usuarios ocasionales no recibieron advertencias de que los contratos inteligentes no estaban verificados.
Este código malicioso no sólo drenó fondos dentro del protocolo sino que también permitió al equipo robar fondos de las carteras de los usuarios.
La historia tiene un lado positivo, ya que un whitehat hacker fue capaz de localizar al equipo mediante una combinación de investigación en GitHub e ingeniería social. Esto condujo finalmente a la detención de algunos miembros del equipo y a la posterior devolución de la mayoría de los activos robados.
3. Paid Network
Cantidad perdida: 27 millones de dólares
Fecha: 5 de marzo de 2021
Chain: Ethereum
Método: Infinite Mint & Dump
Las alfombras más exasperantes suelen ser las que se aprovechan de los recién llegados al ecosistema de activos digitales. Cuando un proyecto está dirigido por un autoproclamado "master disruptor crypto OG" YouTuber y procede a la alfombra, nosotros como industria necesitamos hacer un mejor trabajo llamando a estas figuras.
La vulnerabilidad fue reportada temprano, con el propietario del contrato teniendo rienda suelta para acuñar tokens adicionales. @WARONRUGS (cuenta eliminada desde entonces) señaló esta evidente vulnerabilidad.
El 5 de marzo, el monedero de $PAID transfirió la propiedad a otro monedero (atacante), que posteriormente acuñó 37 millones de dólares del token. A continuación, el monedero atacante vertió estos tokens recién acuñados en el pool de Uniswap, desplomando instantáneamente el precio. Mientras que el equipo argumenta que la mala gestión de claves condujo a la pérdida, otros responden que los exploits "mint" generalmente se reducen a trabajos internos.
2. Meerkat Finance
Cantidad perdida: $32M
Fecha: 4 de marzo de 2021
Cadena: Cadena BNB
Método: Contratos drenados
Un día antes del fiasco de Paid Network, la naciente cadena BNB ("Binance Smart Chain" en ese momento) experimentó su primer exploit importante con Meerkat Finance. Al igual que en otros casos mencionados, un desarrollador fue capaz de actualizar los contratos de bóveda para drenar los fondos de los usuarios, llevándose casi 32 millones de dólares en $BNB y $BUSD.
Al ser los primeros días de BSC, se habló de la posibilidad de que Binance retrocediera manualmente la cadena, volviendo a una marca de tiempo anterior y devolviendo los fondos robados a los usuarios. En el Telegram de Meerkat Finance, los usuarios afectados se mostraban indecisos sobre cómo debería responder Binance.
1. AnubisDAO
. AnubisDAOCantidad perdida: 60 millones de dólares
Fecha: 29 de octubre de 2021
Chain: Ethereum
Método: Contratos drenados
¿Qué obtienes cuando combinas una moneda perro con un fork de OHM? Pues resulta que es un completo desastre. En el número uno de la lista de DefiLlama, con la friolera de 60 millones de dólares en fondos robados, se encuentra AnubisDAO.
Después de una unión inicial masiva, parece que un único desarrollador fue capaz de drenar los aproximadamente 60 millones de dólares en éter del fondo de liquidez del proyecto. Poco después, la cuenta de Twitter del proyecto se silenció, dejando a los inversores en el limbo.
Ocho meses más tarde, las esperanzas de recuperar los fondos quedaron prácticamente anuladas con la explotador dirigiendo los activos robados a través de Tornado Cash.
#PeckShieldAlert PeckShield ha detectado @AnubisDAO sacamantecas que acaban de transferir ~97 $ETH a 0x07002d0212e3d40a6e17773460579d694100b7f4@AnubisDAO escabrosos ~$58m en octubre de 2021. pic.twitter.com/2N5LO6ECtq
- PeckShieldAlert (@PeckShieldAlert) 24 de junio de 2022
¿Adonde vamos de aquí?
Comencemos con algunas buenas noticias después de esos datos deprimentes: de todos los tirones de alfombra examinados, la gran mayoría de los fondos se perdieron antes de 2022. De hecho, alrededor del 84% de los fondos de la lista de los 10 primeros se perdieron en 2021, bajando desde los máximos del verano DeFi.
¿Qué nos enseña esto? En general, las empresas de auditoría han aprendido (por las malas) que deben adaptarse rápidamente para mantener una buena reputación. Además, los miembros de la comunidad que se han quemado en el pasado son más rápidos para bucear en el código e identificar a los equipos sospechosos con una tasa de aciertos mucho más alta.
La antifragilidad de DeFi frente a las salvaguardas mediocres y los malos actores la ha endurecido, empujándola a corregir el rumbo con el tiempo.
¿Veremos alguna vez el día en que los equipos anon dejen de hacerse con ganancias mal habidas? Es poco probable. Cuando hay dinero por hacer, los malos siempre ponen a prueba los límites. Pero, ¿vamos en la dirección correcta? Por supuesto.
