DeFiにおける潜在的なラグプルを特定する方法

あなたが DeFi 投資家なら、世界で最もつらい思いの 1 つは、いわゆる「ラグプル」を経験することでしょう。これには、通常、プロジェクトの開発者がプロ​​ジェクトを放棄し、資金を持ち逃げすることが含まれます。これはさまざまな方法で発生する可能性があります。たとえば、開発者が初期流動性を開始し、価格を引き上げた後、流動性を撤回し、保有者がポジションを手放すのを妨げる場合です。もう 1 つの一般的な方法は、Web サイトを立ち上げたものの、数十万の入金を集めた後に閉鎖することです。

Ciphertrace のデータによると、2020 年下半期の大規模な詐欺と資金流用のほぼ 99% は、ラグプルや出口詐欺を実行する DeFi プロトコルによって引き起こされました。

2020 年の DeFi ラグプルの注目すべき例には、Lv.FinanceEmerald MineYfdexf.FinanceSharkTronUnicatsCompounder.Finance が含まれます。

私たちは投資歴の中で二度詐欺に遭っていますが、苦労して稼いだお金が詐欺師に盗まれる気持ちはよくわかります。

この投稿では、DeFi をナビゲートし、ラグプルの兆候を潜在的に発見できるように支援します。

未検証のスマート コントラクト コード

スマート コントラクトは通常、誰でも検証できるように公開されているため、一般の人はコードがどのように機能するかを確認し、疑わしい機能を監査できます。

未検証のコードをブロックチェーンにデプロイすると、コードに何が書かれているかを誰も見ることができなくなります。悪意のある攻撃者はいつでも悪意のあるコードを実行し、スマート コントラクトにロックされている資金をユーザーの許可なしに他のアドレスに転送する可能性があります。

未検証の契約例の開発と展開を急ぐ

ほとんどの正当なプロジェクトは、計画、推進、立ち上げに数か月かかります。プロジェクトが急いで開発および開始されているという証拠を見つけた場合は、直ちに注意を払う必要があります。

たとえば、多くの Uniswap クローン プロジェクトは単に Uniswap コード ベースをフォークし、フロントエンド インターフェイスに迅速な変更を加えるだけで、多くの未完成の作業が残されます。これらはすべて、ラグの可能性を示す兆候です。

Wineswap がユーザーから 344,000 ドルをだまし取った場合、開発者は契約内のトークンの名前をわざわざ変更せず、単に Sushiswap の名前を使用しました。

たとえば、多くのフォークされたプロジェクトは独自の利点や機能を提供せず、人気のあるプロジェクトに単純な UI 調整を加えて正当なプロジェクトとして再パッケージ化するだけで、ラグ プルを実行する可能性が高くなります。

WaveSwap、Pancakeswap に似たフロントエンドの偽ソーシャル メディア キャンペーン

ソーシャル メディアの活動は、ボットや自動化されたソフトウェアを通じて偽装される可能性があります。これらの自動ボットは、エアドロップ キャンペーンに参加しながら、投稿に「いいね！」、リツイート、コメント、および大規模な共有を行うことができます。

偽のソーシャル メディア アカウントの例は、宣伝された投稿やコンテンツを「いいね！」するかリツイートする以外のアクティビティがほとんど、またはまったくない、明らかなように思えるかもしれません。

ボットアカウントの可能性あり

DeFi プロトコルに近づくときは、そのソーシャル メディア アカウント (Twitter、Telegram、Discord) でボットのアクティビティがないか確認してください。ユーザーと参加者は正当なものですか、それともユーザーを装ったボットですか?

