Golpe na rede Arbitrum gera prejuízo de US$ 1 milhão e queda de 99% em token

Chibi Finance drenou fundos de usuários e desapareceu das redes sociais, deixando um prejuízo de US$ 1 milhão

Na terça-feira (27), a aplicação Chibi Finance, criada na Arbitrum, drenou mais de US$ 1 milhão dos seus usuários. A conta no Twitter e o canal do Telegram do projeto foram deletados. O golpe foi viabilizado por uma funcionalidade no contrato inteligente que permitiu o saque dos valores dos usuários. A empresa de segurança CertiK afirma que, apenas em 2023, US$ 14 milhões já foram roubados de aplicações criadas na Arbitrum.

Golpe milionário

Chibi Finance era uma aplicação criada sobre a rede Arbitrum que prometia otimizar os ganhos dos usuários de forma descentralizada. Esse serviço, conhecido como ‘farm de rendimentos’, é prestado após usuários deixarem tokens em staking dentro de uma aplicação. Essa é uma prática comum dentro das finanças descentralizadas (DeFi), visto que esse setor soma US$ 4,92 bilhões em valor total alocado, nos dados do DefiLlama. 

A empresa de segurança CertiK explica que, através de uma funcionalidade chamada ‘_gov’, um contrato inteligente recebeu o poder de sacar os fundos dos usuários. Ao todo, foram drenados: 256.012,95 USDC, 94,67 Wrapped Ethereum (WETH), 4,25520843 Wrapped Bitcoin (WBTC), 115.049 USDT e 89.563,95 Arbitrum (ARB).

• Em alta de 44%, cripto pouco conhecida entra no Top 10 do ‘alvoroço da comunidade’ em dia de lateralização do Bitcoin

Todos os fundos, extraídos pelo endereço 0x80c1ca8f002744a3b22ac5ba6ffc4dc0deda58e3, foram convertidos para WETH, migrados para a rede Ethereum e atravessados no mixer Tornado Cash.

O token nativo da Chibi Finance, o CHIBI, colapsou 98,8% em quatro horas após a identificação do golpe.

Variação de preço do token CHIBI entre os dias 26 e 28 de junho. Imagem: CoinGecko

Usuários poderiam identificar?

De acordo com Hugh Brooks, diretor de operações de segurança da CertiK, o que realmente possibilitou o golpe da Chibi Finance foi a estrutura centralizada de contratos usada pela aplicação. Embora o comando _gov tenha sido o instrumento usado para conduzir a etapa final do ataque, ele foi apenas uma ferramenta.

“É provavelmente irrazoável esperar que usuários médios entendam esse tipo de risco apenas investigando o código do contrato por conta própria. É nesse momento que a experiência de auditores de segurança se faz importante. A CertiK ajuda investidores a entenderem esses riscos ao destacar onde ocorre a centralização”, afirma Brooks.

• Presidente do Uzbequistão assina decreto sobre integração de blockchain, exclusão de impostos para criptomoedas

Mesmo após um processo de auditoria, diz Brooks, apenas pedaços maliciosos no código do contrato são identificados. Ainda é necessário avaliar a equipe por trás do projeto, pois ela encontrará uma forma de executar um golpe, ainda que não existam mecanismos dentro do contrato inteligente.

“Nessas situações, empresas como a CertiK possuem um serviço que verifica os membros das equipes por trás dos projetos, fornecendo informações transparentes para ajudar investidores em suas pesquisas”, conclui.

Leia mais:

• 4 altcoins estão prestes a disparar até 57% nos próximos dias, sugerem análises;
• UE encaminha aprovação de polêmicas regras de ‘kill switch’ de contratos inteligentes sob a Lei de Dados;
• Nestlé entra no mercado de criptomoedas e lança NFTs para apoiar o SOS Mata Atlântica.