Chibi Finance 100万美元被指控的拉盘:事情是怎么发生的

6月26日,去中心化金融(DeFi)聚合器Chibi Finance被其部署者账户利用,价值100万美元的加密货币被从其合约中取走,这显然是一次拉盘或退出骗局。该协议的官方用户界面消失了,出现404错误,所有该应用的社交媒体也被关闭。资金被取走后,它们被兑换为Wrapped Ether(WETH),并通过桥接转移到了以太坊,在那里被攻击者发送到了Tornado Cash。

随着这一消息的传出,Chibi Finance(CHIBI)治理代币的价格下跌了超过90%。

但在DeFi中,“拉盘”是不可能的。毕竟,这些应用按定义不在集中式基础设施上运行。因此,应用的创建者不应该能够带着每个人的加密货币或现金跑掉。

因此,分析一下这次所谓的骗局是如何实施的可能会很有用。

CertiK在调查事件后发布了一份详细报告。结合区块链数据,这份报告可以揭示攻击是如何发生的,以及用户可以采取什么措施来保护自己免受类似的攻击或骗局。

Chibi Finance应用

在其用户界面下线之前,Chibi自称为“Arbitrum上最受欢迎的收益聚合器”。它声称允许用户从整个Arbitrum生态系统中获得收益。

根据CertiK的说法,这个DeFi聚合器的总锁定价值(TVL)自4月启动以来一直在增长。6月21日,Chibi宣布其TVL达到50万美元。当时,团队表示目标是达到100万美元。

6月26日,该应用首次在CoinGecko上市,获得了更广泛的曝光。似乎在这一事件之后不久,它就达到了100万美元的目标,紧接着代币被从其合约中取走。结果,投资者在这次攻击或骗局中损失了价值超过100万美元的加密货币。

Chibi Finance合约

这次攻击利用了Chibi Finance协议中使用的八个不同合约中的漏洞。这些合约是从其他项目中分叉出来的,不仅仅是Chibi独有的。例如,其中一个是位于Arbitrum地址0x45E8a9BA6Fcd612a30ae186F3Cc93d78Be3E7d8d的StrategyAave.sol,该合约也已部署到Abitrum、以太坊、BNB智能链等网络的多个地址上。

另一个例子是位于0x9458Ea03af408cED1d919C8866a97FB35D06Aae0的StrategySushiSwap.sol合约。这个合约在Arbitrum和其他网络上也有几个版本。

这些合约似乎在DeFi聚合器应用中常见,不仅仅是Chibi Finance。

相关:DeFi聚合:为大规模采用铺平道路

紧急函数

区块链数据显示,Chibi Finance使用的一些合约中包含一个“panic”函数,可以用于从池中提取所有代币并发送到特定地址。这个函数对于攻击者的方法至关重要。以下是使用StrategySushiSwap.sol作为示例的解释:

StrategySushiSwap.sol的340-343行声明,如果调用了panic()函数,它将在ISushiStake合约上调用一个名为“emergencyWithdraw”的第二个函数。

ISushiStake合约本身只是一个接口。它不包含可执行代码。它指向的是位于0xF4d73326C13a4Fc5FD7A064217e12780e9Bd62c3的SushiSwap: MiniChefV2合约。

MiniChefV2地址被列为去中心化交易所SushiSwap的官方合约。因此,“panic”函数调用SushiSwap内的“emergencyWithdraw”函数。

在SushiSwap地址上,可以在626-643行看到emergencyWithdraw函数。

该函数允许资金的所有者在不获取奖励的情况下提取。这在紧急情况下可能很有用。例如,如果奖励合约中存在错误导致用户无法收到奖励,用户可能希望调用此函数。

emergencyWithdraw函数有一个防止未授权人员使用的保护措施。在第360行声明:“UserInfo storage user = userInfo[pid][msg.sender]”,意味着“user”被定义为消息的发送者。在正常情况下,这应该允许用户紧急提取自己的资金,但不能提取属于其他人的资金。

SushiSwap的这个函数似乎没有任何恶意。然而,如果用户不直接从自己的钱包调用此函数,问题可能会出现。

例如,当用户使用Chibi Finance存入资金时,他们的加密货币是通过StrategySushiSwap合约而不是直接通过最终用户发送到SushiSwap的。这意味着当尝试紧急提取资金时,Chibi Finance应用被识别为“用户”。这反过来使得Chibi能够代表用户提取用户的资金。

相关文章:如何识别DeFi中的抛盘陷阱:DigitalC提供的6个提示

然而,只要“panic”函数只能由最终用户调用,资金应该仍然安全。

不幸的是,“panic”函数没有这个要求。相反,它只是在Chibi Finance合约中被列为“onlyGov”函数,这意味着只有管理员可以调用它,其他人无法调用。攻击者利用了这个漏洞进行攻击。

