1 million de dollars envolés, Chibi Finance part avec la caisse
Abus de confiance. On aimerait tellement cesser de voir des gens se faire lamentablement voler leur argent par des équipes de développeurs malveillants, malheureusement, pas un mois ne passe sans une nouvelle affaire d’arnaque autour de la cryptomonnaie. Cette fois-ci, c’est carrément l’équipe du projet qui a escroqué l’ensemble des utilisateurs en partant avec la caisse après seulement quelques semaines d’existence. Chibi Finance était donc un projet fantôme sur Arbitrum qui a tout de même rapporté 555 ethers à la bande d’aigrefins qui était derrière. Récit d’un rug pull désespérément banal.
Chibi Finance, un agrégateur de rendement mais surtout de voleurs
« L’agrégateur de rendement le plus populaire sur Arbitrum », voilà comment les fondateurs de ce protocole de finance décentralisée définissaient eux-mêmes leur projet. Le fonctionnement était relativement classique, avec un principe de Yield Farming Optimizer offrant des rendements performants ainsi que des jetons CHIBI en récompense. Lancé au mois d’avril dernier, Chibi Finance se vantait d’avoir atteint 500 000 dollars de TVL au 21 juin dernier, mais espérait bien dépasser le million le plus rapidement possible. Ce sera chose faite le 26 juin avec de multiples messages sur les réseaux sociaux pour se féliciter de cette belle réussite.
Car souvent, dans ce genre d’affaire, Twitter et autres Instagram vont servir de caisse de résonance aux mensonges des instigateurs de l’escroquerie. En effet, à grands renforts de bakchich, de cadeaux ou d’intéressement au projet, certains influenceurs crypto vont relayer les bons résultats du protocole et amener d’autres victimes dans l’escarcelle des malfaiteurs. Bien sûr, depuis la découverte du pot-au-rose, l’ensemble des messages ont disparu. Mais, retour au soir du 26 juin où le vol va arriver dans sa phase finale. Si l’on en croit les révélations de la start-up PeckShield, spécialisée dans la cybersécurité de la blockchain, le coup était bien préparé. En effet, une faille dans le smart-contract attendait patiemment d’être activée par les équipes du projet.
>> Les arnaques et autres Ponzi vous inquiètent ? Ledger a la solution (lien commercial) <<
Rug Pull, exit scam, ou encore Ponzi, l’imagination sans limites des escrocs 3.0
C’est également la conclusion de Certik, le spécialiste de l’audit des projets, qui confirme le modus operandi et le détaille dans un document complet à la disposition des curieux. En deux mots, les escrocs ont utilisé la fonction « panique » qui existe dans de nombreux contrats intelligents et qui permet de retirer les fonds à tout moment. À ceci près qu’ils ne sont pas censés aller ailleurs que dans le portefeuille de l’utilisateur qui l’actionne ! Mais, les développeurs de Chibi Finance ont pu détourner cette fonction qui a finalement drainé l’ensemble des fonds vers leur(s) portefeuille(s).
Les 555 ethers ont ensuite été envoyé d’Arbitrum vers Ethereum, puis vers le mixeur de crypto Tornado Cash qui permet de faire « disparaitre » les cryptos. En suivant, l’interface utilisateur du protocole affichait une erreur 404 et l’ensemble des comptes de réseaux sociaux étaient désactivés. Évidemment, le prix du jeton CHIBI a, lui aussi, fait un plongeon sans retour vers les abysses en moins de 24h. Les équipes de Certik réitèrent leurs mises en garde contre les projets frauduleux tout en reconnaissant qu’il est très compliqué pour un utilisateur lambda de trouver ce genre de faille.
D’où la nécessité de chercher à savoir si le protocole en question a été audité ou pas. Dans le cas présent, il semble que SolidProof ait effectivement travaillée sur Chibi Finance, mais devant l’absence de réaction de la société et devant le manque de preuve d’un tel audit, on ne peut pour l’instant rien dire de plus. On peut seulement vous conseiller d’être prudent dans vos aventures DeFi, car les malandrins ne manquent pas d’imagination pour partir en vacances avec votre argent.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !