Compound:首发 | CertiK：八千万人民币不翼而飞 Compounder.finance内部操作攻击分析

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？

在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。

Wormhole基金会运营主管：计划在今年年底前增加三个核心贡献团队:金色财经报道， Wormhole基金会运营主管Dan Reecer在TechCrunch+采访中表示，自黑客攻击以来，该公司加强了安全性，启动了两项价值 250 万美元的漏洞赏金计划，并让少数第三方公司进行了多次审计以解决关键问题。

Reecer 表示，该公司已经支付了几笔赏金，并计划在今年年底前增加三个核心贡献团队，这些团队将“以各种能力进行建设”。Reecer补充道，到目前为止，该公司已经确定了四个团队，并且可能会再增加一个团队。这些团队将专注于构建消息协议、零知识技术、业务开发、前端工具、区块链工具等。[2023/7/28 16:03:06]

经统计，Compounder.Finance最终共损失约价值8000万人民币的代币。

赵长鹏被彭博社评为通过“计算机驱动交易公司致富的25位金融巨头”之一:金色财经报道，币安首席执行官赵长鹏被彭博社评为通过“计算机驱动交易公司致富的25位金融巨头”之一，据彭博社报道，赵长鹏身价为 282 亿美元，他的大部分财富都是通过币安交易所赚取的，但按照福布斯富豪榜的估计，截至2023年4月26日，赵长鹏的身价为105亿美元。其他上榜的加密富豪包括对冲基金Citadel创始人Ken Griffin、OPNX交易所投资方Susquehanna创始人Jeff Yass、印度加密银行Kotak Mahindra Bank创始人Uday Kotak等。[2023/4/27 14:29:07]

攻击事件经过如下：

图一：inCaseTokenGetStuck()函数

人权活动专家敦促Meta为元宇宙引入年龄限制:金色财经报道，数十个倡导组织和互联网安全组织呼吁 Meta Corporation 停止允许未成年人进入 Horizo n Worlds metaverse 的计划。该公司于 2 月开始计划向 13 至 17 岁的用户开放其数字世界。目前，该应用程序仅适用于 18 岁。

活动人士认为，在已经处于早期发展阶段的元宇宙中，未成年人可能会面临骚扰和虐待。Meta 必须等待更多关于元宇宙潜在风险的研究，以确保儿童和青少年的安全。[2023/4/14 14:04:55]

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。

武汉：在区块链等数字经济领域发布一批应用场景创新重点任务:2月7日消息，武汉市人民政府印发《关于激发市场主体活力推动经济高质量发展的政策措施》。其中提出，推动企业转型升级。开展中小企业数字化转型试点，通过免费诊断、设备补贴、示范奖励等方式，推动“专精特新”中小企业数字化转型全覆盖。在人工智能、5G、工业互联网、区块链等数字经济领域，发布一批应用场景创新重点任务，对揭榜后经考核认定实施成功的，按照项目总投入 30% 的比例给予最高 200 万元资金支持。对武汉市年营业收入 500 万元及以上且年研发投入占年营业收入比例达到 15% 及以上的软件企业，按照不超过企业年研发投入的 10% 给予最高 100 万元补助。推动企业研发政策应享尽享，落实好科技型中小企业研发费用加计扣除政策。[2023/2/7 11:50:45]

调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

ETC本月涨幅达184%，市场猜测“以太坊合并将导致矿工转向ETC”:7月29日消息，CoinDesk数据显示，Ethereum Classic（ETC）本月上涨184%，而Polygon（MATIC）的涨幅为102%，Uniswap（UNI）的涨幅为86%，BTC的涨幅为20%，ETH的涨幅为60%。加密市场总市值已从上月的7628.2亿美元低点反弹至1.14万亿美元。此外，ETC今日在主流交易所的价格一度突破45美元。

以太坊即将进行的“合并”似乎推动ETC价格反弹。IntoTheBlock研究负责人Lucas Outumuro表示，“ETC价格受到ETH矿工将转向ETC的猜测推动，而且可能会是另一个对他们有利的硬分叉。”

数据显示，在过往以太坊升级前后的时间里，ETC经常会出现较大涨幅，比如在2021年4月以太坊柏林硬分叉升级期间。

Messari研究分析师Sami Kassab最近在研究报告中指出，“以太坊的挖矿网络由两种类型的硬件组成：ASIC和GPU。ASIC的问题在于，除了挖ETH之外，它们不能被重新用于不同的应用。Ethereum Classic是唯一可以用ETH ASIC挖矿的其他PoW代币，因其哈希算法与ETH的算法兼容。”（CoinDesk）[2022/7/29 2:46:33]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

图三:?项目管理者盗取代币的交易举例

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价。

来源：金色财经

标签：COMOMPCompoundCOMPcomp币中文名comp币历史最高价格compound币最新消息Compound Augur

火星币热门资讯