加载中 ...
首页 > 股票 > 区块链 > 正文

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

2020-12-04 09:01:12 来源:广东财经网

译者注:近日,Compounder.finance用户被盗走超过1200万美元的资金,让人吃惊的是,这次攻击事件的罪魁祸首并非黑客,而是项目方本身,这也是目前性质最恶劣的DeFi跑路事件,原文由rekt团队撰写。

这里是罪人的希望,因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt来到这里是为了照亮罪行,揭露攻击者的方法,而我们好以此为鉴。

Compounder.finance的网站及官方Twitter账户都被项目方删除了,而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ现在正忙着呢,我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时,他们似乎并不希望看到我们。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

“请不要发那样该死的内容,你真的吓到我了, weaker hands可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后,Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

其他受害者也向我们伸出援手,展示了他们与compounder管理者进行的早期交谈,并表达了他们的担忧。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

Solidity.finance告诉我们,他们仅与compounder管理员进行了简短交谈,他们确实审核了合约,并且他们在文档中指出,尽管资金池有一个时间锁(timelock)控制,但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录:

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

在我们调查的这个阶段,solidity.finance仍然是存在疑点的,我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

在阅读聊天记录时,我们注意到尽管帐户被删除了,但保留了一个用户名“ keccak”。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

尽管solidity.finance表示keccak已经删除了他们的帐户,但我们已经找到了他们的帐户,并正在尝试联系。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

不幸的是,Vlad不想通电话,所以我们给他们发了一条消息,但并没有期望他能够回应。

直到……

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

Vlad 准备好交谈了,不幸的是,他并不想合作。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

我们仍可以通过@keccak在Telegram上找到Vlad / keccak,但是他不再回应,并删除了他账户中的图片。

我们将他的旧头像附在此处,供大家参考和调查。

我们被告知,图中的狼来自一部著名的乌克兰动画片,上面写着“come by if something comes up”,而左边则是反核武器的海报。

不幸的是,这对受影响的用户并没有太多帮助。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

在认清Vlad不想谈话的情况后,我们访问了Compounder的官方电报群,而里面的人们都很欢迎我们。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

滚动浏览聊天内容时,我们看到了由官方跑路行为所引发的典型反应。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

即使是大玩家也遭到了这次跑路事件的重创,受害者们成立了一个调查小组(686名成员),其中带头人损失了100万美元,他们试图进行报仇。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

帖子可以在这里找到。

https://twitter.com/defiyield_info/status/1333731633393004545?s=20

统计数字

作为调查的一部分,我们找到了Solidity.finance以及来自Stake Capital的@vasa_develop,并要求他们合作创建一份完整的事后分析报告。

以下数据来自他们的报告。

被盗取的资产(8种):

8,077.540667 WEth (价值4,820,030美元);

1,300,610.936154161964594323 yearn: yCRV 金库(价值1,521,714.8美元);

0.016390153857154838 COMP (价值1.79美元);

105,102,172.66293264 Compound USDT (价值2,169,782.85美元);

97,944,481.39815207 Compound USD Coin (价值2,096,403.68美元);

1,934.23347357 Compound WBTC (价值744,396.89美元);

23.368131489683158482 Aave计息YFI (价值628650.174379401美元);

6,230,432.06773805 Compound Uniswap (价值466378.99美元);

跑路后,官方将资金转移到了以下这些钱包:

https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb2474 1,800,000 DAI ;

https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f0758 5,066,124.665456504419940414 DAI,39.05381415 WBTC,4.38347845834390477 CP3R,0.004842656997849285 COMP,0.000007146621650034 UNI-V2。

部署者通过Tornado.cash隐藏其资金来源,并向7个不同的地址发送了ETH,其中大部分都只有一笔交易 。然而,其中有一个地址在11月19日、20日、22日以及23日分别收到了4笔付款。该地址的大部分资金都来自一个持有超过100万KORE代币的地址(在跑路前,该地址只有1万 KORE代币)。

