Kokomo Finance Exit Scam

Am 27. März 2023 vollzog das Optimism-Lending-Protokoll Kokomo Finance — ein Compound-v2-Fork — einen 4-Millionen-$-Rug-Pull. Das Team pausierte den cBTC-Markt des Protokolls, modifizierte den Reward-Contract auf eine bösartige Implementierung, drainte von Nutzern bereitgestelltes WBTC und löschte dann die Website und alle Social Channels.

Was geschah

Kokomo Finance präsentierte sich als legitimer Optimism-Lending-Markt mit den üblichen Trust-Signalen — ein deployter Compound-Fork-Produkt und aktive Social Presence. Es hatte relevanten TVL angesammelt, einschließlich von Nutzern bereitgestelltem WBTC.

Der Rug nutzte die vom Team behaltene privilegierte Kontrolle über die Contracts des Protokolls:

1. Pausierte den cBTC-Markt — verhinderte, dass Nutzer abheben, während der Rug ausgeführt wurde.
2. Modifizierte den Reward-Contract (Implementierung von cBTC) auf eine bösartige Version, die das Team kontrollierte — mit der Upgrade-Autorität, die sie über die Contracts behalten hatten.
3. Die bösartige Implementierung erlaubte dem Team, von Nutzern bereitgestelltes WBTC aus dem Protokoll auf angreifer-kontrollierte Adressen zu transferieren.
4. Drainte rund 4 Mio. $ in WBTC und anderen Assets.
5. Löschte Website, Twitter und alle Community-Kanäle — der Standard-Exit-Scam-Abschluss.

Der KOKO-Token kollabierte um rund 95 %; Nutzer, die Collateral in den pausierten Märkten hinterlegt hatten, konnten nicht abheben und verloren ihre Einlagen.

Folgen

• Keine Wiederherstellung — der Rug war so strukturiert, dass das Team die Upgrade-Keys, die Pause-Funktion und den Exit-Pfad kontrollierte.
• Kokomo Finance reihte sich in die lange Liste der audit-konform aussehenden Compound-Fork-Rug-Pulls auf aufstrebenden L2s 2022-2023 ein.

Warum es wichtig ist

Kokomo Finance ist ein repräsentativer Eintrag im „Compound-Fork-Rug"-Subgenre — abgegrenzt von Compound-Fork-Bugs (Hundred Finance, Sonne Finance), weil der Verlust beabsichtigt war, ausgeführt durch behaltene privilegierte Kontrolle und nicht durch eine unbeabsichtigte Schwachstelle.

Die strukturellen Lektionen für Nutzer:

1. Upgradefähige Lending-Forks mit behaltenen Admin-Keys sind per Konstruktion rug-fähig. Wenn das Team Märkte pausieren und Contract-Implementierungen upgraden kann, kann es genau das tun, was Kokomo tat. Die On-Chain-Frage, die Nutzer stellen sollten — aber selten tun — ist „Wer kontrolliert die Upgrade- und Pause-Autorität, und ist sie renounced, timelocked oder Multi-Sig-gesichert?"

2. Die „Pause-dann-Drain"-Sequenz ist eine Rug-Signatur. Eine legitime Notfall-Pause schützt Nutzer; eine Pause unmittelbar gefolgt von einem Implementierungs-Upgrade und Asset-Transfer ist ein Exit. Das Muster ist On-Chain erkennbar, und Monitoring-Dienste flaggen es zunehmend — aber meist zu spät für die Deponenten, die bereits im pausierten Markt sind.

3. Aufstrebende L2s in ihrer Wachstumsphase ziehen Fork-Rugs an. Optimisms Ökosystem-Wachstum 2022-2023, wie BSCs 2021 und Arbitrums 2022-2023, zog eine Welle schnell deployter Compound-Forks an — einige buggy, einige bösartig, beim Einzahlen für Nutzer strukturell ununterscheidbar. Kokomo ist einer von vielen; das Muster wiederholt sich auf jeder Chain während ihres hoch-incentivisierten Wachstumsfensters.

Die wiederkehrende Meta-Lektion: „Es ist ein Compound-Fork auf einer neuen Chain" ist kein Sicherheitssignal — es ist ein Risikosignal, weil der Fork Compounds Footguns und die Anreize des Teams erbt, und keines davon wird durch die Jugend der Chain sicherer.