2023年6月27日,Chibi Finance團隊實施了一起退出騙局,導致投資者資金損失超過100萬美元。該項目利用了中心化風險,將用戶資金從Chibi擁有的合約中轉出,并將其兌換為ETH,而后通過跨鏈橋轉移到以太坊網絡,最后存入Tornado Cash。該起事件是CertiK于2023年內在Arbitrum網絡上發現的第12起重大事件。這些事件導致共計價值1400萬美元的資金損失,其中包括黑客攻擊、騙局和漏洞利用。
事件總結
雖然Chibi Finance退出騙局發生在6月27日,但該騙局很可能已于數日前甚至更早時被精心策劃。6月15日,外部地址(0xa3F1)從Tornado Cash提取了10枚ETH。其中2枚ETH通過跨鏈橋轉移到以太坊網絡。4天后于6月19日,再次轉移7.8枚ETH。其中大部分ETH被發送到地址(0x1f19)。但在6月23日,其中0.2枚ETH被發送到地址(0x80c1)用于支付添加Chibi池子所需的Gas費用以及創建合約(0xb612)的費用,而這些Chibi池子之后會被清空。
兩名涉嫌加密龐氏騙局的運營商因擔心疫情尋求監獄釋放:兩名涉嫌加密龐氏騙局的運營商Matthew Goettsche和Jobadiah Weeks,已提出要求新澤西州聯邦法院將其釋放出獄,原因是擔心監獄很快爆發COVID-19疫情。此前消息,Goettsche,Weeks和另外兩名被告被指控以經營加密貨幣采礦池BitClub Network的名義在2014年至2019年12月期間實施了7.22億美元的龐氏騙局。(Cointelegraph)[2020/3/24]
Chibi繼續推動其項目的炒作,在6月26日,在其電報群中宣布其已被列入Coin Gecko。
動態 | 英國監管機構曝光加密及二元期權投資計劃騙局:金色財經報道,英國FCA對Pro-Options公司發出了警告,曝光了該公司的加密貨幣和二元期權組合騙局。FCA表示,Pro-Options公司是一家無證交易提供商,并提醒所有散戶投資者注意與該公司交易的風險。Pro-Options網站聲稱提供比特幣和二元期權的投資計劃,24-48小時的回報率從50%到100%不等,這對投資者來說是個危險信號。該公司沒有提供任何合法的支付證明,該交易所網站也沒有確認在任何司法管轄區持有許可證。[2020/1/4]
圖片:Chibi Finance Discord公告:來源Twitter
然而,在6月27日,每個Chibi池子中都調用了setGov()函數,并將gov地址設置為合約(0xb612)。在Chibi的合約中,gov地址相當于所有者地址。Chibi的函數受到onlyGov角色的保護,標識允許執行這些函數的錢包。
動態 | 泰國調查加密貨幣投資騙局 受害人損失高達134萬美元:據曼谷郵報消息,名為“cryptoming . farm”的加密貨幣投資騙局受害者已經向泰國提出了控訴,損失高達4200萬泰銖(134萬美元)的損失,當地政府懷疑這場騙局的受害者有140人。[2019/2/19]
圖片:setGov()交易。來源:Arbiscan
在控制池子之后,(0x80c1)地址移除了總計539枚ETH的流動性。另從(0x1f19)地址獲得17.9枚ETH,總計達到556枚ETH。
動態 | 美國夏威夷州電力公司陷入比特幣騙局:據Khon2報道,比特幣詐騙者聲稱Hawaiian Electric、Maui Electric和Hawaii Electric Light等美國夏威夷州電力公司有過期的公用事業賬單需要客戶支付,并且客戶被指示使用比特幣進行支付,如果沒有立即付款,詐騙者威脅他們要斷開其電力服務。[2018/8/15]
圖片:將被盜的資金兌換為WETH。來源:Arbiscan。
這些資金隨后通過兩筆交易跨鏈到以太坊,其中400枚ETH通過Multichain跨鏈橋,156枚ETH通過Stargate跨鏈橋。總共有555枚ETH存入Tornado Cash,然后分別向兩個不同的EOA發送了兩筆0.5枚ETH的交易。其中一個交易到一個新的錢包(0x9297),截至成文時該錢包仍持有ETH。另外的0.5枚ETH被發送給之前向Euler漏洞利用者發送過鏈上消息的junion.eth以感謝他們的服務。
