파구정보 (PAGU Info)

스캠 디파이(Rugpull)를 피하는 법! (IceCreamSwap, CafeSwap, GooseSwap확인) 본문

Crypto/Defi 공부방

스캠 디파이(Rugpull)를 피하는 법! (IceCreamSwap, CafeSwap, GooseSwap확인)

파구 2021. 2. 14. 02:47

안녕하세요 파구정보입니다.

Defi, Decentralized Finance, 탈중앙화 금융이 여기저기에서 난리입니다.
기존의 코인들을 예치하고 새로운 코인을 받거나, 거래 수수료를 받는 방식으로, 코인을 Hodl 하면서도 수익을 낼 수 있는 방법들이 많아서, 계속 늘어나고 있는 추세입니다.

특히 Ethereum 네트워크의 경우 Defi 프로젝트들로 인해 Transaction 이 늘어나서, 가스비가 10만원 수준으로 매우 높아졌고 (가격이 상승한 탓이기도 합니다만, 그것또한 Defi의 영향이 크다고 생각합니다), 바이낸스 스마트 체인의 경우 예치금 총액, TVL 이 $0.5B 도 안되던 것이, 한달이 안되는 시간만에 $4.7B 으로 10배가량 상승했습니다.

Defistation.io

하지만 역시 Defi 의 경우, 특히 새로운 코인을 주는것은 완벽한 토큰 이코노믹스를 갖추고도, 계속적으로 업데이트를 하지 않으면 그냥 토큰 복사기, '무에서 유' 를 창조하는 수준이라, 어느순간에는 바로 토큰 이코노믹스가 무너져 버리게 되고, 그로 인해서 어느정도 운영을 하다가, 또는 운영 전에 먹튀해 버리는 이른바 스캠 프로젝트 또한 난무하고 있습니다.

근 3주 내에, Multi Finance, Tin Finance, WafflesWap 이 먹튀를 했고, 몇일 전에는 IceCreamSwap 이 해킹으로 인해 블럭보상이 무한대로 늘어나 모든 $ICREAM 이 덤핑되어 , $ICREAM-$BNB / $ICREAM-$BUSD 풀이 전부 털렸습니다. (해킹은 개발팀 주장입니다. 자작나무 스멜이 심하게 납니다.)

이런 먹튀를 Rugpull 이라 표현합니다.
Rug: 양탄자
Pull: 끌어당기다

정확한 설명을 찾지는 못했지만, 예상한것과 180도 다른 상황이 벌어질 때를 의미하며, '양탄자' 를 '확 끌어당겨' 그 위에 있던 것들이 다 넘어지는 상황을 빗대어 표현한 것이 아닌가 싶네요.

BSC 의 소식들을 전하는 BSC News 에서 Rugpull 을 검증하기 위한 몇 가지 방법에 대한 기고글이 올라와서 전달해 드리려 합니다.
Defi 가 매력적이긴 하지만, 해킹이나 먹튀를 당하면 힘들게 모아 놓은 것이 다 털려버려 무용지물이니, 항상 조심하시라는 의미로 먼저 이 글을 전합니다.

본문: letmeape.medium.com/how-to-spot-a-potential-rug-clear-signs-something-is-sketchy-169fb84c7084


먹튀 스캠을 피하는 방법 (How to Spot Rugpull Project)

간단 먹튀 검증 리스트

1. 서두른 프로젝트
2. 허접한 외관 (UI, 디자인, 소셜미디어 등)
3. 소셜미디어 관리
4. 뭔가 껄끄러운 마케팅
5. 스마트 컨트랙트 코드

이런 것들이 스캠/먹튀를 100% 거르지도 못하고, 이런 것들이 문제된다고 100% 스캠/먹튀라는 것은 아니지만, 이 항목들만 살펴도 어느정도 위험을 감지할 수 있습니다.


1. 서두른 프로젝트

서두른 프로젝트들은 다음의 일련의 작업들이 매우 빠른 시간안에 이루어집니다.

- 웹사이트 완성
- Farm 준비
- 수천명의 팔로워
- 수천개의 좋아요와 리트윗이 있는 에어드랍 트윗

좋은 프로젝트를 만들기 위해서는 더 오랜기간이 필요하다고 생각됩니다.
웹사이트 생성 시간은 다음 사이트에서 확인할 수 있습니다.

https://whois.domaintools.com/

주소를 입력하고 스크롤을 내리면 'Dates' 에서 확인이 가능합니다.

