2023年6月27日,Chibi Finance团队实施了一起退出局,导致投资者资金损失超过100万美元。该项目利用了中心化风险,将用户资金从Chibi拥有的合约中转出,并将其兑换为ETH,而后通过跨链桥转移到以太坊网络,最后存入Tornado Cash。该起事件是CertiK于2023年内在Arbitrum网络上发现的第12起重大事件。这些事件导致共计价值1400万美元的资金损失,其中包括黑客攻击、局和漏洞利用。
事件总结
虽然Chibi Finance退出局发生在6月27日,但该局很可能已于数日前甚至更早时被精心策划。6月15日,外部地址(0xa3F1)从Tornado Cash提取了10枚ETH。其中2枚ETH通过跨链桥转移到以太坊网络。4天后于6月19日,再次转移7.8枚ETH。其中大部分ETH被发送到地址(0x1f19)。但在6月23日,其中0.2枚ETH被发送到地址(0x80c1)用于支付添加Chibi池子所需的Gas费用以及创建合约(0xb612)的费用,而这些Chibi池子之后会被清空。
美国德州证券委员会:警惕新冠病爆发之际的加密局:金色财经报道,3月23日,德州证券委员会(TSSB)发布警告,提醒人们警惕在新冠病大流行之际出现的加密局。报告提到了不同类型的局,其中包括那些在冠状病危机期间承诺高回报的加密投资。[2020/3/25]
Chibi继续推动其项目的炒作,在6月26日,在其电报群中宣布其已被列入Coin Gecko。
图片:Chibi Finance Discord公告:来源Twitter
YouTube上有人冒充Ripple首席执行官进行空投局:YouTube上有人冒充Ripple的首席执行官Brad Garlinghouse推销5000万XRP代币的假赠品,此外还播放包括Garlinghouse在内的重要加密人物的访谈,以哄用户将钱投入类似的空投局中。Ripple社区的一些成员发现了这个假冒的YouTube频道,该频道已经拥有约27.6万名订阅者,社区成员正敦促YouTube尽快关闭该频道。(U.today)[2020/3/24]
然而,在6月27日,每个Chibi池子中都调用了setGov()函数,并将gov地址设置为合约(0xb612)。在Chibi的合约中,gov地址相当于所有者地址。Chibi的函数受到onlyGov角色的保护,标识允许执行这些函数的钱包。
动态 | 省钱专家Martin Lewis提醒用户警惕比特币局:英国财经门户网站“省钱专家(Money Saving Expert)”创始人Martin Lewis在推特提醒人们注意欺诈性电子邮件。这些电子邮件冒用Martin Lewis的名字和形象为比特币交易背书,试图将某些比特币计划推向其他用户。MoneySavingExpert.com还向可能遇到这些虚假广告的电子邮件用户发出了警告。“如果你收到其中一封电子邮件,不要点击它——它是假的。目前,很难找出是谁发送了这些电子邮件,以及他们是如何发送的,所以与在线广告不同(我们可以直接向广告平台投诉),我们很难阻止它们到达你的收件箱。MoneySavingExpert正在尽最大努力查明真相,并找到某种方法阻止这些通过电子邮件进行操作的子。”据此前报道,Facebook旗下社交媒体Instagram曾多次出现冒名Martin Lewis的欺诈广告。Instagram对此回应称,性广告在其平台上没有立足之地,并计划继续改进此类内容的检测协议。(LeicestershireLive)[2020/1/21]
图片:setGov()交易。来源:Arbiscan
动态 | 南非一城镇现加密货币旁氏局:据The Citizen 6月17日消息,南非城镇雷地史密斯出现了一个加密货币庞氏局,它被称为“Bitcoin Wallet(比特币钱包)”,该局承诺用户在15天内可获得100%的回报。据估计,这一局每天能带来余约13.5万美元的收入。金融部门行为监管局(FSCA)对此表示,目前还未能确认该计划的许可证登记,但Bitcoin Wallet使用的注册证书签名看起来很可疑,需要进一步调查。[2019/6/17]
在控制池子之后,(0x80c1)地址移除了总计539枚ETH的流动性。另从(0x1f19)地址获得17.9枚ETH,总计达到556枚ETH。
