骗局早已被精心策划：Chibi Finance盗取100万美元随后跑路过程详解

2023 年 6 月 27 日，Chibi Finance 团队实施了一起退出骗局，导致投资者资金损失超过 100 万美元。该项目利用了中心化风险，将用户资金从 Chibi 拥有的合约中转出，并将其兑换为 ETH，而后通过跨链桥转移到以太坊网络，最后存入 Tornado Cash。
该起事件是 CertiK 于 2023 年内在 Arbitrum 网络上发现的第 12 起重大事件。这些事件导致共计价值 1400 万美元的资金损失，其中包括黑客攻击、骗局和漏洞利用。

事件总结

虽然 Chibi Finance 退出骗局发生在 6 月 27 日，但该骗局很可能已于数日前甚至更早时被精心策划。6 月 15 日，外部地址（0 xa3F1）从 Tornado Cash 提取了 10 枚 ETH。其中 2 枚 ETH 通过跨链桥转移到以太坊网络。4 天后于 6 月 19 日，再次转移 7.8 枚 ETH。其中大部分 ETH 被发送到地址（0 x1f19）。但在 6 月 23 日，其中 0.2 枚 ETH 被发送到地址（0 x80c1）用于支付添加 Chibi 池子所需的 Gas 费用以及创建合约（0 xb612）的费用，而这些 Chibi 池子之后会被清空。

Chibi 继续推动其项目的炒作，在 6 月 26 日，在其电报群中宣布其已被列入 Coin Gecko。

Twitter

然而，在 6 月 27 日，每个 Chibi 池子中都调用了 setGov()函数，并将 gov 地址设置为合约 0 xb612 。在 Chibi 的合约中，gov 地址相当于所有者地址。Chibi 的函数受到 onlyGov 角色的保护，标识允许执行这些函数的钱包。

在控制池子之后，（0 x 80 c 1）地址移除了总计 539 枚 ETH 的流动性。另从（0 x 1 f 19）地址获得 17.9 枚 ETH，总计达到 556 枚 ETH。

WETH |来源：Arbiscan

这些资金随后通过两笔交易跨链到以太坊，其中 400 枚 ETH 通过 Multichain 跨链桥， 156 枚 ETH 通过 Stargate 跨链桥。总共有 555 枚 ETH 存入 Tornado Cash，然后分别向两个不同的 EOA 发送了两笔 0.5 枚 ETH 的交易。其中一笔交易到了一个新的钱包（0 x9297），截至成文时该钱包仍持有 ETH。另外的 0.5 枚 ETH 被发送给之前向 Euler 漏洞利用者发送过链上消息的 junion.eth 以感谢他们的服务。

Etherscan

退出骗局是由 Chibi Finance 合约中的_gov()角色的中心化特权造成的。攻击始于 6 月 23 日，当 EOA （0 x80c1）从 EOA （0 xa3F1）收到 0.2 枚 ETH，并创建了一个恶意合约。

下一阶段是在 Chibi Finance 拥有的多个合约上调用 addPool()函数。

图片：调用 addPool() | 来源：Arbiscan

6 月 27 日，Chibi Finance 合约的部署者在多个 Chibi 合约上调用 setGov()，将由 EOA （0 x80c1）创建的恶意合约分配给_gov 角色。这个角色在 Chibi Finance 合约中具有特权，允许攻击者调用 panic()函数，从合约中移走用户的资金。

图片：setGov()交易和示例交易 | 来源：Arbiscan

EOA 0 x 80 c 1 在恶意合约中调用 execute()，开始提取资金。该恶意合约遍历了每个在 6 月 23 日通过 addPool()交易添加的 Chibi Finance 合约，并调用了 panic()函数。该函数暂停合约并提取其中的资金。

被盗的资金随后转移到 EOA 0 x80c1。

图片：被盗的资金 | 来源：Arbiscan

这些资金随后被兑换为 WETH，通过跨链桥转移到以太坊网络，并存入 Tornado Cash。

迄今为止，CertiK 在 2023 年在 Arbitrum 上记录了包括 ChibiFinance 退出骗局在内的 12 起事件，总计损失 1400 万美元。Chibi Finance 事件展示了 Web 3 领域中与中心化相关的风险。该项目的部署者滥用特权地位，窃取用户资金，然后删除了所有社交媒体账号，包括项目的网站。对于普通投资者来说，仅仅通过自己的研究来发现和理解类似 Chibi Finance 项目中的中心化风险是不现实的期望。这就是经验丰富的审计师价值所在。CertiK 可在审计过程中清楚阐明项目相关的中心化风险，以帮助投资者理解项目所带来的风险。