몇일 전 문제가 되었던 IceCreamSwap 의 경우, 15일 전인 1월 29일에 만들어진 사이트 였습니다.
CafeSwapGooseSwap 도 매우 급하게 만들어 진것이 틀림이 없네요.

IceCreamSwap 웹사이트
CafeSwap도 7일
GooseSwap 은 8일

서둘러 만든 프로젝트라는 것은 또한 컨트랙트 코드에서 볼 수 있습니다.
아래는 Rugpull 이었던 WineSwap 의 Contract 인데, SushiSwap 을 포크해 오면서 이름도 바꾸지 않았다고 합니다.

IceCream, Cafe, Goose 는 모두 기본적인 토큰명이나, Info 란 등은 업데이트 한 것으로 보입니다.
다만 세부적으로는 정확히 파악하지 못해, 확인 후 업데이트 하도록 하겠습니다.

IceCream Source Contract: bscscan.com/address/0x58f651dde51caa87c4111b16ee0a6fab061ee564#code
CafeSwap Source Contract: bscscan.com/address/0x790be81c3ca0e53974be2688cdb954732c9862e1#code
GooseFinance Source Contract: bscscan.com/address/0xf952fc3ca7325cc27d15885d37117676d25bfda6#code


2. 허접한 외관

모두가 컨트랙트 코드를 중요하게 여기지만, 외관을 보는것이 더 직관적일 수도 있습니다.

원문에서는 어쩌다 알게된 PhoinikasFinance 라는 프로젝트를 예시로 들었습니다.

이 프로젝트는,

스시스왑의 단순 포크이며,
홈페이지 대문도 몇분만에 뚝만 만든것 같은 디자인이고,
어디에도 마스터 컨트랙트의 링크를 찾을 수 없으며,
Lending/Insuarance 버튼을 누르면 아직 준비가 덜되어 'Coming Soon' 으로만 나오고 아무런 추가 정보가 없습니다.
또한, Medium 은 한개의 글만 있고, 로고도 어딘가에서 베껴왔는데, 그마저도 짤린 상태로 들고 왔습니다.


IceCreamSwap 의 경우,
VIDAR 을 통해 Audit 도 받았고,
Gitbook 을 이용한 별도의 블로깅 Archive 도 만들어 두었으며 (ice-cream-swap.gitbook.io/icecreamswap/)
사이트 내의 로고나, 각 LP풀의 티커, 그리고 밀크쉐이크 풀의 GIF 등도 나름 신경써서 만들었다는 느낌을 받았었습니다.
하지만 Medium 이 지금도 팔로워 37명에 글은 2개밖에 안되고, 최초 글이 1월 30일이었으며, 트위터는 1월에 가입한 계정입니다.
지금 트위터 팔로워는 2000명 수준이네요.


또한 오픈 당시 밀크쉐이크 풀의 재투자 기능인 Compounding 이 제대로 작동하지 않았지만, 개발자 능력이 부족하여 고치지 못했고, APY 오류는 '수동으로 재투자 해야 한다' 라고 배짱을 부리기도 했었습니다.

CafeSwap 이나 GooseSwap 또한 마찬가지 입니다.
외형은 팬케익 스왑의 복붙이고, 단일풀 컴파운딩 및 APY 이슈는 그대로이며, 특히 GooseSwap 은 팬케익스왑의 로딩화면 (팬케익을 뒤집는 GIF)을 그대로 뒀습니다.

두 프로젝트 모두 Gitbook 을 이용한 블로그 Archive 를 가지고 있고, Medium 포스팅을 하고 있지만, Goose 는 2월 3일이 첫 포스팅이고, Cafe 는 4일 전인 2월 9일이 첫 글입니다.
심지어 Cafe 는 Github 링크도 없네요.
손절해야겠습니다... 파반...

트위터는 둘 다 1월에 만들어졌고, Cafe가 팔로워 1376명, Goose 가 474명으로 매우 저조한 수준입니다.

그리고, 지금 확인한, 또한 조금 놀란 사항인데, Goose 의 경우 왼쪽 아래에 언어 선택 옵션이 있고, 중국어 선택시 실제 중국어 설명문들이 나타납니다.

아이스크림도 해당 옵션이 있고, 20개가 넘는 언어에, 한국어까지 있지만, 작동을 안합니다.

