NCE:CertiK：八千万人民币不翼而飞，Compounder.finance内部操作攻击分析

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。但有一种情况是例外.....北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生数笔大额交易。CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。经统计，Compounder.Finance最终共损失约价值八千万人民币的代币。攻击事件经过如下：

Balancer收到白帽黑客披露的Synthetix生态代币等相关漏洞报告，目前用户资金安全:5月14日消息，Balancer Labs发推表示，今日某白帽黑客通过Web3漏洞赏金平台Immunefi披露Balancer相关漏洞，Balancer官方收到一个潜在可利用场景的通知，没有用户资金处于危险之中。

其中漏洞场景涉及double entry-point ERC20代币，包括但不限于Synthetix生态代币（SNX 和 sBTC 等）以及Balancer闪电贷。Synthetix团队正考虑在下周升级合约，以成功移除double entry-point，并允许代币返回金库，而无需 LP 的任何干预。此中等严重性错误报告将导致资金因从 V2 Vault 转出而被暂时冻结，没有看到这种漏洞导致实际盗窃的途径。[2022/5/14 3:16:03]

NFT游戏项目Illuvium通过BalancerLBP筹集到3800万美元:4月3日消息，NFT游戏项目Illuvium已通过BalancerLBP筹集到3800万美元，期间交易量达到9000万美元。此前报道，Illuvium于UTC时间3月30日15时通过BalancerLBP开启为期72小时的代币分配活动，共计划发行100万个ILV代币，初始价格为50美元。[2021/4/3 19:43:24]

图一：inCaseTokenGetStuck()函数Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

Cere Network和DaoMaker达成战略合作 将在DaoMaker上发行部分公募:3月19日消息，波卡生态去中心化数据云平台Cere Network发布官方推文透露与DaoMaker达成战略合作，根据该预告视频，Cere Network将在DaoMaker平台上首次发行部分公募。[2021/3/19 18:59:16]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

动态 | “更新regproducer李嘉图合约”的提案已通过:今日，EOS42 发起的提案“更新regproducer李嘉图合约”已通过并顺利执行。该提案通过 regproducer 合约中约定的标准来实现出块节点问责制，其最终目标是为了确保基础设施的性能能够具备稳定性，能够为 dApps 提供可靠的支持，并且为 EOS 区块链提供保护。 （IMEOS）[2019/8/11]

图三:项目管理者盗取代币的交易举例项目管理者盗取代币的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：1.当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。2.投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！

声音 | Larry Cermak：比特币死亡螺旋基本不可能:The Block首席分析师Larry Cermak在twitter上表示，比特币12月3日迎来自ASIC矿机以来最大幅度的挖矿难度下降，难度将到4个月新低，但仍然是2018年1月的2倍。挖矿难度紧随着算力变动，算力下降，难度也会紧随着调整。因此，比特币死亡螺旋严重不可能。[2018/12/4]

标签：ANCNCEOMPCompoundPopsicle FinanceWick FinanceFOMP币Compound Wrapped BTC

Polygon热门资讯