# Los 10 mejores tiradores de alfombras

*Author: Bankless*
*Published: Sep 13, 2023*
*Source: https://www.bankless.com/es/top-10-rug-pulls*

---

**Querida Nación Bankless,** 

A los estafadores les encanta una buena estafa, los iniciados prometen a los usuarios el mundo - luego desaparecen con los fondos, a menudo nunca se vuelve a saber de ellos.

Hoy, estamos desempacando las 10 mejores estafas de todos los tiempos, sacando detalles sobre los proyectos y escenarios para que puedas aprender de ellos!

**Equipo Bankless**

---

> *Escritor colaborador: [563*](https://twitter.com/563defi)

Si te has quedado por DeFi tanto tiempo, sin duda habrás soportado más estafas, hackeos y actores turbios de lo que alguna vez creíste posible. Yo también he estado a punto de sufrir pérdidas, pero ése es el riesgo que corremos cuando interactuamos en la vanguardia de la tecnología financiera.

De todas las trampas de DeFi, las que más suelen escocer son los tirones de alfombra. Estos ataques internos -también conocidos como estafas de salida- se producen cuando los responsables de un proyecto aprovechan la confianza de los usuarios para robarles activos. Suelen ocurrir a través de código malicioso que se cuela en los contratos inteligentes, lo que permite a los desarrolladores vaciar esos contratos o las carteras de los usuarios.

En el artículo de hoy, profundizamos en los mayores robos de todos los tiempos. **¿Qué salió mal? ***¿Y qué podemos aprender de ellos? *

Dado que a veces puede ser controvertido determinar si un exploit fue culpa de un *descuido* o de una *falsa intención*, **utilizaremos** [**la lista de ataques en cadena de DefiLlama**](https://defillama.com/hacks) para mantenernos imparciales. Así que, aunque esto probablemente no incluya *todos* los casos de robo de fondos por parte de iniciados, es un gran comienzo. 

---
![](https://bankless.ghost.io/content/images/2023/09/image4.png)
## 10. JayPegs Automart. JayPegs Automart
*Cantidad perdida: $3.1M
Fecha: 17 de septiembre de 2021
Chain: Ethereum
Método: Redirected Deposits*

Fue un día triste cuando el *World's #1 2007 Kia Sedona Superstore*™ fue víctima de [un ataque interno](https://rekt.news/jaypegs-automart-rekt/) [#PeckShieldAlert](https://twitter.com/hashtag/PeckShieldAlert?src=hash&ref_src=twsrc%5Etfw) [#rugpull](https://twitter.com/hashtag/rugpull?src=hash&ref_src=twsrc%5Etfw) Dragoma [$DMA](https://twitter.com/search?q=%24DMA&src=ctag&ref_src=twsrc%5Etfw) en polígono accidentado. [$DMA](https://twitter.com/search?q=%24DMA&src=ctag&ref_src=twsrc%5Etfw) ha caído -99,7%.La web [https://t.co/2OJWlGqBtQ](https://t.co/2OJWlGqBtQ) parece caída y el canal de redes sociales borrado. Los fondos robados parecen depósitos en exchanges centralizados. [pic.twitter.com/ksJifCo0GH](https://t.co/ksJifCo0GH)- PeckShieldAlert (@PeckShieldAlert) [8 de agosto de 2022](https://twitter.com/PeckShieldAlert/status/1556457893524033538?ref_src=twsrc%5Etfw)

Este tirón de alfombra se produjo menos de 24 horas después de que $DMA [cotizara en MEXC](https://cryptoslate.com/over-1m-lost-to-polygon-based-dragoma-rug-pull/), una bolsa centralizada. Recuerde: ¡ni siquiera los operadores de CEX son inmunes a las caídas en cadena! 

