Rug zkSync de Kannagi Finance

El 4 de julio de 2023, la granja de yield de zkSync Era Kannagi Finance hizo un rug pull de aproximadamente 2,1 millones de dólares. El contrato de staking actualizable y de código cerrado del protocolo se actualizó a una implementación maliciosa que drenó todos los depósitos de usuarios; el equipo luego borró su sitio web y canales sociales.

Qué ocurrió

Los contratos de staking de Kannagi no estaban verificados ni eran de código abierto y eran actualizables por el equipo. Tras acumular ~2,1 M$ en depósitos, los operadores hicieron una actualización maliciosa que barrió los fondos acumulados a direcciones controladas por el atacante, luego desaparecieron: la secuencia final de manual del exit scam.

Consecuencias

• Sin recuperación; operadores no identificados.
• Uno de varios rugs del ecosistema zkSync de 2023 durante la fase de crecimiento incentivado de la cadena.

Por qué importa

Kannagi es un caso limpio de código cerrado + actualizable = capaz de rug. Dos banderas rojas, ambas comprobables antes de depositar, ambas ignoradas durante una persecución de yield: fuente de contrato no verificada (no puedes saber qué hace el código) y actualizabilidad controlada por el equipo (incluso código verificado puede convertirse en código arbitrario). La lección recurrente del catálogo desde el lado del usuario —reforzada por Kokomo, Swaprum, Arbix— es que en una cadena nueva en su ventana de crecimiento con APY alto, la tasa base de "esto es un rug" es alta, y los dos filtros más baratos (fuente verificada, autoridad de actualización renunciada/bajo timelock) descartan a la mayoría. zkSync Era en 2023, como BSC en 2021 y Base en 2024, corrió exactamente este patrón.