ANC:首发 | CertiK:八千万人民币不翼而飞 Compounder.finance内部操作攻击分析

八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?

在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。

Binance.US用户因SEC诉讼和资产冻结担忧撤回超7800万美元:金色财经报道,据DeFillama数据显示,Binance.US用户因SEC诉讼和资产冻结担忧撤回 7848 万美元,尽管声称资金是安全的。数据显示,Binance.US在以太坊链上持有的代币总价值为 3.21 亿美元,表明流出量约为当前TVL的 24%。

金色财经此前报道,美国一家法院批准 SEC 冻结 Binance.US 子公司 BAM Management 和 BAM Trading 资产的请求。但不会影响 Binance.US 客户的资产,只会冻结 Binance.US 的公司资产。[2023/6/7 21:22:11]

经统计,Compounder.Finance最终共损失约价值8000万人民币的代币。

社交代币平台Rally关闭以太坊侧链:金色财经报道,社交代币平台 Rally 周二表示,它正在放弃其以太坊侧链,并在发给用户(创作者及其持有代币的粉丝社区)的电子邮件中警告他们,他们的加密资产可能很快就会陷入困境。Rally 将 2022 年“充满挑战的一年”和“宏观逆风”称为“在当前环境下难以克服”。这家初创公司上一次在 2021 年从投资者那里筹集了 5700 万美元。根据数据网站Nansen的数据,自 2022 年 1 月 31 日以来,Rally 的代币 RLY 已下跌 93% 。周二其价格基本没有变化。[2023/2/1 11:39:54]

攻击事件经过如下:

图一:inCaseTokenGetStuck()函数

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。

报告:矿工出售新开发的比特币不会给市场增加巨大的压力:金色财经报道,加密货币交易所 Coinbase 在上周的一份研究报告中表示,在比特币开采周期性低迷期间,一个普遍的担忧是矿工出售其BTC资产的程度。该报告称,在市场动荡和比特币价格下跌的时期,利润率全面压缩,并迫使更多矿工成为净卖家。Coinbase表示,鉴于价格下跌和由此导致的盈利能力损失,自去年年底以来,采矿业的融资环境发生了重大变化,在公开市场筹集资金变得非常困难。

尽管如此,即使每天所有新发行的比特币都立即出售到市场上,这也仅相当于900BTC 的抛售压力,仅占每日总交易量的1%-1.5%,报告补充说,一个更健康的比特币衍生品市场应该允许矿工在潜在的对冲策略方面有更多选择。(Coindesk)[2022/7/4 1:50:20]

调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。

Web3音乐投资平台anotherblock完成250万美元新一轮融资,Inventure 领投:金色财经报道,Web3音乐投资平台anotherblock宣布完成了一笔 250 万美元的新一轮融资,Inventure 领投,Centrifuge.io 创始人 Maex Ament、Dune.xyz 的 Fredrik Haga 和区块链研究与投资公司 StableNode 跟投,此外一批制作人和艺术家也参与了本轮融资,包括格莱美获奖制作人 DannyBoyStyles和一些出版商及唱片公司。Anotherblock 旗下拥有一个让粉丝通过购买 NFT 来投资音乐的 web3 平台,旨在让“投资音乐更轻松更容易”,该公司通过将音乐版权与 NFT 联系起来,创造了一种顺畅且安全的音乐版权交易方式。(musicbusinessworldwide)[2022/6/9 4:12:35]

图二:Compounder.Finance:StrategyControllerV1中strategist角色地址

链游公司Awkay Technologies完成250万美元融资:5月19日消息,链游开发公司 Awkay Technologies 宣布完成 250 万美元融资。此轮融资由 Vendetta Capital 和 Icetea Labs 领投,Animoca Brands、Morningstar Ventures、Bridge Mutual、Momentum6、FomoCraft、GAINS Associates、Paribu Ventures、Cryowar、AU21、ZBS Capital、Good Games Labs、BreederDAO、PolkaCity、RBL Labs、Tuzanye Game Guild、AvStar Capital、Parachain Ventures 和 Tehmoonwalker 等参投。此外,Illuvium 首席执行官 Kieran、Cross The Ages 首席执行官 Sami Chlagou 等个人投资者也参与了此轮融资。[2022/5/19 3:27:56]

图三:?项目管理者盗取代币的交易举例

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:0ms0-0:935ms