译者注:近日,Compounder.finance用户被盗走超过1200万美元的资金,让人吃惊的是,这次攻击事件的罪魁祸首并非黑客,而是项目方本身,这也是目前性质最恶劣的DeFi跑路事件,原文由rekt团队撰写。
这里是罪人的希望,因为他们的罪过在匿名斗篷的保护下被遗忘了。
Rekt来到这里是为了照亮罪行,揭露攻击者的方法,而我们好以此为鉴。
Compounder.finance的网站及官方Twitter账户都被项目方删除了,而一份完整的安全审计报告为我们的调查提供了唯一的线索。
RektHQ现在正忙着呢,我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时,他们似乎并不希望看到我们。
“请不要发那样该死的内容,你真的吓到我了,weakerhands可能会报告这件事或一些狗屎。”
在我们提供了一些保证之后,Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。
Arkham:空投已于7月8日快照,将于7月18日开放申领:7月10日消息,Arkham官方宣布,ARKM空投已于7月8日快照,将于7月18日开放申领。用户可通过Arkham平台邀请仪表板输入以太坊地址以申领空投,女巫攻击者账户已被标记,将不再有资格申领。[2023/7/11 10:46:56]
其他受害者也向我们伸出援手,展示了他们与compounder管理者进行的早期交谈,并表达了他们的担忧。
Solidity.finance告诉我们,他们仅与compounder管理员进行了简短交谈,他们确实审核了合约,并且他们在文档中指出,尽管资金池有一个时间锁控制,但这个时间锁并没有提供任何保护。
以下内容来自他们的聊天记录:
在我们调查的这个阶段,solidity.finance仍然是存在疑点的,我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。
浙江:鼓励平台企业运用区块链等创新技术打造面向未来的多元应用场景:金色财经报道,浙江印发《关于促进平台经济高质量发展的实施意见》,鼓励平台经济未来场景创新。鼓励平台企业运用区块链、数字孪生、扩展现实等创新技术打造面向未来的多元应用场景。加快构筑元宇宙未来产业新优势,支持多元化主体建设元宇宙综合试验平台,加强元宇宙在多场景中的应用,全方位推进元宇宙产业链条化、规模化、国际化。鼓励平台企业参与数字人民币试点,深化在零售交易、生活缴费、政务服务等场景试点应用。支持平台企业参与智慧城市建设,实施社区、楼宇、园区等区域智能服务改造建设工程,打造智慧商圈、智慧街区和未来社区。支持平台企业为重点产业、特定场景提供数字化转型技术和服务。鼓励平台企业依法依规构建“生产服务 + 商业模式 + 金融服务”的平台体系,规范发展供应链金融服务。[2023/7/8 22:25:07]
在阅读聊天记录时,我们注意到尽管帐户被删除了,但保留了一个用户名“keccak”。
尽管solidity.finance表示keccak已经删除了他们的帐户,但我们已经找到了他们的帐户,并正在尝试联系。
?Magic Eden将在3月份推出一系列免费的Web3游戏:金色财经报道,NFT市场Magic Eden将在3月份推出一系列免费的Web3游戏,这次发布被称为“Mint Madness”,这是致敬被称为“March Madness”的NCAA大学篮球锦标赛,该平台总共将免费推出13款横跨以太坊、Solana和Polygon区块链的Web3游戏。为了提高参与度,Magic Eden将在其社交媒体渠道上发布Mint Madness系列顶级NFT交易者的排行榜。Polygon系列交易量排名前10位的交易员将进入20,000MATIC(约合25,500美元)的奖池,第一名获胜者将获得4,500MATIC(约合5,400美元)的奖金。[2023/3/2 12:37:24]
不幸的是,Vlad不想通电话,所以我们给他们发了一条消息,但并没有期望他能够回应。
直到……
Vlad准备好交谈了,不幸的是,他并不想合作。
我们仍可以通过@keccak在Telegram上找到Vlad/keccak,但是他不再回应,并删除了他账户中的图片。
我们将他的旧头像附在此处,供大家参考和调查。
我们被告知,图中的狼来自一部著名的乌克兰动画片,上面写着“comebyifsomethingcomesup”,而左边则是反核武器的海报。
不幸的是,这对受影响的用户并没有太多帮助。
涉1000亿韩元欺诈案的Bithumb前董事长一审被判无罪:1月3日消息,韩国首尔中央地方法院刑事法庭在涉嫌1000亿韩元欺诈诉讼案一审中,对被告Bithumb前董事长Lee Jeong-hoon宣告无罪。此前10月份消息,韩国检方要求法院判处Bithumb实际所有者Lee Jeong-hoon 8年监禁。[2023/1/3 22:23:06]
在认清Vlad不想谈话的情况后,我们访问了Compounder的官方电报群,而里面的人们都很欢迎我们。
滚动浏览聊天内容时,我们看到了由官方跑路行为所引发的典型反应。
即使是大玩家也遭到了这次跑路事件的重创,受害者们成立了一个调查小组,其中带头人损失了100万美元,他们试图进行报仇。
帖子可以在这里找到。
统计数字
作为调查的一部分,我们找到了Solidity.finance以及来自StakeCapital的@vasa_develop,并要求他们合作创建一份完整的事后分析报告。
消息人士:SBF可能从马斯克的推特收购中套现1亿美元:金色财经报道,一位消息人士表示,FTX首席执行官Sam Bankman-Fried拥有Twitter的5000万至1亿美元的股份。SBF曾计划参与马斯克对Twitter的收购,但最终没有投资。
在周四完成收购之前,这位交易所高管拥有这家社交媒体巨头价值约5000万至1亿美元的股票。马斯克为将Twitter私有化支付了440亿美元,这使得SBF的股份约为0.1%至0.2%。SBF可能会从Elon Musk对Twitter的收购中最多套现1亿美元。目前FTX拒绝对此发表评论,Twitter没有回应评论请求。(the block)[2022/10/31 11:58:47]
以下数据来自他们的报告。
被盗取的资产:
8,077.540667WEth;
1,300,610.936154161964594323yearn:yCRV金库;
0.016390153857154838COMP;
