COM:首发 | CertiK：八千万人民币不翼而飞 Compounder.finance内部操作攻击分析

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？

在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。

Base主网正式上线:金色财经报道，由Coinbase支持的Base网络现已正式向公众开放， Base生态系统已拥有100多个dapp和服务提供商。Coinbase协议负责人Jesse Pollak表示，与以太坊相比，用户可以探索这些dapp，并受益于更低的交易费用和更快的交易速度。

金色财经曾报道，Base于2月启动测试网，随后于7月份发布了针对开发人员的版本。Base已与许多加密项目集成，包括DeFi协议、钱包、网桥、预言机以及分析和基础设施提供商。[2023/8/10 16:16:22]

经统计，Compounder.Finance最终共损失约价值8000万人民币的代币。

攻击事件经过如下：

图一：inCaseTokenGetStuck()函数

Tether：EURT和XAUT将上线加密交易平台DigiFinex:7月13日消息，据Tether官方公告，Euro Tether(EURT)和Tether Gold(XAUT）即将在加密交易平台DigiFinex上线。1个XAUT代表对London Good Delivery金条上1盎司黄金的所有权；EURT则是与欧元1:1锚定的稳定币。[2023/7/13 10:53:01]

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。

调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

Kraken律师：美国国会在加密领域取得进展的迹象使SEC受到法律约束:金色财经报道，当美国证券交易委员会（SEC）继续对加密货币行业进行执法时，Kraken的首席法律官Marco Santori表示，一个特定的法律原则可能会破坏监管机构的权力。Coinbase在其对未决案件的先发制人辩护中引用了所谓的重大问题原则，即美国行政法的一个要点，它建议联邦机构不应在国会面前介入具有重大经济意义的问题。SEC的行动，Santori认为这与立法者开始加密监管工作尤为相关。Santori表示，“国会正在处理这个问题，而且两党都有代表，两个委员会就此举行了历史性的联合听证会，这些都表明实际上存在一个重大问题。法院可能会审视国会的所作所为，并说SEC超越了国会的授权，这是一个应该由国会决定的重大问题。”[2023/5/13 15:00:21]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

数据：0x7d开头ETH巨鲸地址自FTX崩盘后持续买入17,225枚ETH:11月30日消息，据Lookonchain数据显示，排名第101位ETH巨鲸地址（0x7d开头）自FTX崩盘事件后已买入17,225 枚ETH，约合2125万美元。其中，该地址从Kraken平台买入5,293枚ETH，从Uniswap买入11,302枚ETH，买入均价为1234美元。目前该地址共持有116,274枚ETH，约合1.47亿美元。[2022/11/30 21:13:20]

图三:?项目管理者盗取代币的交易举例

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

“社火脸谱”非遗推出数字藏品:金色财经报道，由陕西省非物质文化遗产“社火脸谱绘制技艺”传承人李继友创作的“社火脸谱-收七怪”授权数字藏品，正式登陆芒果TV旗下数字藏品平台。社火是一种民间传统的庆典狂欢活动，观众对表演者扮相角色的辨认靠的是脸谱。社火脸谱用日月纹、火纹、旋涡纹、蛙纹等纹饰的不同组合来表现人物的性格；并以色彩来表达人物的忠奸善恶，红为忠、白为奸、黑色为正、黄为残暴。

本次李继友创作的社火脸谱作品，将于6月8~10日发行，共发行6款，每款限量500份，集齐3份可获得一份同系列隐藏款脸谱藏品。（中国青年报）[2022/6/8 4:10:35]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价。

来源：金色财经

标签：COMUNDOMPCompoundCryptoindex.comFundYourselfNowfomp币最新消息Compounder

波场热门资讯