CertiK：八千萬人民幣不翼而飛，Compounder.finance內部操作攻擊分析_Compound

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。但有一種情況是例外.....北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大額交易。CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。經統計，Compounder.Finance最終共損失約價值八千萬人民幣的代幣。攻擊事件經過如下：

CertiK通過美國AICPA審核獲得SOC 2類型I認證:金色財經報道，Web3安全審計公司CertiK已經通過了美國注冊會計師協會（AICPA）的審核，獲得了該機構頒發SOC 2 類型 I 認證。SOC2類型I認證是AICPA基于確保服務機構滿足客戶數據安全而提出的標準，素以嚴苛著稱。CertiK通過獨立的第三方審計進行了安全控制、流程和政策等多全面審計和評估，滿足了SOC 2的嚴格標準，有能力為客戶和合作伙伴提供最高級別安全的承諾。在通過該認證后，CertiK方面也表示將一如既往地致力于提供最先進的安全解決方案，使個人、企業和組織等能在保證安全的前提下充分發揮區塊鏈技術的潛力。[2023/7/18 11:00:28]

CertiK：Poly Network攻擊者已將部分ETH轉至EOA地址:金色財經報道，據CertiK官方推特發布消息稱，Poly Network攻擊者已將約566.4枚ETH轉至EOA地址（0x712）。1007.4枚ETH也被轉入EOA地址（0xcC2bb）。[2023/7/10 10:12:53]

圖一：inCaseTokenGetStuck()函數Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

PantySwap官方稱CertiK未經證實，遷移所有者疑為死地址:官方消息，對于安全公司CertiK稱，PantySwap項目存在高風險，所有者（不是TimeLock）可以利用MasterChef的遷移功能來耗盡所有LP代幣，有跑路風險，警告不要參與。PantySwap轉發回復表示，正在與CertiK聯系解決這個問題，因為他們在這里談論“客觀審查”，而甚至是未經證實，并質疑其分享“未經證實”的說法。此外，多名網友回復稱遷移所有者是一個死地址，PantySwap對該說法進行了轉發。[2021/6/7 23:17:32]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

Seaweed Finance：因審計機構Certik對Seaweed的二次審計，Dapp上線時間將推遲:據Seaweed Finance官方消息，為進一步確保Seaweed Dapp鏈上數據安全性，Seaweed 已邀請審計機構Certik，對其進行二次審計，目前審計流程已開啟。

此前Seaweed已通過Armors關于solidity合約的審計。Seaweed CTO Coke表示，Dapp上線時間推遲的決定，是Seaweed開發團隊在權衡未來用戶交易資金安全性后做出的慎重決策，相信Seaweed社區廣大用戶會理解，并支持“Seaweed將維護用戶交易資金安全進行到底”所采取的一切措施。Seaweed Dapp上線時間將于近期在其官網公示。

Seaweed Finance 是基于HECO鏈上的期權衍生品交易平臺，通過利用BSM定價模型和AMM流動性池，Seaweed旨在為DeFi生態系統建立一個金融衍生平臺。[2021/3/18 18:56:48]

DeFi協議Balancer總鎖倉量較昨日驟降40.64%，已減少約2億美元:據DeBank數據顯示，非托管投資組合管理服務Balancer總鎖倉量（TVL）較昨日驟降40.64%，目前為3.126億美元，排名第10位。DeBank初步分析稱Balancer總鎖倉量較10月5日已減少約2億美元，包括WETH鎖倉量已減少約4700萬美元，USDC已減少約2200萬美元，WBTC已減少約2300萬美元，renBTC已減少約2300萬美元，YFI已減少約1100萬美元。[2020/10/7]

圖三:項目管理者盜取代幣的交易舉例項目管理者盜取代幣的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：1.當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。2.投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：NCEANCCompoundCOMPDollarBalance ShareYfilabs FinanceCompound Ethercomp幣中文名

比特幣價格