Chibi Finance a surpris sa communauté avec un scam de grande ampleur. Avec sa nouvelle rubrique “Scam Detective”, BeInCrypto vous propose de découvrir le commencement d’un incident, d’enquêter sur les éléments qui l’ont rendu possible… et peut-être même de faire des découvertes étonnantes.
Chibi Finance, un projet qui commençait bien
Le 27 juin dernier, la crypto sphère s’est réveillée avec une surprise de taille : le projet 💸 DeFi Chibi Finance a disparu. Ce dernier, qui n’avait que quelques mois d’existence à son actif, a été effacé des réseaux sociaux tandis que son site internet est devenu indisponible.
Mais qu’a-t-il pu bien arriver à cette société si prometteuse ? Celle-ci se présentait comme un agrégateur de rendement et promettait aux utilisateurs de bénéficier de l’ensemble des récompenses proposées par l’écosystème Arbitrum, notamment par l’intermédiaire de pools et de contrats intelligents.
Chibi n’avait pas tardé à trouver le succès, comptabilisant un million de dollars de TVL le mois dernier et allant même jusqu’à voir son jeton natif listé sur CoinGecko.
Une attaque éclair bien huilée
Dans la nuit du 26 au 27 juin, tout l’argent qui circulait par l’intermédiaire de Chibi Finance a été drainé du protocole. Les coupables ? L’équipe même du projet, qui attendait son heure depuis longtemps. En effet, selon PechShield, celle-ci avait aménagé une faille sur son contrat intelligent avec le projet de la déclencher une fois un million de TVL gagné.
Plus concrètement, la faille permettait d’une part de s’approprier toutes les finances des utilisateurs et des pools grâce au panel administratif… mais également de supprimer l’option de retrait immédiat sur les interfaces des clients. Ainsi, personne ne pouvait s’opposer au vol des fonds, même une fois la supercherie découverte.
De même, le jeton CHIBI a été liquidé et son cours est tombé à 0 en quelques secondes seulement, laissant de nombreux investisseurs dans le désarroi.
L’argent récolté sous forme de 555 ETH a immédiatement été transféré sur 🌀 Tornado Cash avant d’être envoyé vers le réseau Ethereum. A l’heure de la rédaction de cet article, la trace du butin n’a pas été retrouvée.
Pire encore, selon le rapport de CertiK à ce sujet, les créateurs malveillants de Chibi Finance se seraient associés à un hacker qui avait déjà fait ses preuves en piratant ☠️ Euler Finance. Celui-ci aurait ensuite participé à la modification du contrat et permis à tous les flux d’aboutir dans l’adresse administrative de la plateforme.
Un faux audit pour endormir les foules !
Maintenant que le mal est fait, les révélations s’enchainent pour Chibi Finance. Pour sa communauté, l’étonnement est de taille : le projet avait été audité en bonne et due forme ! L’entreprise responsable de l’évaluation, SolidProof, a néanmoins fait part d’autres faits.
Oui, elle a bien audité le projet ainsi que les contrats qui y correspondaient mais le résultat a été falsifié par l’équipe de Chibi Finance. En d’autres termes, cette dernière a montré un contrat légitime à SolidProof afin d’obtenir son approbation… puis a modifié l’ensemble pour permettre son rugpull.
La supercherie n’a été découverte qu’une fois l’argent drainé, SolidProof ayant été averti par les victimes du projet. Et puisque les smart contracts rendus publics sur Github étaient faux, elles aussi n’y ont vu que du feu.
Chibi Finance ne ressemble pas aux autres scams
Vous l’aurez donc compris, Chibi Finance était en fait un ⚠️ rugpull millimétré depuis les premières secondes de sa mise en ligne. Néanmoins, celui-ci comportait de grandes différences avec les méthodes couramment utilisées par les arnaqueurs, notamment à travers son audit et la publication de faux contrats.
Puisqu’il est si facile de mentir dans la crypto, une seule protection : suivre ce que votre instinct vous dicte et ne pas investir trop tôt !
La morale de l’histoire : le hack de Chibi Finance ne s’est pas fait dans la dentelle mais son orchestration s’est faite d’une main de maître.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
