木星链 木星链
Ctrl+D收藏木星链

COM:起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

作者:

时间:1900/1/1 0:00:00

译者注:近日,Compounder.finance用户被盗走超过1200万美元的资金,让人吃惊的是,这次攻击事件的罪魁祸首并非黑客,而是项目方本身,这也是目前性质最恶劣的DeFi跑路事件,原文由rekt团队撰写。

这里是罪人的希望,因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt来到这里是为了照亮罪行,揭露攻击者的方法,而我们好以此为鉴。

Compounder.finance的网站及官方Twitter账户都被项目方删除了,而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ现在正忙着呢,我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时,他们似乎并不希望看到我们。

“请不要发那样该死的内容,你真的吓到我了,weakerhands可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后,Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。

其他受害者也向我们伸出援手,展示了他们与compounder管理者进行的早期交谈,并表达了他们的担忧。

火币第六期投票上币活动初赛投票期已开启:据官方消息,火币第六期投票上币活动火热进行中,初赛投票期已于 6月26日20:00(UTC+8)开启。本次投票活动分为预热拉票期、初赛投票期、决赛投票期三个阶段,自6月20日20:00(UTC+8)起,分别持续时间为6天、2天、2天。随着预热拉票期的结束,本次活动即刻进入初赛投票期阶段。

据火币官方公告显示,本次入选的项目共有21个,持有“火箭”即可参与投票,票数排名第一的项目将在火币开启交易服务。[2023/6/27 22:02:47]

Solidity.finance告诉我们,他们仅与compounder管理员进行了简短交谈,他们确实审核了合约,并且他们在文档中指出,尽管资金池有一个时间锁控制,但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录:

在我们调查的这个阶段,solidity.finance仍然是存在疑点的,我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。

在阅读聊天记录时,我们注意到尽管帐户被删除了,但保留了一个用户名“keccak”。

尽管solidity.finance表示keccak已经删除了他们的帐户,但我们已经找到了他们的帐户,并正在尝试联系。

Input Output推出用于在Cardano上开发自定义侧链的工具包:1月13日消息,据官方博客,Cardano开发团队Input Output宣布推出一个用于在Cardano上开发自定义侧链的工具包。官方使用该工具包构建了一个与EVM兼容的侧链公共测试网作为概念证明,侧链使Cardano可扩展且更具可扩展性,而不会影响主链的稳定性或安全性。EVM侧链应用程序仍在审核中,它将在1月下旬作为公共测试网提供。

该工具包允许侧链拥有自己的共识算法和功能。侧链通过允许链间资产转移的桥梁连接到主链,区块的最终性是通过依赖于主链安全的共识机制来确定的。区块链开发人员、DApp开发人员、权益池运营商 (SPO)和DApp用户都可以从自定义侧链中受益。对于DApp开发人员,自定义侧链在互操作性、可扩展性、可测试性和兼容性方面具有优势。[2023/1/13 11:09:58]

不幸的是,Vlad不想通电话,所以我们给他们发了一条消息,但并没有期望他能够回应。

直到……

Vlad准备好交谈了,不幸的是,他并不想合作。

我们仍可以通过@keccak在Telegram上找到Vlad/keccak,但是他不再回应,并删除了他账户中的图片。

Web3数字艺术家:美联储降息将刺激NFT市场反弹:金色财经报道,Web3数字艺术家Ovie Faruq表示,美联储降息将刺激NFT市场反弹。Faruq曾在巴克莱银行担任信用衍生品交易员,他表示:“大多数NFT市场已经意识到这是一种混合资产,它与加密相关,加密与纳斯达克相关,后者与全球金融市场相关。因此,一旦美联储降低利率,股票将有反弹的空间,从而为数字收藏品提供再次上涨的跑道。”

此前消息,根据区块链数据追踪机构CryptoSlam的数据,11月份全球NFT销售额从1月份的峰值50亿美元下降了89%。[2022/12/31 22:17:24]

我们将他的旧头像附在此处,供大家参考和调查。

我们被告知,图中的狼来自一部著名的乌克兰动画片,上面写着“comebyifsomethingcomesup”,而左边则是反核武器的海报。

不幸的是,这对受影响的用户并没有太多帮助。

在认清Vlad不想谈话的情况后,我们访问了Compounder的官方电报群,而里面的人们都很欢迎我们。

滚动浏览聊天内容时,我们看到了由官方跑路行为所引发的典型反应。

即使是大玩家也遭到了这次跑路事件的重创,受害者们成立了一个调查小组,其中带头人损失了100万美元,他们试图进行报仇。

数据:USDC流通量在过去一周减少17亿美元:金色财经报道,据官方消息,10月13日至10月20日期间,Circle共发行22亿美元USDC,赎回38亿美元USDC,流通量减少约17亿美元。截至10月20日,USDC总流通量为440亿美元,储备量为442亿美元,其中现金85亿美元,短期美国国债357亿美元。[2022/10/23 16:35:37]

帖子可以在这里找到。

https://twitter.com/defiyield_info/status/1333731633393004545?s=20

统计数字

作为调查的一部分,我们找到了Solidity.finance以及来自StakeCapital的@vasa_develop,并要求他们合作创建一份完整的事后分析报告。

以下数据来自他们的报告。

被盗取的资产:

8,077.540667WEth;

1,300,610.936154161964594323yearn:yCRV金库;

0.016390153857154838COMP;

Allinfra获得野村证券领投的600 万美元A 轮融资:金色财经报道,气候科技初创公司 Allinfra 在由野村证券领投的 A 轮融资中筹集了 600万美元。新获得的资金将用于扩大公司可持续发展数据管理软件 Allinfra Climate 和资产代币化平台 Allinfra Digital 的产品开发和销售资源,从而将 Allinfra 的产品扩展到更多行业和用例的客户。野村批发数字办公室首席运营官 Oliver Dang 表示,该机构将部署 Alinfra 的技术,在气候金融市场开发和分销数字资产产品(finextra)[2022/5/26 3:42:35]

105,102,172.66293264CompoundUSDT;

97,944,481.39815207CompoundUSDCoin;

1,934.23347357CompoundWBTC;

23.368131489683158482Aave计息YFI;

6,230,432.06773805CompoundUniswap;

跑路后,官方将资金转移到了以下这些钱包:

https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI;

https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI,39.05381415WBTC,4.38347845834390477CP3R,0.004842656997849285COMP,0.000007146621650034UNI-V2。

部署者通过Tornado.cash隐藏其资金来源,并向7个不同的地址发送了ETH,其中大部分都只有一笔交易。然而,其中有一个地址在11月19日、20日、22日以及23日分别收到了4笔付款。该地址的大部分资金都来自一个持有超过100万KORE代币的地址。

攻击分析

这次攻击事件的罪魁祸首,是项目方在完成审计后在其代码库中添加了7个恶意策略合约。

策略合约中的非恶意withdraw函数如下所示:

注意,我们有了一些检查,比如:

这些检查在7份恶意策略合约中是缺失的。这允许控制者合约从策略中提取资产。

完整的跑路过程可以分为4个步骤进行解释:

步骤1

Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。

步骤2

Compounder.Finance部署者通过Timelock交易在StrategyController中设置并批准7个恶意策略。

步骤3

Compounder.Finance部署者在StrategyController上调用inCaseStrategyTokenGetStuck(),它滥用了恶意策略的可操纵withdraw函数,将策略中的代币转移到StrategyController,并对7种恶意策略都执行这种操作。

步骤4

Compounder.Finance部署者在StrategyController上调用了inCaseTokensGetStuck()?,该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在,Compounder.Finance部署者完全控制了用户的资产,共计价值12,464,316.329美元。

资产已被转移到此处列出的多个地址。

感谢@vasa_develop提供的出色分析工作。

如果你是举报人,网络侦探或Etherscan侦探,并且你有线索贡献,请与我们联系。

那应该怪谁?

