DeFiLabs BSC Backdoor-Rug
Eine versteckte Deployer-only withdrawFunds-Funktion im Staking-Contract von DeFiLabs zog 1,6 Mio. $ Nutzergelder ab, bevor das Projekt verschwand.
- Datum
- Opfer
- DeFiLabs users
- Chain(s)
- Status
- Mittel entwendet
Am 30. Juli 2023 zog das BNB-Chain-Yield-Projekt DeFiLabs rund 1,6 Millionen $ per Rug Pull ab. Der Staking-Contract enthielt eine versteckte Deployer-only Withdraw-Funktion (Stil withdrawFunds), die alle Nutzereinlagen in einem einzigen Aufruf abzog; danach verschwand das Projekt.
Was geschah
Der DVL-Staking-Contract von DeFiLabs enthielt eine privilegierte Funktion — nicht Teil der beworbenen Funktionalität —, die es dem Deployer erlaubte, den gesamten Einlagenpool herauszuziehen. Nach Ansammlung von rund 1,6 Mio. $ rief der Deployer sie auf und stieg aus.
Folgen
- Keine Wiederherstellung; Deployer unbekannt.
Warum es wichtig ist
DeFiLabs ist ein lehrbuchhafter Backdoor-Funktions-Rug — die einfachste und am häufigsten wiederholte Rug-Struktur im Katalog (Arbix, Kokomo, Swaprum, Kannagi). Eine privilegierte Drain-Funktion mit unauffälligem Namen, in einem unverifizierten oder ungelesenen Contract, auf einer Hoch-APY-Farm während der Wachstumsphase einer Chain. Der Nutzer-seitige Filter bleibt der günstigste in DeFi und der am meisten ignorierte: Lies (oder lass ein Tool lesen) jede Funktion, die der Eigentümer aufrufen kann, und nimm den Worst Case an. Die Grundrate genau dieser Struktur auf BSC-/zkSync-/Base-Wachstumsphasen-Farms ist hoch genug, dass „Ich habe die Owner-Funktionen nicht geprüft" statistisch die ganze Geschichte ist.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-defilabs-rug-pull-july-2023
- [02]certik.comhttps://www.certik.com/resources/blog/post-mortem-defilabs
- [03]rekt.newshttps://rekt.news/defilabs-rekt