ETH:局早已被精心策划：Chibi Finance盗取100万美元随后跑路过程详解_Rootkit Finance

2023年6月27日，Chibi Finance团队实施了一起退出局，导致投资者资金损失超过100万美元。该项目利用了中心化风险，将用户资金从Chibi拥有的合约中转出，并将其兑换为ETH，而后通过跨链桥转移到以太坊网络，最后存入Tornado Cash。该起事件是CertiK于2023年内在Arbitrum网络上发现的第12起重大事件。这些事件导致共计价值1400万美元的资金损失，其中包括黑客攻击、局和漏洞利用。

事件总结

虽然Chibi Finance退出局发生在6月27日，但该局很可能已于数日前甚至更早时被精心策划。6月15日，外部地址（0xa3F1）从Tornado Cash提取了10枚ETH。其中2枚ETH通过跨链桥转移到以太坊网络。4天后于6月19日，再次转移7.8枚ETH。其中大部分ETH被发送到地址（0x1f19）。但在6月23日，其中0.2枚ETH被发送到地址（0x80c1）用于支付添加Chibi池子所需的Gas费用以及创建合约（0xb612）的费用，而这些Chibi池子之后会被清空。

古巴央行就与加密货币有关的庞氏局案件数量上升发出警告:古巴中央银行发布通知，警告公民应注意隐藏在看似合法的数字资产投资下的庞氏局。

此外，央行官员还公布了一些涉嫌在古巴无证经营的局，如Mind Capital、Mirror Trading、Arbistar、Trust Investing、Qubit Life/Qubit Tech、X-Toro等。古巴央行指出，古巴政府目前并不认可该国任何与虚拟货币有关的项目，并\"建议公众不要参与这种性质的操作\"。（Bitcoin.com）[2021/5/19 22:19:57]

Chibi继续推动其项目的炒作，在6月26日，在其电报群中宣布其已被列入Coin Gecko。

美国SEC指控两家公司涉嫌实施加密货币庞氏局:金色财经报道，美国证券交易委员会（SEC）就庞氏局指控两家马里兰州公司，这两家公司涉嫌通过承诺在加密货币交易所交易资金，了大约1200名投资者，总金额超过2700万美元。SEC称，这两家欺诈公司是1st Million LLC和The Smart Partners LLC，是为实施庞氏局而设立的虚假公司。[2020/8/29]

图片：Chibi Finance Discord公告：来源Twitter

然而，在6月27日，每个Chibi池子中都调用了setGov()函数，并将gov地址设置为合约(0xb612)。在Chibi的合约中，gov地址相当于所有者地址。Chibi的函数受到onlyGov角色的保护，标识允许执行这些函数的钱包。

动态 | 近50亿美元庞氏局OneCoin被拍成系列剧，版权拍卖出高价:近50亿美元庞氏局维卡币（OneCoin）仍在继续他们的局，其故事的系列剧版权被高价出售，而电视剧播出的警示作用似乎远不如其宣传效果，这部电视剧只让局更猖狂。OneCoin发起人仍在继续他的局，他们现在开始用电视剧来宣传这个项目了。2月4日，《消失的加密女王（The Missing Cryptoqueen》播客的电视转播权卖给了New Regency电视台。而且，据播客主持人Jamie Bartlett说，OneCoin的推广者们对这个消息很感兴趣。他在推特上写道，“OneCoin的推广人员正在利用这个新闻故事歪曲自己，然后利用新闻来推广自己的局。难以置信！”节目的发起人是Kamran Hye，她为电报频道OneLife做广告，声称要出售OneCoin，而这些一开始就不存在的代币竟然被以天价出售：起价为13140欧元。Hye 写道，“《消失的加密女王》电视连续剧的竞标已经卖出了一大笔钱（未披露），因为许多著名的制作公司都想得到版权，市场需求强烈。”（Decrypt）[2020/2/16]

动态 | 加密货币交易所COSS宣布锁定客户资金一个月 被质疑是局:据Decrypt消息，新加坡加密货币交易所COSS今日宣布，将锁定其大约20万个客户（价值约200万美元）的资金，为期一个月。这一突然举动引发了社区成员的恐慌，他们猜测某种局即将到来。[2020/1/8]

图片：setGov()交易。来源：Arbiscan

在控制池子之后，（0x80c1）地址移除了总计539枚ETH的流动性。另从（0x1f19）地址获得17.9枚ETH，总计达到556枚ETH。

 图片：将被盗的资金兑换为WETH。来源：Arbiscan。

动态 | 北京商报：虚拟货币成“地下”庞氏局新陷阱:北京商报今日刊文《新物种新陷阱|虚拟货币 “地下”庞氏局》，文章表示，该报记者调查发现，目前虚拟货币交易市面上存在不少“推介人”，这些人打着高额、稳赚的噱头活跃在各大交友网站和社群里，为投资人介绍虚拟货币交易，盈利倍数高达100%。还有部分平台转至境外继续提供比特币与人民币之间的场外交易，通过各种方式规避监管，且参与方式较之前更为隐蔽。[2019/3/15]

这些资金随后通过两笔交易跨链到以太坊，其中400枚ETH通过Multichain跨链桥，156枚ETH通过Stargate跨链桥。总共有555枚ETH存入Tornado Cash，然后分别向两个不同的EOA发送了两笔0.5枚ETH的交易。其中一个交易到一个新的钱包（0x9297），截至成文时该钱包仍持有ETH。另外的0.5枚ETH被发送给之前向Euler漏洞利用者发送过链上消息的junion.eth以感谢他们的服务。

图片：链上消息。来源：Etherscan

退出局是由Chibi Finance合约中的_gov()角色的中心化特权造成的。攻击始于6月23日，当EOA （0x80c1）从EOA （0xa3F1）收到0.2枚ETH，并创建了一个恶意合约。

图片：恶意合约创建。来源：Arbiscan

下一阶段是在Chibi Finance拥有的多个合约上调用addPool()函数。

图片：调用addPool()。来源：Arbiscan

6月27日，Chibi Finance合约的部署者在多个Chibi合约上调用setGov()，将由EOA （0x80c1）创建的恶意合约分配给_gov角色。这个角色在Chibi Finance合约中具有特权，允许攻击者调用panic()函数，从合约中移走用户的资金。

图片：setGov()交易和示例交易。来源：Arbiscan

EOA 0x80c1在恶意合约中调用execute()，开始提取资金。该恶意合约遍历了每个在6月23日通过addPool()交易添加的Chibi Finance合约，并调用了panic()函数。该函数暂停合约并提取其中的资金。

被盗的资金随后转移到EOA 0x80c1。

 图片：被盗的资金。来源：Arbiscan

这些资金随后被兑换为WETH，通过跨链桥转移到以太坊网络，并存入Tornado Cash。 

总结

迄今为止，CertiK在2023年在Arbitrum上记录了包括ChibiFinance退出局在内的12起事件，总计损失1400万美元。Chibi Finance事件展示了Web3领域中与中心化相关的风险。该项目的部署者滥用特权地位，窃取用户资金，然后删除了所有社交媒体账号，包括项目的网站。

对于普通投资者来说，仅仅通过自己的研究来发现和理解类似Chibi Finance项目中的中心化风险是不现实的期望。这就是经验丰富审计师的价值所在。

CertiK中文社区

企业专栏

阅读更多

金色早8点

Odaily星球日报

金色财经

Block unicorn

DAOrayaki

曼昆区块链法律

标签：ETHCHIBICHINANKino Token ETHCHIBI币Matching gameRootkit Finance

火币交易所热门资讯