왼쪽이 아이스크림, 오른쪽이 구스

여러모로 아이스크림이 오히려 그럴싸하게 보이려고 했으나, 실제 실속은 없었던 걸로 보이네요.


3. 소셜 미디어 관리

당연한 얘기지만, 관리가 잘 된 것이 좋습니다.

프로젝트와 관련된 여러 정보가 투명하고 정확하게, 그리고 가급적 좋은 디자인으로 올라오는 것이 바람직합니다.

3-1. 트위터

팬케익스왑과 비교해 보겠습니다.

팬케익 스왑의 첫 트윗입니다.
 - 브랜딩이 잘 되어있고 (팬케익과 토끼, 하늘색 바탕화면 등)
 - 짧고 간결하지만 명확한 정보가 나타나 있으며
 - Hashtag 로 확실한 검색어 유입을 유도하고 (organic reach)
 - 풍부한 정보를 담고 있는 Medium 포스팅 링크로 정보전달

IceCream, Cafe, Goose 를 보겠습니다.
다들 각자 나름대로 공을 들였습니다.
IceCream은 영상도 만들고, Cafe는 프리세일 잘했다고 자랑질하고 (사실 Defi에서 프리세일은 믿거인데...), Goose는 이자율 높다고 자랑질을 하며 시작했습니다.

하지만 역시 팬케익에 비해 뭔가 통일된 느낌이나 명확한 정보나 간결함이 많이 떨어집니다.

또한 내용은 그저 반복되는 '소각' 이나, '이자율' 정도가 대부분입니다.

그래도 PhoinikasFinance 보다는낫네요.
정보도 없고, 브랜딩도 없고, 자잘하게 잘못된 철자...
그리고 그냥 '불사조가 부활했다!' 이딴 트윗을... 그림도 구글 이미지에서 그냥 퍼와서 했으니...

3-2. 텔레그램

텔레그램도 살펴보겠습니다.

IceCream 의 경우 메인방은 참여자 3,269명에, 공지방이 따로 있고, 저는 또한 해킹 피해 관련 소수 논의방에 따로 들어가 있습니다.
나름 뭔가 대책을 마련해 보는 것 같이 보이긴 합니다만, 여전히 의구심을 감출 수는 없네요.

해킹 보상을 위해 IceCream V2Gelato 코인을 런칭한다고 합니다.
이부분은 다른 포스팅에서 다루도록 하겠습니다.

IceCreamSwap 2.0 의 시작! 해킹 피해 당하신 분들은 원금 회복 준비하세요!


참고로 $ICREAM 토큰의 Contract 주소는 아래와 같으며, 현재 홀더는 6750개 지갑 입니다.
https://bscscan.com/token/0x58f651dde51caa87c4111b16ee0a6fab061ee564
아마도, 해킹으로 인해 지갑 쪼개기나, 해킹 소식으로 많이들 몰려와서 사보거나 했기 때문이 아닌가 싶기도 한데, 아무튼 지금은 의미는 없지만 텔레그램 유저 수보다도 많습니다.


다음은 Cafe 입니다.

여기도 나름 공지방을 따로 운영하고, 채팅방도 2668명으로 많지도 적지도 않습니다.
신생 프로젝트가 막 몇만명의 참여자가 있다면, 대부분이 돈주고 채운 유령계정일 확률이 높습니다.
채팅도 활발하네요. (오늘 갑자기 가격이 깨져서 더 그런것으로 보입니다.)

토큰 홀더는 1017개의 지갑입니다.
최소 텔레방 인원중 1500명 이상이 유령계정이라 볼 수 있을 것 같습니다.

Goose 도 살펴 보겠습니다.

채팅방 1253명, 홀더 지갑수 878개.
여기도 차이가 나네요.

채팅은 활발합니다.
다만, IceCream 이나 Cafe 나 마찬가지로, 채팅의 반 이상은 봇의 인사, 트랜잭션 알림, 가격 알림, 의미없는 GIF 등입니다.

그래도 어쨋든, 나름 활성화 시키기 위해 활발하게 소셜미디어를 이용하다고 볼 수 있습니다.

참고로, 트위터에서 팔로워 대비 좋아요와 Retweet 이 적은 경우, 텔레그램에서 인원수 대비 채팅 활성도가 현저히 낮은 경우, Fake Account 를 투입했다고 의심해 볼 수 있습니다.

