.svg)
Co to jest Chibi Finance?
Chibi Finance to platforma finansowa do zarabiania na stakowaniu kryptowalut, działająca na sieci Arbitrum. 26 czerwca została wykorzystana przez swoich twórców do wyciągnięcia środków o wartości 1 miliona dolarów w ramach tzw. "exit scamu" lub “rug pull”. Twórcy uciekli z projektu, przy okazji zabierając wszystkie zgromadzone środki. Interfejs użytkownika na platformie Chibi Finance zniknął, a całe media społecznościowe aplikacji zostały wyłączone.
Jak doszło do ataku?
W ataku wykorzystano lukę w ośmiu różnych kontraktach używanych w protokole Chibi Finance. Te kontrakty były zaciągnięte z innych projektów i nie były unikalne dla Chibi. Analiza blockchain pokazuje, że niektóre z kontraktów używanych przez Chibi Finance zawierały funkcję "panic", która może być używana do wycofania wszystkich tokenów z puli i wysłania ich na określony adres. Ta funkcja była kluczowa dla metody oszustów.
Jak działa funkcja "panic"?
Funkcja "panic" pozwala na wycofanie funduszy bez odbierania nagród. Może to być przydatne w sytuacji awaryjnej. Na przykład, użytkownik może chcieć wywołać tę funkcję, jeśli błąd w kontrakcie nagród uniemożliwia odbieranie nagród.
Jak atakujący wykorzystał funkcję "panic"?
Funkcja "panic" nie wymaga wywołania przez końcowego użytkownika. Zamiast tego, jest po prostu wymieniona w kontrakcie Chibi Finance jako funkcja "onlyGov", co oznacza, że może ją wywołać admin, ale nikt inny. Twórcy wykorzystali tę lukę do przeprowadzenia swojego ataku.
Jak uniknąć exit scamów w stylu Chibi?
Jednym ze sposobów na uniknięcie exit scamu w stylu Chibi może być unikanie aplikacji, które mają funkcję "panic". Z drugiej strony, jeśli platforma nie ma funkcji "panic", istnieje ryzyko, że środki użytkownika mogą utknąć, jeśli kod aplikacji będzie wadliwy. Warto też polegać na audytach zewnętrznych firm, ale tylko takich z renomą. Chibi Finance miało przeprowadzany audyt, jednak firma, która go zrobiła jest już nieaktywna, a audyt - niedostępny. Dlatego przed wejściem w jakąkolwiek inwestycję zawsze sprawdzajcie interesujące Was projekty, w tym twórców, technologię, whitepaper. DYOR - Do Your Own Research.
.png)
