Rug con backdoor en DeFiLabs BSC
Una función oculta withdrawFunds solo para el deployer drenó 1,6 M$ en depósitos del contrato de staking de DeFiLabs en BNB Chain antes de desaparecer.
- Fecha
- Víctima
- DeFiLabs users
- Cadena(s)
- Estado
- Fondos robados
El 30 de julio de 2023, el proyecto de yield en BNB Chain DeFiLabs hizo un rug pull de aproximadamente 1,6 millones de dólares. El contrato de staking contenía una función de retiro oculta solo accesible al deployer (estilo withdrawFunds) que drenó todos los depósitos de usuarios en una sola llamada; el proyecto luego desapareció.
Qué ocurrió
El contrato de staking DVL de DeFiLabs incluía una función privilegiada —no parte de la funcionalidad anunciada— que permitía al deployer transferir todo el pool de depósitos. Tras acumular ~1,6 M$, el deployer la invocó y se marchó.
Consecuencias
- Sin recuperación; deployer no identificado.
Por qué importa
DeFiLabs es un rug con función backdoor de manual: la estructura de rug más simple y repetida del catálogo (Arbix, Kokomo, Swaprum, Kannagi). Una función privilegiada de drenaje con un nombre inocuo, en un contrato no verificado o no leído, en una granja de APY alto durante la fase de crecimiento de una cadena. El filtro del lado del usuario sigue siendo el más barato de DeFi y el más ignorado: lee (o haz que una herramienta lea) cada función que el propietario pueda llamar, y asume el peor caso de uso de cada una. La tasa base de esta estructura exacta en granjas en fase de crecimiento de BSC/zkSync/Base es lo suficientemente alta como para que "no comprobé las funciones del owner" sea, estadísticamente, toda la historia.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-defilabs-rug-pull-july-2023
- [02]certik.comhttps://www.certik.com/resources/blog/post-mortem-defilabs
- [03]rekt.newshttps://rekt.news/defilabs-rekt