COM:首发 | CertiK:八千万人民币不翼而飞 Compounder.finance内部操作攻击分析

八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?

在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。

“0xC57E”钱包地址1天内获利442枚ETH:金色财经报道,据Lookonchain监测,“0xC57E”钱包地址昨天将65枚ETH桥接到Base网络,现在他持有507枚ETH,在1天内赚取442枚ETH(82.6万美元)。0xC57E花费65枚ETH购买BALD并以482枚ETH价格出售,获利417枚ETH。然后花费10枚ETH购买OPTISM并以34枚ETH的价格出售,获利24枚ETH。[2023/7/31 16:08:45]

经统计,Compounder.Finance最终共损失约价值8000万人民币的代币。

攻击事件经过如下:

图一:inCaseTokenGetStuck()函数

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。

数据:8万枚ETH从未知地址转至Kraken:金色财经报道, Whale Alert数据监测,8万枚ETH(约1.5亿美元)于北京时间14:24:47从未知地址转移至Kraken。[2023/5/4 14:42:12]

调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。

图二:Compounder.Finance:StrategyControllerV1中strategist角色地址

图三:?项目管理者盗取代币的交易举例

Web3技能招聘平台CV Wallet完成110万美元天使轮融资:金色财经报道,Web3 技能招聘平台 CV Wallet 宣布以 700 万美元估值完成 110 万美元天使轮融资,该公司旨在通过 Web3 和人工智能技术创建一个更公平、更高效和值得信赖的招聘生态系统,并且利用 Web3 技术来验证简历内容真实性并保持招聘过程的诚实性。(bmmagazine)[2023/4/25 14:26:05]

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

数据:今晨有2400个休眠比特币在链上转移:金色财经报道,CryptoQuant分析师Maartun发文称,有2400个休眠了五到七年的比特币今天早晨在链上转移。[2023/3/25 13:25:27]

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

以太坊链上聚合收益协议Zunami推出原生Stablecoin UZD:10月24日消息,Gitcoin第13轮捐赠项目之一Zunami Protocol宣布推出原生去中心化 Stablecoin UZD,由Curve Finance、Convex、Stake DAO和Goldfinch的LP Token支持。

Zunami Protocol是构建在以太坊中的收益聚合协议,通过与Stablecoin合作为用户简化与DeFi协议交互过程中的难度与使用成本,最终提高用户挖矿的收益。[2022/10/24 16:37:17]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

MEXCFTX:12.2 比特币晚间走势分析

行情回顾:大饼昨日破高断崖,晚间快速下探超1800点,今日早盘延续回落,不过行情回调幅度来看,最低点试探于18000区域,并没有下破当前上行趋势,下午行情出现反弹再次站上19000上方.

[0:125ms0-0:860ms