2023年6月27日,Chibi Finance團隊實施了一起退出騙局,導致投資者資金損失超過100萬美元。該項目利用了中心化風險,將用戶資金從Chibi擁有的合約中轉出,并將其兌換為ETH,而后通過跨鏈橋轉移到以太坊網絡,最后存入Tornado Cash。該起事件是CertiK于2023年內在Arbitrum網絡上發現的第12起重大事件。這些事件導致共計價值1400萬美元的資金損失,其中包括黑客攻擊、騙局和漏洞利用。
事件總結
雖然Chibi Finance退出騙局發生在6月27日,但該騙局很可能已于數日前甚至更早時被精心策劃。6月15日,外部地址(0xa3F1)從Tornado Cash提取了10枚ETH。其中2枚ETH通過跨鏈橋轉移到以太坊網絡。4天后于6月19日,再次轉移7.8枚ETH。其中大部分ETH被發送到地址(0x1f19)。但在6月23日,其中0.2枚ETH被發送到地址(0x80c1)用于支付添加Chibi池子所需的Gas費用以及創建合約(0xb612)的費用,而這些Chibi池子之后會被清空。
古巴央行就與加密貨幣有關的龐氏騙局案件數量上升發出警告:古巴中央銀行發布通知,警告公民應注意隱藏在看似合法的數字資產投資下的龐氏騙局。
此外,央行官員還公布了一些涉嫌在古巴無證經營的騙局,如Mind Capital、Mirror Trading、Arbistar、Trust Investing、Qubit Life/Qubit Tech、X-Toro等。古巴央行指出,古巴政府目前并不認可該國任何與虛擬貨幣有關的項目,并\"建議公眾不要參與這種性質的操作\"。(Bitcoin.com)[2021/5/19 22:19:57]
Chibi繼續推動其項目的炒作,在6月26日,在其電報群中宣布其已被列入Coin Gecko。
美國檢察官計劃將Banana.Fund加密騙局非法資金歸還給投資者:美國檢察官正在尋求將加密貨幣龐氏騙局Banana.Fund籌集的650萬美元非法資金歸還給受害者。據悉,Banana.Fund管理人此前表示,相關項目已經失敗,并承諾向投資者返還其中170萬美元。但后來并沒有兌現,還通過各種方式洗錢以期吞并贓款,最終導致美國特勤局(USSS)查獲482枚BTC和172.2萬枚USDT。(Coindesk)[2020/8/3]
圖片:Chibi Finance Discord公告:來源Twitter
然而,在6月27日,每個Chibi池子中都調用了setGov()函數,并將gov地址設置為合約(0xb612)。在Chibi的合約中,gov地址相當于所有者地址。Chibi的函數受到onlyGov角色的保護,標識允許執行這些函數的錢包。
動態 | 參與OneCoin騙局的美國律師Mark Scott正尋求無罪釋放:參與OneCoin詐騙案的美國律師Mark Scott正尋求無罪釋放。此前,美國一家法院裁定美國檢方對他提出的指控成立。在最近的一份法庭文件中,Scott的律師對檢察官提到的證人之間的關系提出了質疑,認為檢察官提供的證據不足以定罪。此前消息,Mark Scott因幫助OneCoin加密貨幣騙局洗錢在11月被定罪,并面臨50年監禁。(Financemagnates)[2020/2/4]
圖片:setGov()交易。來源:Arbiscan
在控制池子之后,(0x80c1)地址移除了總計539枚ETH的流動性。另從(0x1f19)地址獲得17.9枚ETH,總計達到556枚ETH。
動態 | 外媒:盧森堡初創公司OnMiners可能是騙局:3月19日,外媒Bitcoinist發文稱“盧森堡公司OnMiners推出新吸熱加密貨幣礦機”,目前Bitcoinist已經更新此前的文章并表示,在收到讀者的一些反饋后,發現大量證據表明盧森堡初創公司OnMiners可能是一個騙局;很快就會公布更多細節。[2019/3/20]
圖片:將被盜的資金兌換為WETH。來源:Arbiscan。
