2023년 6월 27일, Chibi Finance팀은 출구 사기를 저질러 100만 달러 이상의 투자자 자금 손실을 입혔습니다. 이 프로젝트는 Chibi 소유 계약에서 사용자 자금을 이체하여 ETH로 교환한 후 크로스체인 브리지를 통해 이더리움 네트워크로 전송하고 최종적으로 Tornado Cash에 입금함으로써 중앙화 위험을 활용합니다.
이번 사건은 CertiK가 2023년 Arbitrum 네트워크에서 발견한 12번째 중요한 사건입니다. 이 사건으로 인해 해킹, 사기, 악용 등을 포함하여 총 1,400만 달러 상당의 자금 손실이 발생했습니다.
이벤트 요약
Chibi Finance 출구 사기는 6월 27일에 발생했지만 사기가 며칠 전 또는 그보다 일찍 조직되었을 가능성이 높습니다. 6월 15일 외부 주소(0xa3F1)를 통해 토네이도캐시에서 10ETH가 출금되었습니다. 그 중 2 ETH는 크로스체인 브릿지를 통해 이더리움 네트워크로 전송됩니다. 4일 후인 6월 19일에 7.8 ETH가 추가로 이체되었습니다. 이 ETH의 대부분은 주소(0x1f19)로 전송되었습니다. 그런데 6월 23일에 Chibi 풀 추가에 대한 가스비와 계약 생성 비용(0xb612)을 지불하기 위해 0.2 ETH가 주소(0x80c1)로 전송되었으며, 이 Chibi 풀은 나중에 비워질 예정입니다.
이미지 설명
이미지: Chibi Finance Discord 발표 | 출처 트위터
이미지 설명
이미지: setGov() 트랜잭션 | 출처: Arbiscan
이미지 설명
이미지: 도난당한 자금이 WETH로 교환됨 | 출처: Arbiscan
이미지 설명
공격 과정
공격 과정
이미지 설명
이미지: 악의적인 계약 생성 | 출처: Arbiscan
이미지 설명
이미지: addPool() 호출 | 출처: Arbiscan
이미지 설명
이미지: setGov() 트랜잭션 및 예제 트랜잭션 | 출처: Arbiscan
EOA 0x80c1은 악성 계약에서 실행()을 호출하여 자금 인출을 시작합니다. 악성 컨트랙트는 6월 23일 addPool() 트랜잭션을 통해 추가된 모든 Chibi Finance 컨트랙트를 순회하며 패닉() 함수를 호출했습니다. 이 기능은 계약을 일시 중지하고 계약에서 자금을 인출합니다.
이미지 설명
이미지: 도난당한 자금 | 출처: Arbiscan
마지막에 쓰세요
마지막에 쓰세요
현재까지 CertiK는 2023년 Arbitrum에서 ChibiFinance 탈퇴 사기를 포함해 12건의 사건을 기록했으며 총 손실액은 1,400만 달러에 달했습니다. Chibi Finance 사건은 Web 3 공간의 중앙화와 관련된 위험을 보여주었습니다. 프로젝트 배포자는 특권적인 지위를 남용하고 사용자 자금을 훔친 다음 프로젝트 웹사이트를 포함한 모든 소셜 미디어 계정을 삭제했습니다. 일반 투자자의 경우 Chibi Finance와 같은 프로젝트의 중앙화 위험을 자체 조사를 통해서만 발견하고 이해하는 것은 비현실적인 기대입니다. 경험이 풍부한 감사자가 귀중한 곳입니다. CertiK는 감사 과정에서 프로젝트와 관련된 중앙화 위험을 명확하게 설명하여 투자자가 프로젝트로 인해 발생하는 위험을 이해할 수 있도록 돕습니다.
