2023年6月27日,Chibi Finance團隊實施了一起退出騙局,導致投資者資金損失超過100萬美元。該項目利用了中心化風險,將用戶資金從Chibi擁有的合約中轉出,并將其兌換為ETH,而后通過跨鏈橋轉移到以太坊網絡,最后存入Tornado Cash。該起事件是CertiK于2023年內在Arbitrum網絡上發現的第12起重大事件。這些事件導致共計價值1400萬美元的資金損失,其中包括黑客攻擊、騙局和漏洞利用。
事件總結
雖然Chibi Finance退出騙局發生在6月27日,但該騙局很可能已于數日前甚至更早時被精心策劃。6月15日,外部地址(0xa3F1)從Tornado Cash提取了10枚ETH。其中2枚ETH通過跨鏈橋轉移到以太坊網絡。4天后于6月19日,再次轉移7.8枚ETH。其中大部分ETH被發送到地址(0x1f19)。但在6月23日,其中0.2枚ETH被發送到地址(0x80c1)用于支付添加Chibi池子所需的Gas費用以及創建合約(0xb612)的費用,而這些Chibi池子之后會被清空。
澳大利亞2019年在加密貨幣騙局中損失近1500萬美元:金色財經報道,2019年,澳大利亞提交了1810份與加密貨幣相關的騙局報告,總價值超過2160萬澳元(約1490萬美元)。根據澳大利亞競爭與消費者委員會下屬機構Scamwatch的研究,年齡在25至34歲之間的澳大利亞年輕人是受加密投資騙局影響最大的群體。報告指出,云加密挖礦成為常見的騙局,其中大多數是龐氏騙局,不涉及真正的加密貨幣。[2020/6/23]
Chibi繼續推動其項目的炒作,在6月26日,在其電報群中宣布其已被列入Coin Gecko。
動態 | 加密貨幣騙局Onecoin的受害者收到來自支持者的威脅:據Cointelegraph消息,10月14日,英國廣播公司(bbc)報道,加密貨幣騙局OneCoin的數字貨幣投資者Jen McAdam向蘇格蘭報告她收到大量信息,威脅要用暴力對付她,這些威脅來自OneCoin的支持者。據悉,McAdam是OneCoin騙局背后的“加密女王(Ruja Ignatova)”的成員同時也是投資受害者。[2019/10/15]
圖片:Chibi Finance Discord公告:來源Twitter
然而,在6月27日,每個Chibi池子中都調用了setGov()函數,并將gov地址設置為合約(0xb612)。在Chibi的合約中,gov地址相當于所有者地址。Chibi的函數受到onlyGov角色的保護,標識允許執行這些函數的錢包。
動態 | 參與數十億美元龐氏騙局 Bitconnect發起人被捕:據CCN消息,Bitconnect的一名高級發起人在印度德里機場被捕,原因是他參與了今年早些時候爆發的數十億美元的龐氏騙局。據悉,Bitconnect被吹捧為一個多層次的營銷企業,交易機器人將會隨著時間的推移為投資者帶來收入。資金將被存入并鎖定一段時間,但是沒有任何退出選項,然后會與利息一并返回。投資者因引進新員工投資而獲得回報。在得到德克薩斯州監管機構的終止函后,該團隊關閉了BCC加密交換和投資平臺,并在之前不久宣布ICO作為在退出詐騙之前從用戶手里擠出更多資金的最后努力,這已被證實是一個涉及數百萬美元的騙局。[2018/8/21]
三七互娛總裁李逸飛:區塊鏈有很大前景 ICO卻有99%是騙局:三七互娛總裁李逸飛近日接受《證券日報》專訪,表達了對區塊鏈的看法:“要把區塊鏈和ICO分開看,區塊鏈技術具有很大的發展前景,但ICO中99%都是騙局。區塊鏈未來體現在游戲中的價值是多方面的,比如現在玩家充值時或許會擔心,購買裝備后,如果不玩這個游戲了,所買的裝備就沒有意義了,相當于價值歸零。未來,我們可以建設一個區塊鏈底層,將游戲全部置于這個底層之上,通過區塊鏈打通游戲之間的虛擬資產流通,甚至延伸到泛娛樂領域,實現游戲、影視、音樂、動漫等泛娛樂生態互通,用戶可以統一管理各個娛樂項目內的虛擬資產,必要時候可以進行互換,比如用一把游戲裝備交換一部電影的觀看權限。”[2018/3/9]
圖片:setGov()交易。來源:Arbiscan
在控制池子之后,(0x80c1)地址移除了總計539枚ETH的流動性。另從(0x1f19)地址獲得17.9枚ETH,總計達到556枚ETH。
