区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > MATIC > 正文

OMP:首发 | CertiK:八千万人民币不翼而飞 Compounder.finance内部操作攻击分析_Compound

作者:

时间:

八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?

在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。

数据:Web3浏览器Opera市场份额达2.74%:9月2日消息,据statcounter数据显示,截至2023年8月,Web3浏览器Opera占全球浏览器市场份额2.74%,排名第五。Chrome浏览器占比63.56%,Safari浏览器占比19.85%,微软Edge浏览器占比5.43%,Firefox浏览器占比2.94%,三星Internet占比2.33%。[2023/9/4 13:16:11]

经统计,Compounder.Finance最终共损失约价值8000万人民币的代币。

攻击事件经过如下:

图一:inCaseTokenGetStuck()函数

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。

超4000万枚APE将于本周解锁,价值约1.79亿美元:金色财经报道,3月13日,据TokenUnlocks数据显示,本周(3月13日至3月19日)以下Token即将迎来解锁,其中:

3月14日23:00:00,有6,520,128枚DYDX(约合1434万美元)解锁,占总供应量0.652%;

3月15日8:00:00,有187,500,000枚BIT(约合9468万美元)解锁,占总供应量1.951%;

3月15日9:18:29,有107,723枚ELU(约合64.7万美元)解锁,占总供应量0.396%;

3月16日20:00:00,有192,307枚GAL(约合29.6万美元)解锁,占总供应量0.096%;

3月17日8:00:00,有40,601,326枚APE(约合1.79亿美元)解锁,占总供应量4.06%;[2023/3/13 13:00:21]

调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。

被窃BAYC“下水道通行证”#12097以2.34 ETH在OpenSea售出:金色财经报道,据PeckShield监测显示,被窃的BAYC“下水道通行证”Sewer Pass #12097已经在OpenSea上以2.34 ETH的价格被售出,但交易完成后该NFT就被打上标记。[2023/3/2 12:39:12]

图二:Compounder.Finance:StrategyControllerV1中strategist角色地址

图三:?项目管理者盗取代币的交易举例

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价。

来源:金色财经

标签:COMPOMPCompoundCOMCompound USDTCardano Comics

MATIC热门资讯
PIB:Filecoin到底做对了什么?_比特币坑了多少中国人

IPFS很早之前就出现了,等到Filecoin出现后,才引发了市场巨大关注。Filecoin到底做对了什么呢?Filecoin一经推出便获得瞩目,而IPFS推出之后并没有如此之大的反响.

PIB:冯鸿运:12.2贵金属黄金最新短线趋势黄金白银未来趋势分析及操作布局_COIN

  黄金技术分析:      金价经过长时间的震荡式反弹后,突破了1790的压力位置,抵达1792附近,1790是下跌1765前起跌的位置,而除了这个点,另一个位置则是在1800顶底转换的位置.

ECO:王谦讳:12.3黄金早盘行情解析及操作建议_IoTcoin

黄金走势分析: 黄金日线来分析:震荡上涨,收复一周跌势重新站上1800关口上方,MACD有形成金叉之势,绿色能力值缩小.

COM:金色观察 | 一口“吃掉”Sushi Yearn加速在DeFi领域的合并_Compound Dai

据Yearn.Finance创始人AndreCronje推特消息,YFI将与寿司Sushiswap合并.

PLE:大财配资炒股开户 明日能否重拾升势呢?_区块链技术是什么

在昨日A股向上突破没有成功的打击下,投资者谨慎情绪上升,今日沪深两市大盘均出现了微幅低开,开盘后在谨慎资金逢高减持的压力下大盘出现了震荡回落,上证综指大盘最低下探到了3428点.

区块链:余勋论币12.2闲来无事 窄幅空间作一个简单的技术分析 看哪里企稳_PLE

闲来无事,作一个简单的技术分析。这几天以太看的多,就以以太位准!首先说大跌,每一次插针大跌行情,一般可根据他的下行力度深度和速度,来判断但是大资金意图.