美國眾議員聽證會上發言:數字貨幣是騙局:北京時間3月14日22點,美國國會將舉辦主題為“審查數字和ICO市場”聽證會。眾議員布拉德·謝爾曼(Brad Sherman)在會上表示,數字貨幣是一種騙局,恐怖分子和犯罪分子利用它在世界各地轉移資金,逃稅者利用它逃稅,創業公司利用它募資詐騙。[2018/3/14]
圖片:鏈上消息。來源:Etherscan
退出騙局是由Chibi Finance合約中的_gov()角色的中心化特權造成的。攻擊始于6月23日,當EOA (0x80c1)從EOA (0xa3F1)收到0.2枚ETH,并創建了一個惡意合約。
圖片:惡意合約創建。來源:Arbiscan
下一階段是在Chibi Finance擁有的多個合約上調用addPool()函數。
圖片:調用addPool()。來源:Arbiscan
6月27日,Chibi Finance合約的部署者在多個Chibi合約上調用setGov(),將由EOA (0x80c1)創建的惡意合約分配給_gov角色。這個角色在Chibi Finance合約中具有特權,允許攻擊者調用panic()函數,從合約中移走用戶的資金。
圖片:setGov()交易和示例交易。來源:Arbiscan
EOA 0x80c1在惡意合約中調用execute(),開始提取資金。該惡意合約遍歷了每個在6月23日通過addPool()交易添加的Chibi Finance合約,并調用了panic()函數。該函數暫停合約并提取其中的資金。
被盜的資金隨后轉移到EOA 0x80c1。
圖片:被盜的資金。來源:Arbiscan
這些資金隨后被兌換為WETH,通過跨鏈橋轉移到以太坊網絡,并存入Tornado Cash。
總結
迄今為止,CertiK在2023年在Arbitrum上記錄了包括ChibiFinance退出騙局在內的12起事件,總計損失1400萬美元。Chibi Finance事件展示了Web3領域中與中心化相關的風險。該項目的部署者濫用特權地位,竊取用戶資金,然后刪除了所有社交媒體賬號,包括項目的網站。
對于普通投資者來說,僅僅通過自己的研究來發現和理解類似Chibi Finance項目中的中心化風險是不現實的期望。這就是經驗豐富審計師的價值所在。
CertiK中文社區
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
作者:Tether;翻譯:ChatGPT自從Tether與紐約檢察長辦公室達成和解以來,它已完成了每季度的報告義務。Tether始終致力于透明度,并將客戶的隱私和安全置于首位.
1900/1/1 0:00:00作者:nobody(Twitter:@defioasis)上個月,筆者盤點了一二線主流 NFT 交易市場現狀,有強強競爭的 Blur 和 OpenSea.
1900/1/1 0:00:00在AI語境下,the only certainty is uncertain。人們喜歡確定的東西,但由AI帶來的這種不確定,在科技發展的大潮之下,并不可逆.
1900/1/1 0:00:006月12日,總部位于英國的區塊鏈AI計算協議Gensyn宣布完成a16z領投的4300萬美元A輪融資。這場AI領域革命,Gensyn率先為我們交上了一份答卷.
1900/1/1 0:00:00本文包括以下內容:1. 什么是零知識證明?2. 為什么需要零知識證明?3. 零知識證明的應用場景。4. 零知識證明的工作原理。5. 零知識證明的分類和應用案例。6. 零知識證明的缺陷.
1900/1/1 0:00:00▌BCH短時突破310美元,自EDXMarkets宣布提供BCH交易服務以來漲幅已達208%金色財經報道,行情顯示,BCH短時突破310美元,現報308.4美元,日內漲幅達到27.8%.
1900/1/1 0:00:00