Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 074Rug Pull

Arbix Finance Rug Pull

Certik-auditiertes Arbix Finance auf Arbitrum prägte 10M ARBX an Angreiferadressen, entzog 10 Mio. USD und löschte seine gesamte Web- und Social-Präsenz.

Datum
Opfer
Arbix Finance users
Chain(s)
Arbitrum
Status
Mittel entwendet

Am 8. Januar 2022 führte das Arbitrum-basierte Yield-Farming-Protokoll Arbix Finance einen Rug Pull über 10 Millionen US-Dollar durch. Das Protokoll — das von Certik auditiert worden war — prägte 10 Millionen ARBX-Tokens an vier vom Angreifer kontrollierte Adressen, entzog Nutzereinlagen und löschte dann seine Website, Twitter und alle Social-Kanäle vollständig.

Was geschah

Arbix Finance hatte sich als legitimes Yield-Protokoll vermarktet mit den Glaubwürdigkeitsmerkmalen, auf die Nutzer trainiert wurden zu achten: ein deployt Produkt, aktive Social-Kanäle und — kritisch — ein Sicherheitsaudit von Certik, einer der bekannteren Audit-Firmen.

Das „Audit"-Badge funktionierte genau wie für die Betrüger beabsichtigt: Es bot falsche Sicherheit, die Nutzereinlagen anzog. Audits bewerten, ob der Code tut, was er zu tun scheint — sie können nicht bewerten, ob das Team beabsichtigt, ehrlich zu handeln. Ein Protokoll kann ein Audit bestehen und trotzdem privilegierte Funktionen haben, die das Team missbrauchen will.

Der Rug:

  1. Das Team behielt privilegierte Minting-Authority über den ARBX-Token (eine Tatsache, die möglicherweise im Audit offengelegt wurde, aber von Einlegern nicht als kritisches Risiko verstanden wurde).
  2. Am 8. Januar prägten sie 10 Millionen ARBX an vier vom Angreifer kontrollierte Adressen.
  3. Entzogen Nutzereinlagen aus den Pools des Protokolls.
  4. Verkauften die geprägten ARBX gegen Stablecoins und ETH und brückten dann von Arbitrum weg.
  5. Löschten Website, Twitter-Account und alle Community-Kanäle — der lehrbuchmäßige „Exit-Scam"-Schlusszug.

Gesamtbetrag: etwa 10 Millionen US-Dollar an Nutzerfunds.

Folgen

  • Keine Rückgewinnung — Rug Pulls sind designgemäß so strukturiert, dass das Team die Schlüssel und den Exit-Pfad kontrolliert.
  • Certiks Beteiligung zog erhebliche Kritik nach sich und trug zu einer breiteren Debatte 2022 darüber bei, was ein Audit-Badge tatsächlich zertifiziert.
  • Der Vorfall wurde zu einem häufig zitierten Beispiel im Diskurs „auditiert ≠ sicher".

Warum es wichtig ist

Arbix Finance ist einer der saubersten Fälle für die Grenzen von Sicherheitsaudits als Vertrauenssignal. Certik (und jede seriöse Audit-Firma) auditiert Code-Korrektheit gegen eine Spezifikation — tut der Vertrag, was sein Design sagt? Ein Audit zertifiziert nicht:

  • Dass das Team offengelegte privilegierte Funktionen nicht bösartig nutzen wird.
  • Dass der deployt Vertrag dem auditierten Vertrag entspricht (vgl. Hope Finance).
  • Dass die reale Identität des Teams haftbar ist.
  • Dass die Tokenomics nicht für einen Exit strukturiert sind.

Die strukturellen Lektionen für Nutzer:

  1. Ein Audit-Badge ist ein notwendiges, nicht hinreichendes Signal. Sein Fehlen ist ein starkes Negativ; seine Anwesenheit ein schwaches Positiv. Viele der größten Rug Pulls waren „auditiert".

  2. Privilegierte Minting-Authority ist der wichtigste Risikofaktor für jeden Token. Nutzer sollten — on-chain, nicht aus Marketing — prüfen, ob das Team unbegrenztes Angebot prägen kann und ob diese Authority renounced, timelocked oder Multi-Sig-gated ist.

  3. Die Anreizstrukturen von Audit-Firmen sind wichtig. Eine Firma, die vom auditierten Projekt bezahlt wird und ein Badge ausstellt, das das Projekt zum Marketing nutzt, steht in einer strukturell kompromittierten Position relativ zu den Einlegern, die sie nominell schützt. Der Push nach 2022 zu öffentlichem, maschinenlesbarem Audit-Umfang (genaue deployt Adresse, Bytecode-Hash, explizite Liste privilegierter Funktionen) ist eine direkte Antwort auf die Arbix-Vorfallklasse.

Arbix Finance ist ein Eintrag in einer langen Welle auditierter Rug Pulls 2021-2022, die kollektiv neu kalibrierte, wie der Markt die „auditierte" Behauptung interpretiert — von „dies ist sicher" zu „der Code tut grob, was er sagt, was Dinge einschließen kann, die darauf ausgelegt sind, dich zu schädigen."

Quellen & On-Chain-Belege

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/crypto-platform-arbix-flagged-as-a-rugpull-transfers-10-million/
  2. [02]malwarebytes.comhttps://www.malwarebytes.com/blog/news/2022/01/10m-of-funds-goes-missing-in-what-appears-to-be-a-cryptocurrency-rug-pull
  3. [03]halborn.comhttps://halborn.com/explained-the-arbix-finance-rug-pull-january-2022/

Verwandte Einträge