攻击分析

这次攻击事件的罪魁祸首,是项目方在完成审计后在其代码库中添加了7个恶意策略合约。

策略合约中的非恶意withdraw()函数如下所示:

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

注意,我们有了一些检查,比如:

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

这些检查在7份恶意策略合约中是缺失的。这允许控制者合约(由跑路策略师控制)从策略中提取资产。

(注意下面的恶意withdraw函数中缺失的检查)

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

完整的跑路过程可以分为4个步骤进行解释:

步骤1

Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。

步骤2

Compounder.Finance部署者通过Timelock(24小时)交易在StrategyController中设置并批准7个恶意策略。

步骤3

Compounder.Finance部署者(策略师)在StrategyController上调用inCaseStrategyTokenGetStuck(),它滥用了恶意策略的可操纵withdraw()函数,将策略中的代币转移到StrategyController,并对7种恶意策略都执行这种操作。

步骤4

Compounder.Finance部署者(策略师)在StrategyController上调用了inCaseTokensGetStuck() ,该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在,Compounder.Finance部署者完全控制了用户的资产,共计价值12,464,316.329美元。

资产已被转移到此处列出的多个地址。

感谢@vasa_develop提供的出色分析工作。

如果你是举报人,网络侦探或Etherscan侦探,并且你有线索贡献,请与我们联系。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

那应该怪谁?

经过我们的分析,我们知道这不是审计方的问题,他们尽职地完成了自己的任务,确保Compounder Finance不受外部攻击的影响,同时他们也在审计报告和聊天群中表达了他们的担忧。

也许他们本可以更明显地表达出这些担忧,但最终,最终责任还是在存储者的身上。

尽管Compounder.finance使用了时间锁来表明他们不会跑路,但现在我们知道,这种方法是不可信的。如果使用了它,则应建立一个自动警报系统或仪表板,以监控该地址的交易。

并且24小时的时间锁,似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是骗局,但几乎所有的骗局,都是来自匿名创始人的项目。作为一个社区,我们需要警惕这些项目,尤其是那些使用Tornado.cash来隐藏资金来源的项目。

此外,审计报告的存在,不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险,而不是内部攻击者,这也许是审计师需要改进的一个领域。

即使有审计、时间锁(timelock)以及燃烧掉的密钥,存储用户总是任由项目方的摆布,他们随时可能向市场投放大量的代币。

起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

来自Solidity.Finance的官方声明

“C3PR部署了新的“策略合约”,这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制,但我们警告说,这是不够的,因为谁会关注呢?他们在24小时前就通过这笔交易开始了这个改变:

5个小时前,他们盗走了资金。

我们主要关注的是来自外部的攻击,我们意识到了这种风险,但其只延迟了24小时,而没有人关注这些动作。”

我们都知道我们应该在投资前检查智能合约,但这里的知识壁垒很高,不是每个人都知道该找什么,那些知道的人,也没有动力去分享他们的发现。

在C3PR的例子中,知道的人很早就意识到了危险,而使跑路成为可能的代码总是存在的。

而这次C3PR跑路事件,卷走了超过1200万美元的用户资金,可以说是有史以来最大的defi跑路案。

“广东财经网”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与

我们联系删除或处理,客服邮箱1098101642@qq.com,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同

其观点或证实其内容的真实性。

  • 声音提醒
  • 60秒后自动更新
  • 【民政部回应何时恢复婚姻登记】民政部社会事务司二级巡视员杨宗涛表示,婚姻登记场所是人群聚集场所,部分地区暂停婚姻登记工作是对人民群众安全负责。未停止登记的地方推广用电话、网络、qq群预约登记,控制登记人数,分批分段登记,减少人员聚集和在登记机关停留时间。已停止婚姻登记地方将根据当地疫情控制情况逐渐恢复。