俄羅斯東正教主教認為比特幣是一種新的龐氏騙局:據了解,俄羅斯東正教主教希拉里·阿爾費耶夫對比特幣進行了抨擊。阿爾費表示:“我個人認為,加密貨幣是一種新的金融泡沫,一種新的龐氏騙局,背后根本就沒有什么東西。”同時他還認為,與有形的傳統資產相比,虛擬貨幣的價值觀念存在脫節。[2018/1/3]
圖片:將被盜的資金兌換為WETH。來源:Arbiscan。
這些資金隨后通過兩筆交易跨鏈到以太坊,其中400枚ETH通過Multichain跨鏈橋,156枚ETH通過Stargate跨鏈橋。總共有555枚ETH存入Tornado Cash,然后分別向兩個不同的EOA發送了兩筆0.5枚ETH的交易。其中一個交易到一個新的錢包(0x9297),截至成文時該錢包仍持有ETH。另外的0.5枚ETH被發送給之前向Euler漏洞利用者發送過鏈上消息的junion.eth以感謝他們的服務。
圖片:鏈上消息。來源:Etherscan
退出騙局是由Chibi Finance合約中的_gov()角色的中心化特權造成的。攻擊始于6月23日,當EOA (0x80c1)從EOA (0xa3F1)收到0.2枚ETH,并創建了一個惡意合約。
圖片:惡意合約創建。來源:Arbiscan
下一階段是在Chibi Finance擁有的多個合約上調用addPool()函數。
圖片:調用addPool()。來源:Arbiscan
6月27日,Chibi Finance合約的部署者在多個Chibi合約上調用setGov(),將由EOA (0x80c1)創建的惡意合約分配給_gov角色。這個角色在Chibi Finance合約中具有特權,允許攻擊者調用panic()函數,從合約中移走用戶的資金。
圖片:setGov()交易和示例交易。來源:Arbiscan
EOA 0x80c1在惡意合約中調用execute(),開始提取資金。該惡意合約遍歷了每個在6月23日通過addPool()交易添加的Chibi Finance合約,并調用了panic()函數。該函數暫停合約并提取其中的資金。
被盜的資金隨后轉移到EOA 0x80c1。
圖片:被盜的資金。來源:Arbiscan
這些資金隨后被兌換為WETH,通過跨鏈橋轉移到以太坊網絡,并存入Tornado Cash。
總結
迄今為止,CertiK在2023年在Arbitrum上記錄了包括ChibiFinance退出騙局在內的12起事件,總計損失1400萬美元。Chibi Finance事件展示了Web3領域中與中心化相關的風險。該項目的部署者濫用特權地位,竊取用戶資金,然后刪除了所有社交媒體賬號,包括項目的網站。
對于普通投資者來說,僅僅通過自己的研究來發現和理解類似Chibi Finance項目中的中心化風險是不現實的期望。這就是經驗豐富審計師的價值所在。
CertiK中文社區
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
Tags:ETHCHICHIBIANCEthereum Message SearchBCHIP幣Chibi DinosYFFS Finance
大家好,我是 everVision 的創始人 outprog。今天非常高興能參與 Arweave 5 周年慶典.
1900/1/1 0:00:00編譯:Mary Liu Ordinals 的興起讓人們開始糾結用哪些錢包來參與或者保管個人的Ordinals(銘文),本文將介紹三款適用于BRC20的錢包.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:418.38億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量32.
1900/1/1 0:00:00從搬運 BRC-20 Token 發行模式到 ETH 的 $FERC、到直接把圖片轉 Base64 字符串插入到 ETH 交易的 Hex Data 字段實現 比特幣 NFT 刻錄方式的 ETHs.
1900/1/1 0:00:00作者:BEN STRACK,blockworks 編譯:金色財經,善歐巴在最新一波現貨比特幣 ETF 申請之后,Volatility Shares 將推出首款產品.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:473.09億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量39.
1900/1/1 0:00:00