Rug zkSync de Kannagi Finance

Le 4 juillet 2023, la ferme de rendement zkSync Era Kannagi Finance a rug-pull environ 2,1 millions de dollars. Le contrat de staking closed-source et upgradeable du protocole a été mis à niveau vers une implémentation malveillante qui a drainé tous les dépôts utilisateurs ; l'équipe a ensuite supprimé son site web et ses canaux sociaux.

Ce qui s'est passé

Les contrats de staking de Kannagi étaient non vérifiés/non open-source et upgradeables par l'équipe. Après accumulation de ~2,1 M$ en dépôts, les opérateurs ont poussé une mise à jour malveillante qui a balayé les fonds agrégés vers des adresses contrôlées par l'attaquant, puis ont disparu — la séquence finale d'exit scam classique.

Conséquences

• Aucune récupération ; opérateurs non identifiés.
• L'un de plusieurs rugs de l'écosystème zkSync 2023 pendant la phase de croissance incitée de la chaîne.

Pourquoi c'est important

Kannagi est un cas net de closed-source + upgradeable = capable de rug. Deux red flags, tous deux vérifiables avant de déposer, tous deux ignorés pendant une chasse au rendement : source de contrat non vérifiée (vous ne pouvez pas savoir ce que fait le code) et upgradeabilité contrôlée par l'équipe (même du code vérifié peut devenir du code arbitraire). La leçon récurrente côté utilisateur du catalogue — renforcée par Kokomo, Swaprum, Arbix — est que sur une nouvelle chaîne dans sa fenêtre de croissance à APY élevé, le taux de base de « ceci est un rug » est élevé, et les deux filtres les moins chers (source vérifiée, autorité d'upgrade renoncée/timelockée) en filtrent la plupart. zkSync Era en 2023, comme BSC en 2021 et Base en 2024, a déroulé exactement ce pattern.