這些資金隨后通過兩筆交易跨鏈到以太坊,其中400枚ETH通過Multichain跨鏈橋,156枚ETH通過Stargate跨鏈橋。總共有555枚ETH存入Tornado Cash,然后分別向兩個不同的EOA發送了兩筆0.5枚ETH的交易。其中一個交易到一個新的錢包(0x9297),截至成文時該錢包仍持有ETH。另外的0.5枚ETH被發送給之前向Euler漏洞利用者發送過鏈上消息的junion.eth以感謝他們的服務。
動態 | 印度“比特幣騙局”金額超500億盧比:據印度媒體報道,印度國會周四稱,古吉拉特邦出現了涉案金額超過500億盧比的“比特幣騙局”,一些人民黨領導人涉嫌參與,國會要求最高法院指導司法調查這一問題。國會發言人Shaktisinh Gohil稱,這是一個多層級的非法加密貨幣騙局。[2018/7/5]
圖片:鏈上消息。來源:Etherscan
退出騙局是由Chibi Finance合約中的_gov()角色的中心化特權造成的。攻擊始于6月23日,當EOA (0x80c1)從EOA (0xa3F1)收到0.2枚ETH,并創建了一個惡意合約。
圖片:惡意合約創建。來源:Arbiscan
下一階段是在Chibi Finance擁有的多個合約上調用addPool()函數。
圖片:調用addPool()。來源:Arbiscan
6月27日,Chibi Finance合約的部署者在多個Chibi合約上調用setGov(),將由EOA (0x80c1)創建的惡意合約分配給_gov角色。這個角色在Chibi Finance合約中具有特權,允許攻擊者調用panic()函數,從合約中移走用戶的資金。
圖片:setGov()交易和示例交易。來源:Arbiscan
EOA 0x80c1在惡意合約中調用execute(),開始提取資金。該惡意合約遍歷了每個在6月23日通過addPool()交易添加的Chibi Finance合約,并調用了panic()函數。該函數暫停合約并提取其中的資金。
被盜的資金隨后轉移到EOA 0x80c1。
圖片:被盜的資金。來源:Arbiscan
這些資金隨后被兌換為WETH,通過跨鏈橋轉移到以太坊網絡,并存入Tornado Cash。
總結
迄今為止,CertiK在2023年在Arbitrum上記錄了包括ChibiFinance退出騙局在內的12起事件,總計損失1400萬美元。Chibi Finance事件展示了Web3領域中與中心化相關的風險。該項目的部署者濫用特權地位,竊取用戶資金,然后刪除了所有社交媒體賬號,包括項目的網站。
對于普通投資者來說,僅僅通過自己的研究來發現和理解類似Chibi Finance項目中的中心化風險是不現實的期望。這就是經驗豐富審計師的價值所在。
CertiK中文社區
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
作者: Web3市場研究院 相信這兩天的Web3爆梗當屬“大家來找茬”。 沒錯,即使是曾經的天花板,NFT項目又一次翻車了.
1900/1/1 0:00:00摘要 EDCON2023的主要話題主要圍繞解決區塊鏈不可能三角——隱私保護、可擴展性和去中心化(Privacy、Scalability、Decentralization)進行.
1900/1/1 0:00:00華語樂壇,滿眼都是孫燕姿。各種音樂平臺中,以“AI孫燕姿”為歌手的歌單和播客正在越來越多,哪怕孫燕姿本人親自回應也無法遏制這樣的風潮.
1900/1/1 0:00:00編譯:Nick 非同質化代幣NFT在 2021 年經歷了一波熱潮,許多人選擇將這些彩色圖片作為他們Web3身份的象征.
1900/1/1 0:00:00作者:zkSync;編譯:Kate, Marsbit 今天,我們很高興地分享我們實現這一使命的擴展愿景:ZK堆棧(ZK Stack),一個用于構建ZK驅動的主權鏈的模塊化框架.
1900/1/1 0:00:00作者:Elle Mouton在本文中,我會簡要介紹比特幣輕客戶端的需要,以及為什么 “致密區塊過濾器(compact block filters)” 比 “布隆過濾器(Bloom filters.
1900/1/1 0:00:00