动态 | Reddit用户声称打折出售币安被盗比特币疑似局:据ambcrypto报道,币安在5月7日被盗走7000枚比特币,现在似乎正在出现围绕被盗比特币的新局。Reddit用户在r / Cryptocurrency subreddit上表示,攻击币安的“团队”正在出售被盗的7,000个BTC,折扣为70%:20 ETH=3 BTC、2 ETH=0.2 BTC;该页面将用户引导到另一个页面,该页面通知用户,在添加比特币地址和ETH后将完成该过程。大多数用户认为这是一个局,警告其他人不要购买。其中一位用户评论说,小心任何”要约“,难以获得回报。[2019/5/17]
图片:将被盗的资金兑换为WETH。来源:Arbiscan。
这些资金随后通过两笔交易跨链到以太坊,其中400枚ETH通过Multichain跨链桥,156枚ETH通过Stargate跨链桥。总共有555枚ETH存入Tornado Cash,然后分别向两个不同的EOA发送了两笔0.5枚ETH的交易。其中一个交易到一个新的钱包(0x9297),截至成文时该钱包仍持有ETH。另外的0.5枚ETH被发送给之前向Euler漏洞利用者发送过链上消息的junion.eth以感谢他们的服务。
图片:链上消息。来源:Etherscan
退出局是由Chibi Finance合约中的_gov()角色的中心化特权造成的。攻击始于6月23日,当EOA (0x80c1)从EOA (0xa3F1)收到0.2枚ETH,并创建了一个恶意合约。
图片:恶意合约创建。来源:Arbiscan
下一阶段是在Chibi Finance拥有的多个合约上调用addPool()函数。
图片:调用addPool()。来源:Arbiscan
6月27日,Chibi Finance合约的部署者在多个Chibi合约上调用setGov(),将由EOA (0x80c1)创建的恶意合约分配给_gov角色。这个角色在Chibi Finance合约中具有特权,允许攻击者调用panic()函数,从合约中移走用户的资金。
图片:setGov()交易和示例交易。来源:Arbiscan
EOA 0x80c1在恶意合约中调用execute(),开始提取资金。该恶意合约遍历了每个在6月23日通过addPool()交易添加的Chibi Finance合约,并调用了panic()函数。该函数暂停合约并提取其中的资金。
被盗的资金随后转移到EOA 0x80c1。
图片:被盗的资金。来源:Arbiscan
这些资金随后被兑换为WETH,通过跨链桥转移到以太坊网络,并存入Tornado Cash。
总结
迄今为止,CertiK在2023年在Arbitrum上记录了包括ChibiFinance退出局在内的12起事件,总计损失1400万美元。Chibi Finance事件展示了Web3领域中与中心化相关的风险。该项目的部署者滥用特权地位,窃取用户资金,然后删除了所有社交媒体账号,包括项目的网站。
对于普通投资者来说,仅仅通过自己的研究来发现和理解类似Chibi Finance项目中的中心化风险是不现实的期望。这就是经验丰富审计师的价值所在。
CertiK中文社区
企业专栏
阅读更多
金色早8点
Odaily星球日报
金色财经
Block unicorn
DAOrayaki
曼昆区块链法律
今天凌晨,NFT 聚合交易平台 Blur 宣布 Blur V 2 正式上线.
1900/1/1 0:00:00从最早的比特币,到莱特币、前期的以太坊等,彼时的硬件挖矿(算力)皆以 PoW 共识机制为基础,也让矿工成为获取 token 的最“上游”的角色.
1900/1/1 0:00:00作者:Jesse Myers,onrampbitcoin;编译:金色财经xiaozou6月15日,BlackRock向美国证券交易委员会(SEC)提交了一份S-1文件.
1900/1/1 0:00:00作者:huf,Pear Protocol 联合创始人;编译:Frank,Foresight News人们并不真正了解贝莱德(Blackrock)是什么,也不了解他们在做什么.
1900/1/1 0:00:002023年随着人工智能采用的快速发展而迅速启动,从ChatGPT的推出到AI DJ,这项技术正在彻底改变常规做法,影响着消费者、创作者和行业领导者。同样,人工智能技术也在彻底改变娱乐业,包括播客.
1900/1/1 0:00:00据官方消息,Tether 发行的 USDt 已经成功通过 Kava 在 Cosmos 上推出.
1900/1/1 0:00:00