105,102,172.66293264CompoundUSDT;
97,944,481.39815207CompoundUSDCoin;
1,934.23347357CompoundWBTC;
23.368131489683158482Aave计息YFI;
6,230,432.06773805CompoundUniswap;
跑路后,官方将资金转移到了以下这些钱包:
https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI;
https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI,39.05381415WBTC,4.38347845834390477CP3R,0.004842656997849285COMP,0.000007146621650034UNI-V2。
部署者通过Tornado.cash隐藏其资金来源,并向7个不同的地址发送了ETH,其中大部分都只有一笔交易。然而,其中有一个地址在11月19日、20日、22日以及23日分别收到了4笔付款。该地址的大部分资金都来自一个持有超过100万KORE代币的地址。
攻击分析
这次攻击事件的罪魁祸首,是项目方在完成审计后在其代码库中添加了7个恶意策略合约。
策略合约中的非恶意withdraw函数如下所示:
注意,我们有了一些检查,比如:
这些检查在7份恶意策略合约中是缺失的。这允许控制者合约从策略中提取资产。
完整的跑路过程可以分为4个步骤进行解释:
步骤1
Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。
步骤2
Compounder.Finance部署者通过Timelock交易在StrategyController中设置并批准7个恶意策略。
步骤3
Compounder.Finance部署者在StrategyController上调用inCaseStrategyTokenGetStuck(),它滥用了恶意策略的可操纵withdraw函数,将策略中的代币转移到StrategyController,并对7种恶意策略都执行这种操作。
步骤4
Compounder.Finance部署者在StrategyController上调用了inCaseTokensGetStuck(),该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在,Compounder.Finance部署者完全控制了用户的资产,共计价值12,464,316.329美元。
资产已被转移到此处列出的多个地址。
感谢@vasa_develop提供的出色分析工作。
如果你是举报人,网络侦探或Etherscan侦探,并且你有线索贡献,请与我们联系。
那应该怪谁?
经过我们的分析,我们知道这不是审计方的问题,他们尽职地完成了自己的任务,确保CompounderFinance不受外部攻击的影响,同时他们也在审计报告和聊天群中表达了他们的担忧。
也许他们本可以更明显地表达出这些担忧,但最终,最终责任还是在存储者的身上。
尽管Compounder.finance使用了时间锁来表明他们不会跑路,但现在我们知道,这种方法是不可信的。如果使用了它,则应建立一个自动警报系统或仪表板,以监控该地址的交易。
并且24小时的时间锁,似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是局,但几乎所有的局,都是来自匿名创始人的项目。作为一个社区,我们需要警惕这些项目,尤其是那些使用Tornado.cash来隐藏资金来源的项目。
此外,审计报告的存在,不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险,而不是内部攻击者,这也许是审计师需要改进的一个领域。
即使有审计、时间锁以及燃烧掉的密钥,存储用户总是任由项目方的摆布,他们随时可能向市场投放大量的代币。
来自Solidity.Finance的官方声明
“C3PR部署了新的“策略合约”,这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制,但我们警告说,这是不够的,因为谁会关注呢?他们在24小时前就通过这笔交易开始了这个改变:
5个小时前,他们盗走了资金。
我们主要关注的是来自外部的攻击,我们意识到了这种风险,但其只延迟了24小时,而没有人关注这些动作。”
我们都知道我们应该在投资前检查智能合约,但这里的知识壁垒很高,不是每个人都知道该找什么,那些知道的人,也没有动力去分享他们的发现。
在C3PR的例子中,知道的人很早就意识到了危险,而使跑路成为可能的代码总是存在的。
而这次C3PR跑路事件,卷走了超过1200万美元的用户资金,可以说是有史以来最大的defi跑路案。
12月5日,2020世界区块链大会·武汉正式在武汉国际会展中心开幕。大会由巴比特主办,并得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持.
1900/1/1 0:00:00总部位于马萨诸塞州的保险公司万通刚刚宣布,已为其普通投资账户购买了1亿美元的比特币。根据《华尔街日报》的报道,美国万通通过纽约基金管理公司NYDIG以18279美元的单价购买了5470个比特币.
1900/1/1 0:00:00本篇文章为Polkadot社区志愿者组织提供的第二篇文章。众所周知波卡的平行链插槽数量是有限的,因而项目方想要成为波卡的平行链,必须要抵押DOT,和其他项目方一起竞争插槽的使用权,我们把平行链插.
1900/1/1 0:00:0012月5日,“相信未来--2020世界区块链大会·武汉”在武汉国际会展中心正式开幕。本次大会由巴比特主办,得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持.
1900/1/1 0:00:00作者:邓建鹏一、引言2017年9月4号中国人民银行联合中央网信办、工业和信息化部、工商总局等部委出台《关于防范代币发行融资风险的公告》,禁止在国内设立虚拟货币交易平台,为投资者提供交易服务.
1900/1/1 0:00:00原标题:《巨鲸灰度的阳谋》北京时间12月3日晚,灰度信托举行了线上投资人大会,摩根大通、巴伦集团、万事达卡等知名机构高管出席,给外界传递出资本大鳄共商加密行业未来的想象.
1900/1/1 0:00:00