首發 | CertiK：八千萬人民幣不翼而飛 Compounder.finance內部操作攻擊分析_COMP:UND

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？

在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。

CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

比特幣域名項目BTCDomain完成天使輪融資:5月24日消息，比特幣生態域名項目BTCDomain宣布完成天使輪融資，投資方包括Element及LK Venture創始人WangFeng、Bitrise Capital創始人Kevin Shao，以及投資機構Waterdrip Capital。

本輪融資后BTCDomain將進一步打造比特幣域名的應用場景，從ZK解析、錢包支付、鏈上網站、去中心化社交等領域推動比特幣生態更廣泛的發展。[2023/5/24 15:22:42]

經統計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

攻擊事件經過如下：

圖一：inCaseTokenGetStuck()函數

印度財長：針對加密貨幣采取的任何行動都應是全球攜手的:金色財經報道，印度財長Sitharaman表示，G20認為，針對加密貨幣市場采取的任何行動都應該是全球攜手的；G20已經意識到了處置債務壓力的緊迫性。[2023/4/14 14:02:42]

Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

比特幣挖礦軟件和服務提供商Luxor Technology推出托管市場:金色財經消息，全棧比特幣挖礦軟件和服務提供商Luxor Technology正在為礦工推出一個市場，客戶可以在其中為他們的挖礦設備購買托管服務。Luxor業務發展總監Aaron Foster表示，“該托管市場使礦工能夠選擇滿足其獨特運營和地理要求的托管提供商，我們不是一刀切的方法，而是旨在提供一種白手套服務，消除托管決策的不確定性”。Luxor表示，它通過其采礦設備經紀服務完成了超過1億美元的交易。（Coindesk）[2022/6/29 1:37:36]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:?項目管理者盜取代幣的交易舉例

dForce將在Kava Network上部署dForce Lending、USX以及dForce Bridge:6月12日，據官方消息，DeFi協議dForce宣布將在Kava Network上部署一整套DeFi協議，包括dForce Lending、穩定幣USX以及dForce Bridge，以促進KAVA生態系統的有機增長。此前dForce已經在以太坊、Arbitrum、Optimism、BNB Chain、Polygon和Avalanche上部署。[2022/6/13 4:20:49]

項目管理者盜取代幣的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

Regen Network Development購買100萬美元碳信用額，創美國歷史最大城市森林信用單筆交易:金色財經報道，總部位于特拉華州的區塊鏈軟件開發公司 Regen Network Development 宣布購買100 萬美元的碳信用額，這筆交易是美國歷史上最大的城市森林信用單筆交易。據悉，這筆交易由西雅圖非營利組織 City Forest Credits 監督，該非營利組織在幾個大都市地區負責碳登記管理，不過有消息稱 Regen Network Development 很可能會將這些碳信用積分出售給其他買家。（seattletimes）[2022/6/4 4:01:42]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價。

來源：金色財經

Tags：COMPOMPCOMUNDcomp幣歷史最高價格KompassBidCommerceGOLDFund

SHIB最新價格