首發 | CertiK：八千萬人民幣不翼而飛 Compounder.finance內部操作攻擊分析_OMP

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？

在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。

CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

Binance.US上的比特幣價格在今日上午短暫“閃漲”至超過13.8萬美元:金色財經報道，據Binance.US官網數據顯示，北京時間6月21日上午，Binance.US上的USDT市場的比特幣價格短暫“閃漲”超過138,000美元，最高達到了138,070美元，比其他交易所顯示的現貨比特幣價格高出近400%。數據顯示，價格突然的短暫“閃漲”只持續了幾秒鐘。[2023/6/21 21:52:11]

經統計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

攻擊事件經過如下：

圖一：inCaseTokenGetStuck()函數

Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

貝萊德是比特幣礦商Core Scientific的最大債權人之一:金色財經報道，投資公司貝萊德是比特幣礦商Core Scientific的最大債權人之一，Core Scientific上周申請了第11章破產保護。根據提交給美國證券交易委員會的一份文件，截至12月28日，貝萊德擁有3790萬美元的有擔保可轉換票據。Core Scientific去年通過與一家特殊目的收購公司(SPAC)的交易上市，貝萊德擔任主要投資者。

Core Scientific計劃在破產法庭的幫助下將其大部分債務轉換為股權。該公司不打算出售任何機器或運營設施，但考慮出售正在開發的礦場。公司其他主要債權人還包括破產的加密貸款機構BlockFi、投資銀行公司B.Riley、加密金融服務公司NYDIG、數字資產銀行Anchorage Digital的母公司Anchor Labs。[2022/12/31 22:17:26]

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

Ripple正在招聘全棧工程師等職務:金色財經報道，舊金山區塊鏈公司Ripple發布最新全棧工程師招聘信息，該崗位將是設計和營銷團隊的一員，負責管理公司的網站運營、指導技術決策并實施不同策略，且需要帶頭領導前端開發人員。與Coinbase、OpenSea、BlockFi等公司不同，Ripple是熊市中少有幾家仍在招聘的區塊鏈公司，本月初該公司還發布了首席數字設計師的崗位招聘信息，其加拿大辦事處也在招聘多大50名工程師。（u.today）[2022/10/10 12:51:24]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:?項目管理者盜取代幣的交易舉例

項目管理者盜取代幣的交易列表:

Nethermind：Warp 已轉譯和編譯 Uniswap V3:10月9日消息，以太坊客戶端 Nethermind 表示， Warp 項目的下一個重要里程碑已經實現，已成功轉譯和編譯 Uniswap V3 為 Uniswap V3 Warped（UniStark），目前正在完成一個 hardhat 插件，允許在轉譯的 Cairo 上運行所有 Solidity hardhat 測試。也就是說，Warp 已經轉換和部署了 Uniswap V3 存儲庫中的每個 Solidity 文件，只需對源代碼進行少量更改。

注，Warp 旨在將任意 Solidity 合約轉換到 Cairo，并將它們部署到 StarkNet 上。6 月份，Nethermind 上線 Warp 2.0，支持將 Solidity 合約轉換為 Cairo 合約，以部署到 StarkNet 上。[2022/10/9 12:50:09]

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

比特幣礦工以其設備為抵押借款40億美元:金色財經報道，Bitcoin Archive在社交媒體上表示，彭博社稱，比特幣礦工以其設備為抵押借款40億美元。[2022/6/26 1:31:28]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價。

來源：金色財經

Tags：ANCOMPCOMNANFuture FinanceCompliFiCOMTN3RD Finance

XRP