经过我们的分析,我们知道这不是审计方的问题,他们尽职地完成了自己的任务,确保CompounderFinance不受外部攻击的影响,同时他们也在审计报告和聊天群中表达了他们的担忧。

也许他们本可以更明显地表达出这些担忧,但最终,最终责任还是在存储者的身上。

尽管Compounder.finance使用了时间锁来表明他们不会跑路,但现在我们知道,这种方法是不可信的。如果使用了它,则应建立一个自动警报系统或仪表板,以监控该地址的交易。

并且24小时的时间锁,似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是局,但几乎所有的局,都是来自匿名创始人的项目。作为一个社区,我们需要警惕这些项目,尤其是那些使用Tornado.cash来隐藏资金来源的项目。

此外,审计报告的存在,不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险,而不是内部攻击者,这也许是审计师需要改进的一个领域。

即使有审计、时间锁以及燃烧掉的密钥,存储用户总是任由项目方的摆布,他们随时可能向市场投放大量的代币。

来自Solidity.Finance的官方声明

“C3PR部署了新的“策略合约”,这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制,但我们警告说,这是不够的,因为谁会关注呢?他们在24小时前就通过这笔交易开始了这个改变:

5个小时前,他们盗走了资金。

我们主要关注的是来自外部的攻击,我们意识到了这种风险,但其只延迟了24小时,而没有人关注这些动作。”

我们都知道我们应该在投资前检查智能合约,但这里的知识壁垒很高,不是每个人都知道该找什么,那些知道的人,也没有动力去分享他们的发现。

在C3PR的例子中,知道的人很早就意识到了危险,而使跑路成为可能的代码总是存在的。

而这次C3PR跑路事件,卷走了超过1200万美元的用户资金,可以说是有史以来最大的defi跑路案。

标签:COMOMPCOMPCompoundYINCOME币compound币最新消息comp币价格今日行情Compounder

pepe最新价格热门资讯
MIC:MicroStrategy CEO:比特币的经历与勒布朗詹姆斯类似

MicroStrategy首席执行官MichaelSaylor表示,2017年比特币波动太大,存在风险,因为它是处于初期阶段的一种资产,因此有可能降至零.

1900/1/1 0:00:00
区块链:世界区块链大会·武汉丨趣链科技CEO 李伟:区块链产业一定要结合物联网,必须很多产业进行配合

2020年12月5日上午9点,2020世界区块链大会·武汉正式在武汉国际会展中心开幕。大会由巴比特主办,并得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持.

1900/1/1 0:00:00
比特币:金色观察丨加密货币牛市到来 Coinbase却要转型了?

金色财经?区块链12月4日讯??近日,美国合规加密货币交易所Coinbase表示,一系列的原因引发了加密货币市场看涨,其中最主要的一个就是机构投资者入场导致大量资本涌入.

1900/1/1 0:00:00
比特币:易天说:12-5比特币继续走空,何时转多?

2020-12-5早间8点27分***************易天随笔***************易天V:APHZ8705BTC分析:从日线裸K图中可以看出,短时间内依然有回调趋势.

1900/1/1 0:00:00
区块链:关于ZT恢复BITP充提的公告

尊敬的ZT用户:BITP节点维护已完成,ZT现已恢复BITP充提业务。暂停期间由此给您带来的不便敬请谅解.

1900/1/1 0:00:00
火币全球站完成XZC更名并将于12月3日16:00开放FIRO币币交易

尊敬的用户:火币全球站现已完成XZC更名,请登录查看更名后的资产。火币全球站定于2020年12月3日16:00(GMT8)开放FIRO(Firo)充币业务,提币业务和币币交易业务.

1900/1/1 0:00:00