Vào ngày 27 tháng 6 năm 2023, nhóm Tài chính Chibi đã thực hiện một vụ lừa đảo rút lui khiến quỹ nhà đầu tư bị mất hơn 1 triệu USD. Dự án tận dụng rủi ro tập trung bằng cách chuyển tiền của người dùng ra khỏi hợp đồng thuộc sở hữu của Chibi và đổi chúng lấy ETH, sau đó được chuyển sang mạng Ethereum thông qua cầu nối chuỗi và cuối cùng được gửi vào Tornado Cash.
Vụ việc là sự cố nghiêm trọng thứ 12 mà CertiK phát hiện trên mạng Arbitrum trong năm 2023. Các sự cố đã dẫn đến tổng số tiền bị mất trị giá 14 triệu đô la, bao gồm các vụ hack, lừa đảo và khai thác.

Tóm tắt sự kiện

Mặc dù vụ lừa đảo rút lui của Chibi Finance diễn ra vào ngày 27 tháng 6, nhưng có khả năng vụ lừa đảo này đã được dàn dựng sớm hơn vài ngày hoặc thậm chí sớm hơn. Vào ngày 15 tháng 6, địa chỉ bên ngoài (0xa3F1) đã rút 10 ETH từ Tornado Cash. Trong số đó, 2 ETH được chuyển vào mạng Ethereum thông qua cầu nối chuỗi chéo. 4 ngày sau, vào ngày 19 tháng 6, 7,8 ETH khác đã được chuyển. Hầu hết số ETH này đã được gửi đến địa chỉ (0x1f19). Nhưng vào ngày 23 tháng 6, 0,2 ETH đã được gửi đến địa chỉ (0x80c1) để trả phí gas khi thêm nhóm Chibi và chi phí tạo hợp đồng (0xb612), và các nhóm Chibi này sẽ bị trống sau đó.

Mô tả hình ảnh

Hình ảnh: Thông báo của Chibi Finance Discord | Nguồn Twitter

Mô tả hình ảnh

Hình ảnh: giao dịch setGov() | Nguồn: Arbiscan

Mô tả hình ảnh

Hình ảnh: Số tiền bị đánh cắp đổi lấy WETH | Nguồn: Arbiscan

Mô tả hình ảnh

quá trình tấn công

quá trình tấn công

Mô tả hình ảnh

Hình ảnh: Tạo hợp đồng độc hại | Nguồn: Arbiscan

Mô tả hình ảnh

Hình ảnh: Gọi addPool() | Nguồn: Arbiscan

Mô tả hình ảnh

Hình ảnh: giao dịch setGov() và giao dịch mẫu | Nguồn: Arbiscan

EOA 0x80c1 gọi exec() trong hợp đồng độc hại để bắt đầu rút tiền. Hợp đồng độc hại đã vượt qua mọi hợp đồng Tài chính Chibi được thêm thông qua giao dịch addPool() vào ngày 23 tháng 6 và được gọi là hàm Panic(). Chức năng này đình chỉ hợp đồng và rút tiền từ hợp đồng đó.

Mô tả hình ảnh

Hình ảnh: Tiền bị đánh cắp | Nguồn: Arbiscan

viết ở cuối

viết ở cuối

Cho đến nay, CertiK đã ghi nhận 12 sự cố trên Arbitrum vào năm 2023, bao gồm cả vụ lừa đảo rút lui ChibiFinance, với tổng thiệt hại là 14 triệu USD. Sự cố Chibi Finance đã chứng minh những rủi ro liên quan đến việc tập trung hóa trong không gian Web 3. Những người triển khai dự án đã lạm dụng vị trí đặc quyền của họ, đánh cắp tiền của người dùng và sau đó xóa tất cả các tài khoản mạng xã hội, bao gồm cả trang web của dự án. Đối với các nhà đầu tư thông thường, việc khám phá và hiểu những rủi ro tập trung trong các dự án như Chibi Finance chỉ thông qua nghiên cứu của chính họ là một kỳ vọng viển vông. Đây là nơi mà một kiểm toán viên có kinh nghiệm có giá trị. CertiK có thể trình bày rõ ràng các rủi ro tập trung liên quan đến dự án trong quá trình kiểm toán để giúp các nhà đầu tư hiểu rõ các rủi ro do dự án gây ra.