Golpe na rede Arbitrum gera prejuízo de US$ 1 milhão e queda de 99% em token

Chibi Finance drenou fundos de usuários e desapareceu das redes sociais, deixando um prejuízo de US$ 1 milhão

Na terça-feira (27), a aplicação Chibi Finance, criada na Arbitrum, drenou mais de US$ 1 milhão dos seus usuários. A conta no Twitter e o canal do Telegram do projeto foram deletados. O golpe foi viabilizado por uma funcionalidade no contrato inteligente que permitiu o saque dos valores dos usuários. A empresa de segurança CertiK afirma que, apenas em 2023, US$ 14 milhões já foram roubados de aplicações criadas na Arbitrum.

Golpe milionário

Chibi Finance era uma aplicação criada sobre a rede Arbitrum que prometia otimizar os ganhos dos usuários de forma descentralizada. Esse serviço, conhecido como ‘farm de rendimentos’, é prestado após usuários deixarem tokens em staking dentro de uma aplicação. Essa é uma prática comum dentro das finanças descentralizadas (DeFi), visto que esse setor soma US$ 4,92 bilhões em valor total alocado, nos dados do DefiLlama. 

A empresa de segurança CertiK explica que, através de uma funcionalidade chamada ‘_gov’, um contrato inteligente recebeu o poder de sacar os fundos dos usuários. Ao todo, foram drenados: 256.012,95 USDC, 94,67 Wrapped Ethereum (WETH), 4,25520843 Wrapped Bitcoin (WBTC), 115.049 USDT e 89.563,95 Arbitrum (ARB).

Todos os fundos, extraídos pelo endereço 0x80c1ca8f002744a3b22ac5ba6ffc4dc0deda58e3, foram convertidos para WETH, migrados para a rede Ethereum e atravessados no mixer Tornado Cash.

O token nativo da Chibi Finance, o CHIBI, colapsou 98,8% em quatro horas após a identificação do golpe.

Variação de preço do token CHIBI entre os dias 26 e 28 de junho. Imagem: CoinGecko

Usuários poderiam identificar?

De acordo com Hugh Brooks, diretor de operações de segurança da CertiK, o que realmente possibilitou o golpe da Chibi Finance foi a estrutura centralizada de contratos usada pela aplicação. Embora o comando _gov tenha sido o instrumento usado para conduzir a etapa final do ataque, ele foi apenas uma ferramenta.

“É provavelmente irrazoável esperar que usuários médios entendam esse tipo de risco apenas investigando o código do contrato por conta própria. É nesse momento que a experiência de auditores de segurança se faz importante. A CertiK ajuda investidores a entenderem esses riscos ao destacar onde ocorre a centralização”, afirma Brooks.

Mesmo após um processo de auditoria, diz Brooks, apenas pedaços maliciosos no código do contrato são identificados. Ainda é necessário avaliar a equipe por trás do projeto, pois ela encontrará uma forma de executar um golpe, ainda que não existam mecanismos dentro do contrato inteligente.

“Nessas situações, empresas como a CertiK possuem um serviço que verifica os membros das equipes por trás dos projetos, fornecendo informações transparentes para ajudar investidores em suas pesquisas”, conclui.

Leia mais:

Você pode gostar...