---

## 8. Magnate Finance
*Cantidad perdida: 6,4 millones de dólares
Fecha: 25 de agosto de 2023
Cadena: Base
Método: Contratos drenados*

El más reciente de nuestra lista - los primeros [exploradores de la cadena BaseCoinbase](https://www.bankless.com/the-base-case-2)

experimentaron un duro golpe con Magnate Finance. El equipo que dirigía esta incipiente plataforma de préstamos [manipuló un oráculo de precios](https://ambcrypto.com/magnate-finances-shocking-rug-pull-shakes-base-users-millions-lost/), lo que les permitió robar activos bloqueados.

El sabueso de onchain *ZachXBT* avisó a la comunidad el día antes de la estafa de salida, señalando que la dirección de deployer de Magnate Finance estaba vinculada a una estafa similar.

> Alerta a la comunidad: Magnate Finance en la Base probablemente estafa de salida en un futuro próximo actualmente con más de $6.4M TVL. La dirección de los desplegadores está directamente vinculada a la estafa de salida de Solfire $4.8M. [pic.twitter.com/mBDUy3D66j](https://t.co/mBDUy3D66j)- ZachXBT (@zachxbt) [25 de agosto de 2023](https://twitter.com/zachxbt/status/1694914871165345997?ref_src=twsrc%5Etfw)

 Las nuevas cadenas son el Salvaje Oeste: proceda con cautela y aténgase a protocolos auditados y probados con el tiempo para ayudar a reducir su perfil de riesgo.

---

## 7. Arbix Finance
*Cantidad perdida: 10 millones de dólares
Fecha: 4 de enero de 2022
Cadena: Cadena BNB
Método: Contratos drenados*

En lo que se anunciaba como una forma de "[ganar un rendimiento óptimo con bajo riesgo](https://rekt.news/arbix-rekt/)", Arbix utilizó el arbitraje para obtener un rendimiento de los depósitos de los usuarios. En las primeras horas de la mañana del 4 de enero de 2022, las bóvedas se vaciaron de aproximadamente 10 millones de dólares en fondos de los usuarios, y las redes sociales y el sitio web del proyecto fueron retirados. Poco después, el equipo descargó 4,5 millones de tokens $ARBX en PancakeSwap, haciendo caer el precio de 1,42 $ a cero.

> [#CommunityAlert](https://twitter.com/hashtag/CommunityAlert?src=hash&ref_src=twsrc%5Etfw) 🚨[#Arbix](https://twitter.com/hashtag/Arbix?src=hash&ref_src=twsrc%5Etfw) Finanzas ha sido identificado como [#rugpull](https://twitter.com/hashtag/rugpull?src=hash&ref_src=twsrc%5Etfw). En los contratos inteligentes identificados aparecen funcionalidades privilegiadas. El equipo lo está investigando.¡NO interactúes con el proyecto! [pic.twitter.com/MhxN92jZH8](https://t.co/MhxN92jZH8)- CertiK Security Leaderboard (@CertiKCommunity) [4 de enero de 2022](https://twitter.com/CertiKCommunity/status/1478178581993902080?ref_src=twsrc%5Etfw)

---

## 6. Compounder Finance
Cantidad perdida: 12M$
Fecha: 2 de diciembre de 2020
Chain: Ethereum
Método: Contratos Drenados

Pocos meses después del boom del DeFi Summer, los ánimos estaban caldeados y los rendimientos eran mayores. Cada día aparecían granjas con un rendimiento del 1000% TAE, y casi se te podía perdonar que te saltaras la diligencia debida para meterte en una nueva granja... casi.

Compounder Finance, una bifurcación de Yearn, fue creada por un grupo de desarrolladores anónimos y no parecía diferente de [otros innumerables protocolos](https://defillama.com/protocol/yearn-finance) que esperaban alimentar la locura de la minería de liquidez. Lo que era diferente era la puerta trasera maliciosa escrita en sus contactos *después* de haber sido auditados. Esta puerta trasera permitió a los desarrolladores robar todos los fondos de los usuarios depositados en el protocolo, por un valor aproximado de 12 millones de dólares.

