COM:首發 | CertiK：八千萬人民幣不翼而飛 Compounder.finance內部操作攻擊分析

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？

在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。

CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

Covalent與Polygon zkEVM合作以支持擴展以太坊生態系統:金色財經報道，Covalent發推表示已與Polygon zkEVM合作，從3月27日開始，用戶可以通過Covalent訪問 Polygon zkEVM數據。 該合作進一步加強了Covalent作為第一個Web3數據聚合器的作用，為zkEVM區塊鏈提供完全的數據透明性。

此前報道，Covalent宣布與zkEVM解決方案Scroll建立合作伙伴關系。[2023/3/10 12:55:00]

經統計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

攻擊事件經過如下：

圖一：inCaseTokenGetStuck()函數

Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

日本即時通訊服務商Line推出Web3游戲平臺game Dosi:11月14日消息，Line美國子公司Line Next將推出Web3游戲平臺game Dosi，已為其創建預告網站。

據悉，Game Dosi是一個集所有功能于一體的Web3游戲平臺，允許游戲公司發布不NFT。Line Next表示，Game Dosi旨在為用戶提供可以直觀地享受游戲，以及幫助游戲開發者更輕松地創造游戲的解決方案，通過提供一個易于使用的開發工具包工具，幫助開發人員中加速Web3游戲開發。

此外，該平臺還將提供法規和風險管理方面的法律支持，營銷和推廣支持，利用Line的服務營銷解決方案。它還提供“代幣經濟學”咨詢，以優化游戲的代幣經濟，并提供社區建設功能和開源資源。[2022/11/14 13:02:01]

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

SEC指控兩家加密公司拉高拋售加密貨幣:10月2日消息，美國證券交易委員會（SEC）指控百慕大公司Arbitrade和加拿大公司Cryptobontix及其負責人通過一種名為“Dignity”或“DIG”的加密貨幣進行“拉高拋售”（Pump-And-Dump）。

SEC在指控中指出，這兩家公司通過發布虛假公告，出售了至少3680萬美元的 DIG。[2022/10/2 18:37:43]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:?項目管理者盜取代幣的交易舉例

項目管理者盜取代幣的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

Cardano Vasil升級已將Gas費降低近50%:10月1日消息，去中心化交易平臺MuesliSwap表示，Cardano Vasil升級已將交易大小從14.73 kB減少到1.31 kB，并將Gas費從1.44 ada縮減到0.73 ada。

Cardano創始人Charles Hoskinson表示，此次升級“以一半的Gas費成本節省10倍的空間”。（dailyhodl）[2022/10/1 18:36:53]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

Web3安全基礎設施GoPlus Security Engine完成數百萬美元私募融資:金色財經消息，Web3安全基礎設施初創公司GoPlus Security Engine完成數百萬美元私募融資，該輪融資由數家公鏈實體共同投資，包括Crypto.com Capital、火幣孵化器、KuCoin Ventures、Arweave、Harmony、Avatar ，參投方還包括SevenX Ventures、GSR Markets和Geekcartel。

據悉，GoPlus Security Engine是Web3安全基礎設施，提供安全檢測平臺功能，包括代幣風險檢測、惡意地址庫、NFT風險檢測、實時風險預警和dApp合約安全檢測。

此前，GoPlus Security Engine于2021年8月完成由由SevenX Ventures領投的天使輪融資。（雅虎財經）[2022/5/20 3:29:25]

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價。

來源：金色財經

Tags：COMOMPCOMPCompoundXT.comCOMP價格Compound AugurCompound Sai

Luna