Chibi Finance攻击的进行方式

根据CertiK的报告,以太坊用户名Shadowout.eth于6月15日从Tornado Cash提取了10个以太币(ETH)。这些资金被桥接到Arbitrum,从这个用户发送了0.2 ETH到地址0x80c1ca8f002744a3b22ac5ba6ffc4dc0deda58e3。然后,这个第二个账户在6月23日在地址0xb61222189b240be3da072898eda7db58b00fd6ee上创建了一个恶意合约。

攻击者在6月23日调用了这个恶意合约上的“add pool”函数八次。由于该合约未经验证,这个“add pool”函数的代码未知。然而,CertiK推测每个事务可能将一个Chibi Finance合约添加到恶意合约的数据列表中,总共有八个合约。

在6月27日,Chibi Finance的部署账户将八个Chibi Finance合约的管理员权限转移给了恶意合约。它通过八个单独的事务进行了这个操作,每个事务都在特定合约上调用了“setGov”函数。

恶意合约获得这些治理权限后,其创建者调用了它的“execution”函数。这导致它在这八个合约上调用了“panic”,进而在DeFi应用(如SushiSwap、Aave和Global Hectare)的相关池中调用了“emergencyWithdraw”。

结果是,通过Chibi Finance向这些池存入的所有资金都被攻击者掏空,导致投资者损失超过100万美元。

如何避免类似Chibi的抛盘陷阱?

鉴于该攻击依赖于一个允许管理员提取所有用户资金的“panic”函数,避免类似Chibi的抛盘陷阱的一种方法是不使用具有该功能的应用。

另一方面,如果一个聚合器没有“panic”功能,那么如果在聚合器应用程序中发现了错误或漏洞,用户的资金可能会被卡住。如果用户决定使用聚合器应用程序而不是直接与基础池进行交互,他们可能需要考虑这些权衡。

相关: 报告显示,Q2 DeFi黑客和欺诈活动损失超过2.04亿美元

DeFi用户还需要考虑到智能合约代码可能非常复杂,大多数用户可能无法自行确定应用程序是否存在安全漏洞。正如CertiK在其报告中所称:

“ Chibi Finance事件展示了Web3空间中与中心化相关的风险。[…]对于普通投资者来说,仅仅通过自己的研究来发现和理解类似Chibi Finance这样的项目中的中心化风险是不现实的期望。”

因此,CertiK建议用户在使用应用程序之前检查其发布的审计报告。

Chibi Finance声称已经由区块链安全公司SolidProof进行了审计。由于该项目的GitHub已被删除,并且从未被互联网档案保存,因此无法获取所谓的审计内容。DigitalC无法确定“panic”功能可能带来的风险是否在审计报告中披露,甚至是否进行了审计。

DigitalC已经联系SolidProof以进行评论,但截至发布时尚未收到回复。

在DeFi领域,拉盖或退出欺诈已成为一个常见问题。6月1日,区块链安全公司Beosin报告称,五月份的拉盖欺诈造成超过4500万美元的损失,超过了常规的DeFi攻击。四月份,据称Ordinals Finance协议通过“safuToken”转账功能被拉盖了100万美元。

We will continue to update 算娘; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

DeFi

“苏竹意外在Twitter上发布了一条“早上好”,OPNX代币暴涨50%”

OPNX的共同创始人Su Zhu首次在被捕后发文,OX代币价格达到了63天的高位

DeFi

“Defi如何通过银行CEO在非洲建立外汇桥梁”

DeFi(去中心化金融)可以利用加密货币和区块链来缓解非洲许多痛点,新生银行Canza Finance的首席执行官Pascal Ntsama IV表示

区块链

Tether财库从Bitfinex收到两笔5000万美元的USDT总额

根据外部数据,交易所中的稳定币持有量在过去一年中稳步下降,始于2022年11月

DeFi

《Circle推出Web3开发平台,为Web2开发者提供支持》

Circle宣布推出两项新的开发者功能:‘智能合约平台’和‘加油站’

区块链

“纯粹”的DeFi由于需要预言机的原因,很难在现实世界中得到应用:国际清算银行(BIS)

国际清算银行发布了一份公告,审查了去中心化金融协议中“预言机”存在的问题,并得出了需要进行基本改变的结论

DeFi

在5月份,来自加密货币拉盘的损失超过了DeFi的攻击:Beosin

区块链安全公司 Beosin 报告称,超过 4500 万美元的加密货币已经被退出诈骗所骗取,而对 DeFi 协议的成功攻击和漏洞利用使攻...