週刊RUG創刊号 #1
ついに始まってしまいました、週刊RUG!
ここでは巷に溢れる、特に暗号通貨の下落相場においては多くなるRUG(持ち逃げみたいなものです)に対する傾向と対策を発信し、みんなでこの荒波を乗り切ろう!という啓蒙活動もといラグ蒙していこうという試みになります。
増刊号 #1.5発刊しました
創刊号では、国立ください研究所RUG研究科より
の3人でお送りいたします。
\キャーミカンチャーン/
mican: はじめまして、草コインマニアのミカンです。
0x_DeFi: bullish
ではさっそく今週のRUGを振り返っていきましょう。
ちなみに、この記事が完成したのは先週になります。
mediumに慣れてないから許してよね!
・SharedStake
Dev2人がお互いを罵りあいながら売りまくるという珍事件
被害額16000 ETH ?
秘密鍵無くしたとか色々言ってましたが、結局はDev持ち逃げパターンのようで。
Dev2人が罵りあいながら売るってどういうこと・・・?
そんなんどうでもいいので私の1.3ETH返してください!笑
値上がったから日本円だとけっこうな額やで!!!!
0x_DeFi: bullish
それでは、ここからmican先生に解説して頂きます。
mican: さすが魔界といったところですね…笑
それではなぜ持ち脱げができてしまったかについて解説します!!
これの根本的な原因はタイムロックコントラクトにあったのです。
運営はSGTトークンを売れないようにタイムロックコントラクトにロックしていました。
正規の方法では2023年の1月1日まで運営であっても引き出せないようになっているはずでした…。
しかし!このコントラクトには一つ大きな穴がありました。
やきとり:どきどき
このcallメソッドです。
これはタイムロックコントラクト経由で好きなコントラクトを呼び出すことができる機能です。
この機能により、トークンをロックしている状態でガバナンスへの参加など、幅広い戦略が取れるわけですね。
0x_DeFi: bullish
少し考えて見てください、好きなコントラクトを呼ぶことができるこの機能….
これを使ってどうロックされたトークンを盗むことができるのか。
魔界のみんななら一度は体験したことがあるんじゃないかな?
「知らないうちに自分のウォレットからトークンなくなってる!!!」
やきとり:ありすぎる
0x_DeFi: bullish
そう、これと原理は同じです。
盗んだ犯人はcallメソッドを悪用して、ロックされているトークンを自分のアドレスに対してapproveしました。
(ERC20ではapproveといった悪魔の機能があり、これを使えば他人のウォレットであっても自由自在に移動させることができるのです。いわば所有権の譲渡)
そしてapproveを受けたアドレスでSGTを出金!!!!
これが今回の事件の一部始終になります。
直コンでapproveするときに間違って違うアドレスに対してやったまま放置してませんか?
それが普通のユーザーAddressだった場合、あなたのお金をいつでも盗める状態になっているということなんですよ….。こわいですね。
やきとり:コワーイ
bullish: bullish
いきなり怖いお話でしたね。
ちなみに私はこの手法で一発20BNBを盗まれました。
・( ゚∀゚)o彡°まーりん!まーりん!
CryptoKudasaiJPでAMAも行われたMerlin(https://merlinlab.com/)にてラグが発生。高APYを売りにしていたBSCのFarmです。
シンプルな持ち逃げかと思いきや、段階としては2つに分かれます。
- Rugdogによると、Merlinが新しいAlpaca戦略のコードを組み込んだ時に、コントラクトにBNB送るだけでその分が収穫可能な報酬とみなされるというバグによるexploit
- 運営によるliq抜きと $Merlin 売り
>監査
監査終わった言うてるやんけ!!!おい!!!!!!!!
今回問題なのは、CertikとHackenという2大監査巨頭(今決めました)に監査されていたにも関わらずrektしたという点でしょうか。
新コード実装の際に抜かれたのでそこに関しては仕方ない部分もあると思いますが、そのあと運営がliq抜けたのは???って感じですね。
監査とは。
exploitされた直後は意外と独自トークンの値段が下がっておらず、半額ぐらいだったんですよね。
運営の今後の方針に期待していた方も多いはず。
今回タチ悪いのは、そこからプロジェクト中止の報告からのdev売り。
華麗な2段階右折ラグ。原付ごと大破ですよ。
AMAやってぶち込んでラグられたやつおる~~~~???
私です。
やはり魔界は魔界、信じられるものは己のみ。
気を抜くと有象無象があの手この手でこちらの資金を奪おうとしてきます。
MerlinはAPYの高さを売りにしていましたが、見た目に惑わされないようにしましょう。
Help me,MERLINNNNNN!!
0x_DeFi: bullish
さて、ここからはみかんマフィアに解説して頂きましょう。
mican: ハックされるのは仕方ないですが、逃げるのはひどいですね…。
3回もハックされるとすべてを捨てて逃げたくなる気持ちもわからなくもないですが笑
やきとり:知らなかった・・・監査とは
ではそんな運営がどのようにLPを抜いてトークンを売ることができたのか、解説しましょう!
LPはMerlinPoolコントラクトに預けられていました。
このコントラクトには誤って入金されたトークンを出金するための機能として、recoverBEP20といったメソッドが実装されていました。
今回はこのメソッドを悪用されてLPが抜かれてしまったのです…。
このメソッドではコントラクトにロックされてあるMerlinとLPは出金できないように制限をかけられていました。
しかにこの制限….運営であればいつでも好きなときに変更することができるのです…。
事件発生後、運営はrewordsTokenを適当なLPトークンに書き換え即座に出金しました。
その後はラグられ総長の説明したとおりの大惨事です…。
LPトークンがどこに預けられているか、それは自由に動かすことができないかしっかり確認することが重要ですね….汗
やきとり:誰がラグられ総長や!!!!あ、自分で言うてたわ
・番外編
ちなみに、界隈の話題として価格が42億分の1になったIRON FINANCEの $TITAN がありますが、あれはただただ売られただけなのでRUGではありません。資本主義の限界です。毛〇東呼んできてください。
あと昨日、なんちゃらライズとおいぬ様系に4連続ぐらいでやられました。
特筆すべきは、プライベートセールでって言って4.3BNB送って、そのあとdxsaleでセールやって、それがキャンセルしてプライベートとか言ってセールやってそのまま持ち逃げした $papashiba ですね
humpty dumptyみたいな顔しやがって!!!!!!!!!!!!せめてトークン配れや!!!!!!!!!!!!!!!
いやそもそもラグんなや!!!!!!!!!
0x_DeFi: bullish
多くなったので解説しませんが、だいたい
・売れないトークン
・LPがロックされてない(timelock無し)
というものが多かったですね。
要望があれば、みかん先生がそういうトークンの見分け方、コントラクトの見方を教えてくれるかもしれません。ぶりっしゅ。
応援のお便りお待ちしております🌟
それでは、いぬはかせ0x_DeFi博士による先週の犬模様と今週の犬予報になります。
0x_DeFi: 今週のRUG達
Ticker: $mROBO
Supply: 100,000,000,000,000,000
Distribution: 1% Dev Tokens. 99% Uniswap LP.
今週はEVER○○シリーズが多かった気がします。
暫くはEverシリーズが流行りそうデス・・・
やきとり:何がなんだか分かりませんけど、愛護団体に怒られそうなぐらい犬死が起きてますネ
さて、今週よりついに始まってしまいました週刊RUG。
果たして来週も刊行されるのでしょうか。
刊行される度に私の資産が減っているということになります。
打ち切られるのは資産がゼロになった時、逆ディアゴスティーニスタイル。
それではみなさん今週もご安全に!Stay Rug!