Desde entonces, las prácticas de auditoría han tenido que adaptarse, con un enfoque renovado no sólo en las amenazas externas, sino también en las internas. Rekt.news y [@vasa_develop](https://twitter.com/vasa_develop?s=20) comparten un [increíblemente detallado relato del suceso](https://rekt.news/deathbed-confessions-c3pr/) - Recomiendo la lectura.

---

## 5. Snowdog
*Cantidad perdida: 18,1 millones de dólares
Fecha: 25 de noviembre de 2021
Cadena: Avalancha
Método: Contratos drenados*

[Avalanche Rush aportó $180M](https://chaindebrief.com/avalanche-rush-180m-defi-incentive-program/) 🚨‼️ StableMagnet acaba de rugir masivamente utilizando un NOVEL RUG METHOD‼️🚨Total robado: $22m y creciendoPotencialmente vulnerable: [@dopplefi](https://twitter.com/dopplefi?ref_src=twsrc%5Etfw), [@StableGaj](https://twitter.com/StableGaj?ref_src=twsrc%5Etfw) . Por favor considere RETIRAR y REVOCAR LA APROBACIÓN por el momento. [pic.twitter.com/X5EhJT4zIN](https://t.co/X5EhJT4zIN)- Rugdoc.io (@RugDocIO) [23 de junio de 2021](https://twitter.com/RugDocIO/status/1407830287543848968?ref_src=twsrc%5Etfw)

El equipo desplegó una librería completamente diferente a la del código fuente porque los exploradores Etherscan/BSCscan no comprobaron la fuente de la librería. Debido a esto, los usuarios ocasionales no recibieron advertencias de que los contratos inteligentes no estaban verificados.

Este código malicioso no sólo drenó fondos dentro del protocolo *sino que también permitió al equipo robar fondos de las carteras de los usuarios*. 

La historia tiene un lado positivo, ya que un [whitehat hacker fue capaz de localizar al equipo](https://www.banklesstimes.com/news/2022/01/30/ethical-hacker-helps-recover-millions-lost-in-stablemagnet-rug-pull/) mediante una combinación de investigación en GitHub e ingeniería social. Esto condujo finalmente a la detención de algunos miembros del equipo y a la posterior devolución de la mayoría de los activos robados.

---

## 3. Paid Network
*Cantidad perdida: 27 millones de dólares
Fecha: 5 de marzo de 2021
Chain: Ethereum
Método: Infinite Mint & Dump*

Las alfombras más exasperantes suelen ser las que se aprovechan de los recién llegados al ecosistema de activos digitales. Cuando un proyecto está dirigido por un autoproclamado "[master disruptor crypto OG](https://rekt.news/paid-rekt/)" [YouTuber](https://www.youtube.com/@KyleChasseCrypto) y procede a la alfombra, nosotros como industria necesitamos hacer un mejor trabajo llamando a estas figuras.

La vulnerabilidad fue reportada temprano, con el propietario del contrato teniendo rienda suelta para acuñar tokens adicionales. @WARONRUGS (cuenta eliminada desde entonces) señaló esta evidente vulnerabilidad.

![](https://bankless.ghost.io/content/images/2023/09/image2.png)El 5 de marzo, el monedero de $PAID transfirió la propiedad a otro monedero (atacante), que posteriormente acuñó 37 millones de dólares del token. A continuación, el monedero atacante vertió estos tokens recién acuñados en el pool de Uniswap, desplomando instantáneamente el precio. Mientras que el [equipo argumenta que la mala gestión de claves](https://www.altcoinbuzz.io/finance-and-funding/real-exploit-or-rug-pull-paid-network-attack/) condujo a la pérdida, [otros responden](https://www.publish0x.com/cryptoinvesting/paid-network-rugs-investors-lose-dollar-100m-ivan-on-tech-im-xykovnx) que los exploits "mint" generalmente se reducen a trabajos internos.

---

## 2. Meerkat Finance
*Cantidad perdida: $32M
Fecha: 4 de marzo de 2021
Cadena: Cadena BNB
Método: Contratos drenados*

Un día antes del fiasco de Paid Network, la naciente cadena BNB ("Binance Smart Chain" en ese momento) experimentó su primer exploit importante con Meerkat Finance. Al igual que en otros casos mencionados, un desarrollador fue capaz de actualizar los contratos de bóveda para drenar los fondos de los usuarios, llevándose casi 32 millones de dólares en $BNB y $BUSD.

