Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 074Rug pull

Rug pull d'Arbix Finance

Arbix Finance, audité par Certik, a frappé 10 M d'ARBX vers des adresses d'attaquants, drainé 10 M$ de dépôts et effacé toute sa présence web et sociale.

Date
Victime
Arbix Finance users
Chaîne(s)
Arbitrum
Statut
Fonds dérobés

Le 8 janvier 2022, le protocole de yield farming basé sur Arbitrum Arbix Finance a exécuté un rug pull de 10 millions de dollars. Le protocole — qui avait été audité par Certik — a frappé 10 millions de tokens ARBX vers quatre adresses contrôlées par l'attaquant, drainé les dépôts utilisateurs, puis supprimé son site web, son Twitter et tous ses canaux sociaux, disparaissant entièrement.

Ce qui s'est passé

Arbix Finance s'était commercialisé comme un protocole de rendement légitime avec les marqueurs de crédibilité que les utilisateurs avaient appris à rechercher : un produit déployé, des canaux sociaux actifs et — crucialement — un audit de sécurité de Certik, l'une des firmes d'audit les plus connues.

Le badge « audité » a fonctionné exactement comme prévu pour les escrocs : il a fourni une fausse assurance qui a attiré les dépôts utilisateurs. Les audits évaluent si le code fait ce qu'il semble faire — ils n'évaluent pas, et ne peuvent pas évaluer, si l'équipe a l'intention d'agir honnêtement. Un protocole peut passer un audit et avoir tout de même des fonctions privilégiées que l'équipe a l'intention d'abuser.

Le rug :

  1. L'équipe a conservé l'autorité de mint privilégiée sur le token ARBX (un fait possiblement divulgué dans l'audit mais non compris par les déposants comme un risque critique).
  2. Le 8 janvier, ils ont frappé 10 millions d'ARBX vers quatre adresses contrôlées par l'attaquant.
  3. Drainé les dépôts utilisateurs des pools du protocole.
  4. Vendu l'ARBX frappé contre des stablecoins et de l'ETH, puis ponté hors d'Arbitrum.
  5. Supprimé le site web, le compte Twitter et tous les canaux communautaires — le mouvement de finition classique de l'« exit scam ».

Total extrait : environ 10 millions de dollars en fonds utilisateurs.

Conséquences

  • Aucune récupération — par conception, les rug pulls sont structurés pour que l'équipe contrôle les clés et le chemin de sortie.
  • L'implication de Certik a attiré des critiques significatives et contribué à un débat plus large en 2022 sur ce qu'un badge d'audit certifie réellement.
  • L'incident est devenu un exemple fréquemment cité dans le discours « audité ≠ sûr ».

Pourquoi c'est important

Arbix Finance est l'un des cas les plus clairs pour les limites des audits de sécurité comme signal de confiance. Certik (et toute firme d'audit réputable) audite la correction du code par rapport à une spécification — le contrat fait-il ce que sa conception dit ? Un audit ne certifie pas :

  • Que l'équipe n'utilisera pas malicieusement les fonctions privilégiées divulguées.
  • Que le contrat déployé correspond au contrat audité (cf. Hope Finance).
  • Que l'identité réelle de l'équipe est responsable.
  • Que la tokenomique n'est pas structurée pour une sortie.

Leçons structurelles pour les utilisateurs :

  1. Un badge d'audit est un signal nécessaire-mais-non-suffisant. Son absence est un négatif fort ; sa présence est un positif faible. Beaucoup des plus grands rug pulls étaient « audités ».

  2. L'autorité de mint privilégiée est le facteur de risque le plus important pour tout token. Les utilisateurs devraient vérifier — on-chain, pas depuis le marketing — si l'équipe peut frapper une offre illimitée, et si cette autorité est renoncée, verrouillée par timelock ou gardée par multi-sig.

  3. Les structures d'incitation des firmes d'audit comptent. Une firme payée par le projet qu'elle audite, qui émet un badge que le projet utilise pour le marketing, est structurellement en position compromise par rapport aux déposants qu'elle protège nominalement. La poussée post-2022 vers un scope d'audit public et lisible par machine (adresse déployée exacte, hash du bytecode, liste explicite des fonctions privilégiées) est une réponse directe à la classe d'incidents Arbix.

Arbix Finance est une entrée dans une longue vague 2021-2022 de rug pulls audités qui ont collectivement recalibré comment le marché interprète la revendication « audité » — de « c'est sûr » à « le code fait grosso modo ce qu'il dit, ce qui peut inclure des choses conçues pour vous nuire ».

Sources & preuves on-chain

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/crypto-platform-arbix-flagged-as-a-rugpull-transfers-10-million/
  2. [02]malwarebytes.comhttps://www.malwarebytes.com/blog/news/2022/01/10m-of-funds-goes-missing-in-what-appears-to-be-a-cryptocurrency-rug-pull
  3. [03]halborn.comhttps://halborn.com/explained-the-arbix-finance-rug-pull-january-2022/

Dépôts liés