未監査、または未知の監査法人による監査を受けている

DeFiプロトコルは他のDeFiと相互接続されており、数百万ドルまたは数十億ドルの顧客資金を保持している可能性があるため、監査はスマートコントラクトの品質についてセカンドオピニオンを与える上で重要な役割を果たします。ただし、監査は確実ではなく、評判の高い企業によって監査されているにもかかわらず、多くのプロトコルがハッキングされています。

セキュリティの最初の層は、評判の良い監査会社によってスマート コントラクトを監査させることです。私たちの意見では、評判の良い監査法人には、PeckShield、Trail of Bits、Quantstamp、および Slowmist が含まれます。

監査会社はプロジェクトのコードベースをレビューし、重大度に応じて修正が必要な問題を発見します。監査後、監査レポートを発行できます。

コードをチェックするための監査例

評判の低い監査会社に依存すると、監査の品質が低下したり、複雑なスマートコントラクトを監査する経験が十分になかったりする可能性があるため、ユーザーファンドに重大なリスクをもたらす可能性があります。プロジェクトによっては、複数の監査人を雇用してスマート コントラクト コードを監査し、プロトコルの信頼性を判断する場合があります。

DeFi Safety のようなサードパーティのレビュー プラットフォームを使用することは、コードの品質、チーム、テスト手順、セキュリティ手順、アクセス制御などの複数の要素に関する懸念を軽減するのにも役立ちます。

DeFiの安全性

タイムロックやマルチ署名はありません

スマート コントラクトは多くの場合、アップグレードしたり、管理者 (通常はコントラクトが展開されるアドレス) によって呼び出される機能を備えたりすることができます。

これらの機能には、新しい流動性プールの作成や、AMM の場合の出金手数料などのプロトコル パラメーターの変更が含まれます。

タイムロックは通常、時間ベースのエスクローの背後でスマート コントラクトの変更をキューに入れ、事前に定義された時間が経過するまで本質的にスマート コントラクトの機能をロックするコードです。たとえば、コントラクトに 48 時間のタイムロックがある場合、スマート コントラクトを通じて行われた変更はキューに入れられる必要があり、48 時間後にのみ実行できます。

タイムロックにより、ユーザーはスマート コントラクトの変更に対応するのに十分な時間が与えられ、特定の変更に反対する場合は、変更が実行される前にプロトコルから資金を引き出すことができます。

Pancakeswap は 6 時間のタイムロックを使用して、ユーザーがプロトコルの変更に対応する時間を与えます。

タイムロックがないと、スマート コントラクトの管理者またはガバナンスが悪意のあるトランザクションを即座に送信し、プロトコル全体を破壊する可能性があります。プロジェクトによっては、タイムロックの代わりにマルチシグを使用してプロトコルの変更を強制する場合があります。トランザクションの実行に複数の署名が必要なマルチシグの場合、トランザクションはオンチェーンで送信される前に大多数の署名者によって承認されるように設定できます。

多くのプロトコルはマルチシグを使用してパラメータを制御します。たとえば、Curve は、新しい YFI トークンの鋳造を管理する yEarn Finance のガバナンス マルチシグの共同署名者です。プロジェクトにこれらの条件がない場合は、開発者があなたのデポジットを完全に管理しており、自由に引き出したり転送したりできるため、細心の注意を払ってください。

新しいプロジェクトが資金を騙し取る方法はたくさんありますが、上記の方法が苦労して稼いだお金を守る唯一の方法というわけではありません。

実際、何かが自分にとって真実であるにはあまりにも良すぎると思われる場合、または直感的に疑わしいと感じる場合は、それを避けてください。追加の数ドルを欲するためだけに、すべての資本を危険にさらす必要はありません。

DeFi は、ソーシャル エンジニアリングからシード フレーズを引き渡そうとするなど、あらゆる段階でユーザーを騙そうとする多くの悪意のある攻撃者が存在する規制されていない空間であるため、危険な空間になる可能性があります。

編集者注: 元のタイトルは「DeFi で潜在的なラグ プルを特定する方法」ですが、この記事のタイトルは通信チャネルの読みやすさに応じて変更されています; 著者: Sakingbits

出典: メディア

免責事項: Cointelegraph Chinese はブロックチェーンのニュース情報プラットフォームであり、提供される情報は著者の個人的な意見のみを表しており、Cointelegraph Chinese プラットフォームの立場とは何の関係もなく、投資や金融に関するアドバイスを構成するものではありません。読者の皆様におかれましては、正しい通貨概念や投資概念を確立し、リスク意識を真摯に高めていただきますようお願いいたします。