首發 | CertiK：八千萬人民幣不翼而飛 Compounder.finance內部操作攻擊分析_COMP:COMP價格

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？

在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。

CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

某巨鯨花費1,000枚ETH購買2800萬枚BALD，損失約34萬美元:金色財經報道，據Lookonchain監測，昨日花費500枚ETH購買1360萬枚BALD的巨鯨在9小時前再次花費了500枚ETH(93.8萬美元)購買了1445萬枚BALD。

該巨鯨累計花費1,000枚ETH(187萬美元)購買2800萬枚BALD，平均購買價格約為0.067美元。以當前價格計算，損失了約34萬美元。[2023/7/31 16:08:20]

經統計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

攻擊事件經過如下：

圖一：inCaseTokenGetStuck()函數

Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

幣安將向土耳其地震地區的用戶空投價值100美元的BNB:2月7日消息，為了應對近期土耳其地震造成的破壞，幣安宣布將向所有被確定居住在受災最嚴重地區的幣安用戶空投價值 100 美元（1883 土耳其里拉）的 BNB。用戶身份的確定將基于 2 月 6 日之前在地震產生重大影響的 10 個城市完成的地址證明 (POA)，包括：Kahramanmara?、Kilis、Diyarbak?r、Adana、Osmaniye、Gaziantep、?anl?urfa、Ad?yaman、Malatya 和 Hatay。估計捐款總額將約為 500 萬美元（或 94,000,000 土耳其里拉）。[2023/2/8 11:53:17]

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

數據：只有8%的美國人對加密貨幣持正面看法，遠低于3月份的19%:金色財經報道，CNBC全美經濟調查數據顯示，截至11月底，只有8%的美國人對加密貨幣持正面看法，遠低于3月份的19%，而對加密貨幣持負面看法的人迅速增長，從3月份的25%增加到11月的43%。[2022/12/8 21:30:40]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:?項目管理者盜取代幣的交易舉例

項目管理者盜取代幣的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

CryptoPunks交易總額突破23億美元:金色財經報道，據cryptoslam最新數據顯示，CryptoPunks NFT系列交易總額已突破23億美元，創下歷史新高，本文撰寫時達到2,302,606,670美元，交易量為21,696筆。不過，CryptoPunks交易額依然落后于“無聊猿”BAYC，后者當前交易額為2,313,594,450美元。[2022/7/10 2:03:01]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

國際貨幣基金組織推薦生態友好型CBDC和非PoW支付機制:金色財經報道，在題為“數字貨幣和能源消耗”的研究中，國際貨幣基金組織根據其獨特的設計元素檢查了加密資產的能源消耗，以評估開發的理想機制中央銀行數字貨幣（CBDC）。基金組織分享了圍繞數字貨幣對環境影響的政策討論的基礎，建議放棄基于工作量證明的分布式賬本技術應用，并補充說：尤其是比特幣，這種類型中最著名的應用，估計每年消耗大量能源（約 144 TWh [太瓦時]）。盡管可擴展性解決方案降低了每筆交易的能源成本，但它們并沒有減少整體能源支出。然而，與傳統金融系統相比，該國際組織承認非 PoW 許可加密資產帶來的高能效：相對于現有支付系統，非 PoW 許可的加密資產減少能源消耗的潛力來自于核心處理架構和用戶支付方式的節能。除了環保成分外，IMF 建議中央銀行在 CBDC 中加入其他功能，例如合規性、更高的彈性和離線能力。（cointelegraph）[2022/6/9 4:12:11]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價。

來源：金色財經

Tags：COMPCompoundOMPUNDCOMP價格Compound幣圈OMP幣CITEX Fund Token

幣安下載