Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 074Rug pull

Rug pull de Arbix Finance

Arbix Finance en Arbitrum, auditado por Certik, acuñó 10M de ARBX a direcciones del atacante, drenó $10M en depósitos y borró toda su presencia web y social.

Fecha
Víctima
Arbix Finance users
Cadena(s)
Arbitrum
Estado
Fondos robados

El 8 de enero de 2022, el protocolo de yield farming basado en Arbitrum Arbix Finance ejecutó un rug pull de 10 millones de dólares. El protocolo — que había sido auditado por Certik — acuñó 10 millones de tokens ARBX a cuatro direcciones controladas por el atacante, drenó los depósitos de los usuarios, y luego eliminó su sitio web, Twitter y todos los canales sociales, desapareciendo por completo.

Qué ocurrió

Arbix Finance se había presentado como un protocolo de rendimiento legítimo con los marcadores de credibilidad que los usuarios habían sido entrenados a buscar: un producto desplegado, canales sociales activos y — críticamente — una auditoría de seguridad de Certik, una de las firmas de auditoría más conocidas.

La insignia de "auditoría" funcionó exactamente como pretendían los estafadores: proporcionó una falsa garantía que atrajo depósitos de usuarios. Las auditorías evalúan si el código hace lo que parece hacer — no evalúan, y no pueden evaluar, si el equipo pretende actuar honestamente. Un protocolo puede pasar una auditoría y aun así tener funciones privilegiadas que el equipo pretende abusar.

El rug:

  1. El equipo retuvo autoridad privilegiada de acuñación sobre el token ARBX (un hecho que pudo divulgarse en la auditoría pero que los depositantes no entendieron como un riesgo crítico).
  2. El 8 de enero, acuñaron 10 millones de ARBX a cuatro direcciones controladas por el atacante.
  3. Drenaron los depósitos de usuarios de los pools del protocolo.
  4. Volcaron los ARBX acuñados por stablecoins y ETH, luego puentearon fuera de Arbitrum.
  5. Eliminaron el sitio web, la cuenta de Twitter y todos los canales de la comunidad — el movimiento final del libro de texto "exit scam".

Total extraído: aproximadamente 10 millones de dólares en fondos de usuarios.

Consecuencias

  • Sin recuperación — por diseño, los rug pulls se estructuran para que el equipo controle las claves y la ruta de salida.
  • La participación de Certik atrajo críticas significativas y contribuyó a un debate más amplio en 2022 sobre qué certifica realmente una insignia de auditoría.
  • El incidente se convirtió en un ejemplo frecuentemente citado en el discurso de "auditado ≠ seguro".

Por qué importa

Arbix Finance es uno de los casos más claros de los límites de las auditorías de seguridad como señal de confianza. Certik (y toda firma de auditoría reputable) audita la corrección del código contra una especificación — ¿hace el contrato lo que dice su diseño? Una auditoría no certifica:

  • Que el equipo no usará maliciosamente funciones privilegiadas divulgadas.
  • Que el contrato desplegado coincide con el contrato auditado (cf. Hope Finance).
  • Que la identidad real del equipo es responsable.
  • Que la tokenomics no esté estructurada para una salida.

Las lecciones estructurales para los usuarios:

  1. Una insignia de auditoría es una señal necesaria-pero-no-suficiente. Su ausencia es un negativo fuerte; su presencia es un positivo débil. Muchos de los mayores rug pulls eran "auditados".

  2. La autoridad privilegiada de acuñación es el único factor de riesgo más importante para cualquier token. Los usuarios deberían comprobar — on-chain, no desde marketing — si el equipo puede acuñar suministro ilimitado, y si esa autoridad está renunciada, con timelock, o multi-sig.

  3. Las estructuras de incentivos de las firmas de auditoría importan. Una firma pagada por el proyecto que audita, que emite una insignia que el proyecto usa para marketing, está en una posición estructuralmente comprometida respecto a los depositantes que nominalmente protege. El impulso post-2022 hacia alcance de auditoría público y legible por máquina (dirección desplegada exacta, hash de bytecode, lista explícita de funciones privilegiadas) es una respuesta directa a la clase de incidentes de Arbix.

Arbix Finance es una entrada en una larga oleada 2021-2022 de rug pulls auditados que colectivamente recalibró cómo el mercado interpreta la afirmación "auditado" — de "esto es seguro" a "el código hace aproximadamente lo que dice, que puede incluir cosas diseñadas para hacerte daño".

Fuentes y evidencia on-chain

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/crypto-platform-arbix-flagged-as-a-rugpull-transfers-10-million/
  2. [02]malwarebytes.comhttps://www.malwarebytes.com/blog/news/2022/01/10m-of-funds-goes-missing-in-what-appears-to-be-a-cryptocurrency-rug-pull
  3. [03]halborn.comhttps://halborn.com/explained-the-arbix-finance-rug-pull-january-2022/

Registros relacionados