A CertiK, empresa líder no ramo de auditoria de códigos de criptomoedas, alertou a comunidade de um novo golpe de puxão de tapete (“rug pull”) orquestrado pelos desenvolvedores do Arbix Finance (ARBX).
Neste fraude, os golpistas vendem o projeto como algo legítimo e quando conseguem faturar dinheiro suficiente por meio da farsa, somem do mapa deixando o resto dos investidores no prejuízo.
O Arbix Finance surgiu no início de dezembro na Binance Smart Chain, dizendo ser um protocolo de yield farming, onde usuários podem travar seus tokens em pools de liquidez para ganhar rendimentos.
De acordo com dados do Pancakeswap V2, a exchange descentralizada (Dex) onde o ARBX é negociado, o ativo começou a circular por US$ 0,10 no dia 10 de dezembro.
Rapidamente sua cotação começou a subir e no domingo (2), o ARBX atingiu uma máxima histórica de US$ 3,51 — uma valorização de 3.410% em menos de um mês.
O que parecia ser um promissor protocolo DeFi, no entanto, não passava de uma farsa.
Ao analisar os contratos inteligentes do projeto, os investigadores do CertiK identificaram linhas de código maliciosas que davam privilégios que os emissores do token ARBX não deveriam ter.
No primeiro aviso do dia 3, a equipe da CertiK não deu detalhes sobre o caso, mas alertou a comunidade: “NÃO interajam com o projeto!”.
Naquele dia, o ARBX foi a zero em poucas horas, caindo de US$ 3,08 para US$ 0,003. A queda continuou ao longo da semana e nesta quinta (6), o token vale apenas US$ 0,001.
Como o rug pull foi aplicado
Com a investigação concluída, os analistas do CertiK voltaram ao Twitter para explicar como o golpe aconteceu.
Os desenvolvedores do Arbix esconderam um contrato inteligente, que não estava no escopo da auditoria feita pela CertiK para o projeto.
Na surdina, os golpistas inseriram a função ‘mint ()’ no contrato secreto que lhes permitia mintar — termo que significa criar novos tokens por meio de contratos inteligentes — qualquer quantidade de ARBX e enviá-las para qualquer endereço.
O proprietário do contrato então mintou 10 milhões de ARBX que foram enviados para 8 endereços diferentes. 4,5 milhões de ARBX desse total foram para um único endereço e despejados no mercado logo em seguida.
Numa segunda parte do golpe, a equipe do Arbix Finance limpou os pools de liquidez da sua plataforma, roubando US$ 10 milhões em fundos depositados pela comunidade.
Os golpistas moveram as criptomoedas roubadas para a rede Ethereum por meio do AnySwap USDT.
Após a denúncia da CertiK e a queda completa da moeda, o projeto sumiu do mapa, excluindo o seu site oficial e todas as redes sociais.