그리고 그런 경우 대부분, 긴 숫자나 랜덤한 문자로 이루어진 ID, 그리고 높은 확률로 '여자' 의 프로필 사진을 가지고 있습니다.


4. 뭔가 껄끄러운 마케팅

신생 프로젝트들은 대게 이런 방법을 택하지만, 제대로된 프로젝트들은 피하고 있습니다.

바로, 관련 주제의 랜덤한 사람들을 태그해서 자신의 프로젝트에 대한 랜덤한 질문을 한다던가,

아니면, 무작위로 사람들을 태그하는 방법입니다.

이런 방법을 쓴다고 먹튀/스캠이라는 것은 아니지만, 제대로된 프로젝트라면 이런건 부끄러워서 못할겁니다.


5. 스마트 컨트랙트 코드

자 이제 대망의 컨트랙트 코드 입니다.
원문 저자는 '코드는 속일 수 없다' 라며, 4가지 부분을 중점적으로 본다고 합니다.

이 컨트랙트가 
 - '읽을 수 있는 형태' 인가
 - Verified 되었는가
 - 불필요하게 _mint 기능에 접근 가능한가
 - Time-Lock 이 있는가

 - 읽을 수 있는 형태

이건 말 그대로, '복잡하지 한눈에 파악 가능하여' 읽을 수 있는 형태의 컨트랙트인가 입니다.
보통 숨길 것이 많은 경우 복잡하게 만들어서 파악 불가능하게 하려는 경향이 있습니다.

 - Verified 되었는가

BSCScan.com 에서 해당 컨트랙트를 봤을 때 'Contract Source Code Verified' 라고 나와있으면 Verified 된 것입니다.

이것은 개발자가 코드를 '인간이 읽을 수 있는 언어'로 변환해 놓았고, 그것이 실제 코드와 정확히 매칭된다 라는 의미 입니다.
다만, 개발자가 '우리 코드는 Verified 되었으니 안전하다' 라고 하는건 거르세요.
Verified 는 실제 코드와 매칭되는 인간언어가 있다 뿐이지, 코드 자체의 안정성을 의미하지는 않습니다.

어떤 컨트랙트를 가진 프로젝트를 피해야 하는가!


YF Masterchef 코드가
 - 인간이 읽을 수 있는 언어로 되어 있지만, Verified 되지 않았을 때
 - 인간이 읽을 수 있는 언어로 변환된 것이 아예 없을 때
스캠/먹튀일 확률이 높으니 바로 빤쓰런 하시기 바랍니다.

아래와 같은 형태가 인간이 읽을 수 없는 컨트랙트 코드 입니다.

IceCream을 확인해 보겠습니다.

일단 인간이 읽을 수 언어로 컨버젼 되어있고, Verified 되어 있습니다.

Cafe 도 인간언어 + Verified 입니다.

Goose 입니다.
Goose 가 좀 의아한점은, 인간언어 + Verified 이지만, Similar Match 로 인간 언어와 Code 언어가 차이가 난다고 표현이 되어 있습니다.
Certik 의 Audit 이 진행중인데도 불구하고 이렇게 되어 있는 점은 좀 의아하네요.

참고로 아래는 Certik 에서 Audit 을 진행중인 프로젝트들 입니다.

TVL $100M 을 넘긴 알고리즘 스테이블 BDollar
지금 소개중인 GooseSwap
아프리카 협동조합 프로젝트인 XEND Finance
2차 프리세일을 마친 Margin 거래 DEX인 Rigel Protocol
어제 PancakeSwap Farm 이 오픈된 ZeroSwap
추후 유망 프로젝트로 소개 예정인 Bondly Finance

이 외에도 계속적으로 Onboarding Project 들이 추가되고 있으니 참고하시기 바랍니다.
다만, Onboarding 에 올라있는 프로젝트는 오딧이 Fail 될 수도 있고, 오딧이 되었다 하더라도 그 이후에 코드가 변경되는 것 까지는 막을 수 없으니 항상 조심하시기 바랍니다.

또한, Certik Audit 비용으로 3천만원을 내면서까지 Rugpull 하려는 프로젝트까지 막을 수도 없습니다.

 - 불필요하게 _mint 기능에 접근 가능한가

아래는 BSC Scan 에서 볼 수 있는 Mint 기능 입니다.

