COM:CertiK：八千万人民币不翼而飞，Compounder.finance内部操作攻击分析_COMP

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。但有一种情况是例外.....北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生数笔大额交易。CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。经统计，Compounder.Finance最终共损失约价值八千万人民币的代币。攻击事件经过如下：

Etherscan：用户在特定场景下复制代币转账地址时将收到弹窗提醒:8月30日消息，以太坊区块链浏览器Etherscan在X发文表示，用户在特定场景下复制代币转账地址时将收到弹窗提醒，该功能会提醒用户仔细检查是否复制了正确的地址。如果用户不愿意被弹窗提醒，可以设置将其隐藏30天。

当用户复制“发送者”或“接收者”地址，在以下情况下会出现弹窗：1. Token Transfers页面，2. Address页面中的Token Transfers选项卡。新功能适用于以下3个场景：转移信誉不佳的代币，源自与代币发送者不同的地址的转账，转移代币时没有更新信息。[2023/8/30 13:07:13]

Yuga Labs赢得关于BAYC无聊猿知识产权诉讼案:金色财经报道，法庭文件显示，BAYC 母公司 Yuga Labs 在知识产权诉讼中赢得对加利福尼亚艺术家 Ryder Ripps 及其 BAYC 仿盘项目 RR/BAYC 的简易判决。

此前报道，Ryder Ripps 从 2021 年 12 月以来一直调查 BAYC 及其创建者 Yuga Labs，认为 BAYC 与互联网纳粹巨魔文化之间存在广泛的联系，并推出了 BAYC 仿盘 RR/BAYC 系列；去年 6 月 Yuga Labs 对 Ryder Ripps 提起诉讼，指控他们复制和销售 Bored Ape Yacht Club （BAYC）系列 NFT 并贬低其原创产品。2 月 7 日，2 月 7 日，Yuga Labs 与为 Ryder Ripps 的 BAYC 仿盘 RR/BAYC 系列建立网站和智能合约的 Thomas Lehman 达成诉讼和解。[2023/4/22 14:19:51]

图一：inCaseTokenGetStuck()函数Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

FTX破产前夕仅有9亿美元流动性资产应对89亿美元债务:11月13日消息，在破产前夕，FTX的流动资产仅为9亿美元，而负债为89亿美元。该报告援引投资材料指出，FTX可用的最大易售资产是价值4.7亿美元的Robinhood股票，该股票由首席执行官Sam Bankman-Fried的外部公司实体拥有。尽管正式总部设在美国境外，但FTX报告的负债中有51亿美元是以美元结算。[2022/11/13 12:58:00]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

3Landers交易额突破1亿美元:金色财经报道，据最新 NFT 交易数据显示，3Landers 系列 NFT 交易额已突破 1 亿美元，截止目前达到 1.015 亿美元，市值约为 4072 万美元。当前 3Landers 地板价为 0.329 ETH，24 小时跌幅 8.61%，但地板价走低推动了该 NFT 系列交易短时走高，过去 24 小时交易额达到 34,969.21 美元，涨幅 14.59%。[2022/6/14 4:24:50]

图三:项目管理者盗取代币的交易举例项目管理者盗取代币的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：1.当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。2.投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！

标签：COMPUNDCOMCompoundInternet Computer(Dfinity)ThunderBNB.appComodo CoinCompound Ether

Polygon热门资讯