Rug avec backdoor BSC de DeFiLabs
Une fonction withdrawFunds cachée réservée au deployer dans le contrat de staking BNB Chain de DeFiLabs a drainé 1,6 M$ avant la disparition du projet.
- Date
- Victime
- DeFiLabs users
- Chaîne(s)
- Statut
- Fonds dérobés
Le 30 juillet 2023, le projet de rendement BNB Chain DeFiLabs a rug-pull environ 1,6 million de dollars. Le contrat de staking contenait une fonction de retrait cachée réservée au deployer (de type withdrawFunds) qui a drainé tous les dépôts utilisateurs en un seul appel ; le projet a ensuite disparu.
Ce qui s'est passé
Le contrat de staking DVL de DeFiLabs incluait une fonction privilégiée — ne faisant pas partie des fonctionnalités annoncées — qui permettait au deployer de transférer l'intégralité du pool de dépôts. Après avoir accumulé environ 1,6 M$, le deployer l'a invoquée et est sorti.
Conséquences
- Aucune récupération ; deployer non identifié.
Pourquoi c'est important
DeFiLabs est un rug à fonction backdoor d'école — la structure de rug la plus simple et la plus répétée du catalogue (Arbix, Kokomo, Swaprum, Kannagi). Une fonction de drainage privilégiée au nom anodin, dans un contrat non vérifié ou non lu, sur une ferme à APY élevé pendant la fenêtre de croissance d'une chaîne. Le filtre côté utilisateur reste le moins cher de la DeFi et le plus ignoré : lire (ou faire lire par un outil) chaque fonction que le propriétaire peut appeler, et supposer le pire usage de chacune. Le taux de base de cette structure exacte sur les fermes en phase de croissance BSC/zkSync/Base est suffisamment élevé pour que « je n'ai pas vérifié les fonctions du propriétaire » soit, statistiquement, toute l'histoire.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-defilabs-rug-pull-july-2023
- [02]certik.comhttps://www.certik.com/resources/blog/post-mortem-defilabs
- [03]rekt.newshttps://rekt.news/defilabs-rekt