 * Mint 란? '조폐국' 이라는 뜻의 영단어로, 암호화폐에서는 '새롭게 발행하다' 의 뜻을 가집니다.

Verified 버전
Code 버전

이 Mint 기능으로 Contract Owner 는 토큰을 찍어낼 수 있고, 많은 러그풀이 이 기능을 이용하여 대량을 토큰을 발행하여 덤핑하는 식으로 진행 되었습니다.

하지만, Mint 기능이 존재한다고 하여 무조건 러그풀인 것은 절대 아닙니다.

특히, Yield Farm 기능을 가진 프로젝트 (PancakeSwap, Goose, Cafe, IceCream 등) 들은 블록당 토큰을 매번 생성해 내야 되니, Mint 기능이 필수입니다.

반대로, Max Supply 를 가진 토큰 ($BDO, $MDO 등) 의 컨트랙트가 Mint 기능이 존재한다면 빤스런 하는게 좋습니다.

만약 $BIFI 토큰과 같이 Contract Owner 를 죽은 주소 (0x00....DEAD) 로 보내버린 경우라면 안심할 수 있습니다.

바이낸스 스마트 체인(BSC)의 Yield Aggregator, 비피 (Beefy)! 연이율 500만 퍼센트?!?? 자동으로 복리투자!

 - Time-Lock 이 있는가

Time-Lock 이란, 컨트랙트에 변화를 줄때 일정 시간을 기다린 후 적용되게 하는 기능으로, 변화에 대한 요청이 이루어지면 그 요청은 BSC Scan 에 공개되어 누구나 파악할 수 있게 됩니다.

Time-Lock 이 있으면 안전한가? 라는 질문에는 그렇기도, 아니기도 하다 라고 답변할 수 있습니다.

Time-Lock 은 최소한 설정된 시간동안은 Contract Owner 가 무언가를 변경할 수 없다는 것을 의미하기에, '해당시간' 동안은 안전하다고 볼 수 있으며, 무언가 변화가 일어난다면 모두가 알아차릴 수 있기에 이 또한 안전을 보장하는 하나의 메커니즘으로 볼 수 있습니다.

하지만, '해당 시간' 이후에는 또한 어떤 변경이든 이루어 질 수 있으며, 그것을 '해당 시간' 내에 캐치하지 못하면 결국 러그풀에 당할 수 있습니다.

이를 위해서는 해당 컨트랙트 주소에 Watch-List 를 지정해 놓고 해당 컨트랙트에 변동이 생길 시 이메일로 알람을 받으실 수 있습니다. (BSC Scan 에 가입하셔야 합니다.)


지금까지 Rugpull 을 검증하는 방법들에 대해 알아 보았습니다.

초반 작성 후 시간이 좀 지나서 달라진 것들이 있을 수 있습니다.

또한, 위에 나온 방법들이 무조건적인 판단 기준이 절대 아니니 꼭 DYOR (Do Your Own Research) 하시기 바랍니다.

항상 문제가 되는건 '욕심' 입니다.
하루밤만에 올인해서 시드의 100배를 벌겠다! 라는 마인드라면 러그풀에 당하기 쉽상입니다.

언제나 신규 프로젝트에는 '잃어도 큰 타격을 받지 않을' 정도의 금액만 투자하시기 바랍니다.

성투하세요.


본 글은 해당 투자를 권유하는 글이 아닙니다.
투자에 대한 판단은 본인의 책임이며,

환율, APY변동, 해킹 등 Risk가 수반되니
투자시 유의하시기 바랍니다.


이 포스팅이 유익하셨다면,
공감과 댓글 부탁 드립니다!

더 빠른 소식을 원하신다면
아래 링크로 들어와 주시기 바랍니다
파구정보 텔레그램공지방
파구정보 트위터

파구정보 디파이정보 오픈카톡방

메이저 거래소 가입링크

① 바이낸스 (Binance) 가입링크
(수수료 20% 페이백)
② 후오비 (Huobi) 가입링크
③ 후오비 코리아 가입링크
(원화거래 가능)
④ 고팍스 (GOPAX) 가입링크
⑤ 코인원 (CoinOne) 가입링크 
⑥ MXC 거래소 가입링크
⑦ Kucoin 거래소 가입링크

⑧ OKEX 거래소 가입링크

바이낸스 App 다운로드링크



Comments