UND:首發 | CertiK：八千萬人民幣不翼而飛 Compounder.finance內部操作攻擊分析_ThunderCore

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？

在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。

CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

全球首顆在軌可視化區塊鏈衛星成功發射:金色財經報道，7月22日13時07分，“泰安號”（星時代-16）衛星搭載谷神星一號遙六運載火箭，于中國酒泉衛星發射中心成功發射入軌，這是全球首顆在軌可視化區塊鏈衛星，也標志著國星宇航第12次太空任務順利完成，星時代AI衛星星座組網進程在2023年穩步推進。

本次衛星平臺搭載的國星宇航自主研發的創新型可視化區塊鏈在軌存證系統，實現在軌可視化區塊鏈多重簽名認證、在軌視頻可視化播錄、在軌可視化遙感數據存證確權等功能，打造區塊鏈與空間技術的深度融合，將應用于金融與政務服務等行業。[2023/7/23 15:53:32]

經統計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

攻擊事件經過如下：

ETH 2.0總質押數已超1752.36萬:金色財經報道，數據顯示，ETH 2.0總質押數已超1752.36萬，為17523586個，按當前市場價格，價值約247.38億美元。此外，目前ETH 2.0質押總地址數已超56.32萬，為563229個。[2023/3/12 12:58:57]

圖一：inCaseTokenGetStuck()函數

Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

ThreeBody項目遭受閃電貸攻擊，官方社交媒體賬號早已不活躍:1月12日消息，據CertiK監測，ThreeBody項目遭受一次閃電貸攻擊，被盜資金總額約為3000美元。自2021年11月以來，該項目在推特上一直不活躍，官方Telegram也被刪除。

BSC合約地址為0x24c78E5ddf7576F6e0bC6BE9C4Db0FB043E34624。[2023/1/12 11:08:01]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:?項目管理者盜取代幣的交易舉例

項目管理者盜取代幣的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

美股三大指數集體收跌，標普500指數跌2.51%:金色財經報道，美股三大指數集體收跌，納指跌3.36%，標普500指數跌2.51%，道指跌1.55%。[2022/11/3 12:11:05]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

D/Bond提出的提案EIP-3475通過，可用于在以太坊上發行債券:8月25日消息，去中心化債券生態平臺D/Bond提出的EIP-3475提案已獲得通過，并被接受為一種新的API標準ERC-3475。

該EIP允許創建具有抽象鏈上元數據存儲的代幣化憑證，使每個債券類別ID代表一個新的可配置代幣類型并對應于每個類別，使得發行具有多種贖回數據的債券成為可能。在ERC-3475標準下，可以創建傳統債券和金融衍生品，如期貨和期權。[2022/8/25 12:47:21]

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價。

來源：金色財經

Tags：COMPUNDOMPCompoundCompactThunderCoreInternet Computer(Dfinity)Compounder

火幣APP下載