Al ser los primeros días de BSC, se habló de la posibilidad de que Binance retrocediera manualmente la cadena, volviendo a una marca de tiempo anterior y devolviendo los fondos robados a los usuarios. En el Telegram de Meerkat Finance, los usuarios afectados [se mostraban indecisos sobre cómo debería responder Binance](https://rekt.news/meerkat-finance-bsc-rekt/).

![](https://bankless.ghost.io/content/images/2023/09/image1.png)
---

## 1. AnubisDAO
. AnubisDAO*Cantidad perdida: 60 millones de dólares
Fecha: 29 de octubre de 2021
Chain: Ethereum
Método: Contratos drenados*

¿Qué obtienes cuando combinas una moneda perro con un fork de OHM? Pues resulta que es un completo desastre. En el número uno de la lista de *DefiLlama*, con la friolera de 60 millones de dólares en fondos robados, se encuentra AnubisDAO.

Después de una unión inicial masiva, parece que un único desarrollador fue capaz de drenar los aproximadamente 60 millones de dólares en éter del fondo de liquidez del proyecto. Poco después, la cuenta de Twitter del proyecto se silenció, dejando a los inversores en el limbo.

Ocho meses más tarde, las esperanzas de recuperar los fondos quedaron prácticamente anuladas con la [explotador](https://etherscan.io/address/0xb1302743acf31f567e9020810523f5030942e211#tokentxns) dirigiendo los activos robados a través de Tornado Cash. 

> [#PeckShieldAlert](https://twitter.com/hashtag/PeckShieldAlert?src=hash&ref_src=twsrc%5Etfw) PeckShield ha detectado [@AnubisDAO](https://twitter.com/AnubisDAO?ref_src=twsrc%5Etfw) sacamantecas que acaban de transferir ~97 [$ETH](https://twitter.com/search?q=%24ETH&src=ctag&ref_src=twsrc%5Etfw) a 0x07002d0212e3d40a6e17773460579d694100b7f4[@AnubisDAO](https://twitter.com/AnubisDAO?ref_src=twsrc%5Etfw) escabrosos ~$58m en octubre de 2021. [pic.twitter.com/2N5LO6ECtq](https://t.co/2N5LO6ECtq)- PeckShieldAlert (@PeckShieldAlert) [24 de junio de 2022](https://twitter.com/PeckShieldAlert/status/1540234286993133569?ref_src=twsrc%5Etfw)

---

## ¿Adonde vamos de aquí?
Comencemos con algunas buenas noticias después de esos datos deprimentes: de todos los tirones de alfombra examinados, la gran mayoría de los fondos se perdieron antes de 2022. De hecho, alrededor del 84% de los fondos de la lista de los 10 primeros se perdieron en 2021, bajando desde los máximos del verano DeFi.

![](https://bankless.ghost.io/content/images/2023/09/image3.png)**¿Qué nos enseña esto? **En general, las empresas de auditoría han aprendido (por las malas) que deben adaptarse rápidamente para mantener una buena reputación. Además, los miembros de la comunidad que se han quemado en el pasado son más rápidos para bucear en el código e identificar a los equipos sospechosos con una tasa de aciertos mucho más alta.

La antifragilidad de DeFi frente a las salvaguardas mediocres y los malos actores la ha endurecido, empujándola a corregir el rumbo con el tiempo.

¿Veremos alguna vez el día en que los equipos anon dejen de hacerse con ganancias mal habidas? Es poco probable. Cuando hay dinero por hacer, los malos siempre ponen a prueba los límites. Pero, ¿vamos en la dirección correcta? Por supuesto.
---

*This article is brought to you by [Bitget](https://www.bankless.com/es/sponsor/bitget-1769543635?ref=top-10-rug-pulls)*