CertiK：八千萬人民幣不翼而飛，Compounder.finance內部操作攻擊分析_OMP:Compound USDT

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。但有一種情況是例外.....北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大額交易。CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。經統計，Compounder.Finance最終共損失約價值八千萬人民幣的代幣。攻擊事件經過如下：

CertiK：EFVault的代理合約ENF ETHLEV經歷了一次閃電貸攻擊:金色財經報道，據CertiK官方推特發布消息稱，EFVault的代理合約ENF_ETHLEV經歷了一次閃電貸攻擊。據悉，攻擊者進行了多筆利用攻擊，獲利528,000美元。[2023/8/9 21:34:23]

圖一：inCaseTokenGetStuck()函數Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

Larry Cermak：編寫開源代碼的能力和擁有隱私的普通用戶是加密貨幣中最重要的原則之一:金色財經報道，The Block研究副總裁Larry Cermak在社交媒體上稱，我認為現在要問的一個有趣的問題是，為什么只有 Tornado Cash 受到影響，而其他隱私項目（如 CoinJoin、Monero 甚至 Zcash）仍然可以，是因為最近使用了 Tornado，還是有其他一些因素在這里起作用？只是奇怪，無論如何，編寫開源代碼的能力和擁有隱私的普通用戶是加密貨幣中最重要的原則之一。我們需要盡我們所能保護那些將他們的安全置于危險之中的開發者。[2022/8/13 12:23:23]

CertiK：過去三個月監測到349起NFT項目Discord被攻擊事件，至少41個虛假網站來自同一團伙:8月8日消息，安全機構CertiK在Twitter上表示，過去三個月共監測到349起NFT項目Discord被攻擊事件，其中5月119起，6月116起，7月114起。此外，據調查攻擊者發布的虛假網站中，至少41個網站來自同一團伙。[2022/8/8 12:10:10]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:項目管理者盜取代幣的交易舉例項目管理者盜取代幣的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：1.當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。2.投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價！

Kava已通過CertiK的全面審計，確保平臺代幣發行模塊代碼的安全:據官方公告，Kava已通過CertiK的全面審計，確保Kava DeFi平臺代幣發行模塊代碼的安全。火幣作為行業領先者已將其生態資產HBTC接入Kava DeFi發行模塊，后續將在Kava上鑄造數百萬美元的資產。

Kava是一個跨鏈DeFi平臺，提供主流數字貨幣的抵押借貸。HARD Protocol是基于Kava區塊鏈發布的跨鏈加密貨幣市場，支持BTC、XRP、BNB、BUSD、KAVA和USDX等資產借貸和挖礦賺取收益。[2021/2/19 17:29:09]

安全機構：Gate.io蟬聯CER全球交易平臺安全測評第一名:根據國際第三方安全機構CER 8月最新交易所安全測評排名顯示，Gate.io的網絡安全分數升至9.65分，蟬聯CER全球交易平臺安全測評第一名，同時獲評全球最值得信任的20個交易平臺稱號首位，在CER、CoinGecko等多個榜單中位居榜首。此前7月，Gate.io已在該評分中獲得9.38分，在全球100個交易平臺中排名第一。CER成立于2018年，是業內第一個公開批評現有交易量指標的加密貨幣交易所排名平臺，其安全標準被CoinGecko、CoinMarketCap等權威行情網站所廣泛使用。[2020/9/1]

Tags：UNDCompoundCOMPOMPCompound Basic Attention TokenCompound USDTCompounder

Luna