    15:54
  • 欧洲央行副行长金多斯:欧洲央行还没有达到逆转利率。宽松政策的副作用更明显了。

    15:54
  • 财经网站Forexlive分析师Justin Low评瑞士1月CPI月率:尽管通胀年率保持稳定,但核心通胀率有所下降,这一点令人更加担忧。这只是进一步巩固了瑞士央行维持现有货币政策不变,并可能在未来寻求更多宽松措施的观点。

    15:54
  • 【武汉两大批发市场商户开业率超过80%】商务部市场建设司司长朱小良10日称,目前武汉生活必需品供应基本正常,除冷鲜肉、鲜叶菜等少数品种存在结构性短缺外,大部分重要生活物资供应充足,未发生明显抢购或脱销断档情况。当地白沙洲和四季美两大批发市场正常营业,商户开业率超过80%,日交易量上升至3000吨以上。(国是直通车)

    15:53
  • 【日本2019年经常项目顺差增长4.4%】日本财务省10日发布的国际收支初步统计报告显示,主要受外国人入境游消费扩大影响,2019年日本经常项目顺差增长4.4%。报告显示,2019年日本经常项目顺差为20.06万亿日元(1美元约合109.8日元)。其中,商品贸易方面,由于液化天然气价格下跌等因素,进口下降5.6%至75.56万亿日元;由于汽车部件及钢铁等产品出口减少,出口下降6.3%至76.12万亿日元。货物贸易顺差减少53.8%,为5536亿日元。(新华社)

    15:53
  • 欧元兑美元EUR/USD短线波动不大,现报1.0952。

    15:53
  • 瑞士1月CPI年率:0.2%,前值:0.2%,预期:0.1%;瑞士1月CPI月率:-0.2%,前值:0%,预期:-0.2%。

    15:52
  • 英镑兑美元GBP/USD短线走低13点,现报1.2890。

    15:52
  • 【宁德时代“供电”国产特斯拉 有望拉低售价20%】全国乘联会秘书长崔东树分析认为,“随着特斯拉国产化率提升和产能爬坡,未来特斯拉国产车型的价格下探空间还是很大的。”他预计今年下半年,国产Model 3车型的售价就有望降至25万元,降幅接近20%。(新京报)

    15:51
  • 【内蒙古:对不裁员或少裁员企业返还上年度50%失业保险费】据内蒙古新型冠状病毒肺炎疫情防控工作指挥部消息,疫情期间,内蒙古对不裁员或少裁员的企业返还上年度实际缴纳失业保险费的50%,对面临暂时性经营困难的中小企业,返还标准提高到上年度6个月企业及其职工缴纳社会保险费的50%。

    15:51
  • 【商务部:2019年服务进出口总额54152.9亿元 同比增长2.8%】商务部新闻发言人表示,2019年,在服务贸易创新发展试点等政策的激励下,我国服务贸易总体保持平稳向上态势,逆差明显下降,结构显著优化,高质量发展成效初步显现。全年服务进出口总额54152.9亿元(人民币,下同),同比增长2.8%。其中,出口总额19564.0亿元,同比增长8.9%;进口总额34588.9亿元,同比减少0.4%。(第一财经)

    15:51
  • 【振华股份:疫情导致下游客户开工推迟 产品库存上升】振华化学公告,公司目前生产经营稳定,所有产能均正常开工,原材料采购能基本满足生产需要,由于疫情导致下游客户开工推迟,公司出货量减少,产品库存有所上升。公司将根据客户需求、疫情及市场变化,适度调整生产经营策略,尽可能保持生产经营的稳定。

    15:50
  • 环旭电子2月10日晚间公告,公司2020年1月合并营业收入为23.27亿元,较去年同期的合并营业收入减少27.83%,较2019年12月合并营业收入环比减少37.23%。

    15:49
  • 精测电子:与京东方集团签订了多份销售合同,合同累计金额达到6.96亿元。

    17:12
  • 华夏银行:银保监会同意本公司在全国银行间债券市场发行不超过100亿元人民币的金融债券,募集资金全部用于绿色信贷。

    17:03