UND:首發 | CertiK：八千萬人民幣不翼而飛 Compounder.finance內部操作攻擊分析_OMP

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？

在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。

CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

外媒：多家知名公司對FTX 2.0重啟感興趣:6月25日消息，根據6月22日在特拉華州破產法院的法庭文件，FTX的咨詢公司Alvarez & Marsal公布了基于《美國破產法》第363項出售條款下的各方名稱，該條款允許出售公司的資產。該名單代表著對FTX 2.0的重新啟動感興趣的實體，他們已被聯系并簽署了保密協議，以尋求有關重組和交易所重新啟動的更多詳細信息。該名單中的知名公司包括納斯達克、Ripple Labs、Galaxy Digital、貝萊德(BlackRock)、Tribe Capital、Robinhood、NYDIG和OKCoin。

報道稱，這并不是潛在買家或投資者的獨家名單，而是對該加密交易所感興趣的各方。FTX債務人計劃在今年第三季度或第四季度進行銷售過程，并選擇一個“首位出價者”。這些公司中的一家很可能成為首位出價者。各公司還計劃投資FTX 2.0，FTX現任首席執行官John Ray III領導的團隊正在進行投標流程信函、感興趣的各方、市場做市商入駐以及FTX Japan的重啟。（Coingape）[2023/6/25 21:58:33]

經統計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

羅馬尼亞Rapid Bucharest俱樂部與Binance合作推出NFT:5月3日消息，羅馬尼亞足球俱樂部Rapid Bucharest宣布與Binance合作推出免費NFT合集「FC Rapid Bucharest at 100 years old」。所有免費NFT均附帶獎勵，例如球員親筆簽名球衣、VIP看臺座位、100美元、限量版圍巾或Rapid貼紙。（valahia）[2023/5/4 14:40:45]

攻擊事件經過如下：

圖一：inCaseTokenGetStuck()函數

Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

OpenSea推出“3小時持倉保護期”機制:據官方消息，OpenSea 發文介紹“3小時持倉保護期”機制，為降低與盜竊相關的風險，賣家將在一些交易和銷售后 3 小時內禁止接受某些商品的報價。使用加密授權委托平臺 DelegateCash，熱冷錢包間轉賬不會受到影響。

通過接受要約快速轉讓和轉售表明可能存在有可疑活動，設立 3 個小時的時間框架可以幫助 OpenSea、社區和受害者及時發現被盜物品，同時也減少了買家最終購買的物品是失竊資產的可能性。

DelegateCash是一個去中心化的注冊表，可將用戶信任的錢包相關聯。OpenSea 將讀取該平臺用戶的鏈上注冊表，這樣就可以在受保護的同時獲得順利的買賣體驗。[2023/2/3 11:44:47]

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

美CFTC專員：傳統金融法規在一定程度上可以適用于加密貨幣:10月29日消息，美國商品期貨交易委員會（CFTC）專員Christy Goldsmith Romero在CoinDesk TV中表示，加密貨幣可能會給金融穩定帶來一些風險，傳統金融（TradFi）法規在一定程度上適用于加密貨幣，但可能需要更明確的指導方針，而不是一套全新的規則。

盡管如此，Goldsmith Romero表示，由于數字資產與傳統金融產品不同，“我們在進行定制化處理時必須有點謹慎，因為我們不知道這樣做的后果。”官員們應該審查傳統金融市場的既定監管方式，看看它們是否可以適用于加密貨幣。

Goldsmith Romero表示，在比特幣或其他不是證券的商品和數字資產方面，沒有一個市場監管機構，這是一個監管空白。該機構正試圖通過為在衍生品方面向其注冊的加密公司制定標準來提供清晰度，而國會的明確性將“有助于”確定哪個政府機構應負責監管數字資產。（CoinDesk）[2022/10/29 11:55:33]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

巴西央行行長：比特幣是金融創新:金色財經消息，巴西央行行長表示比特幣是金融創新。[2022/8/7 12:07:23]

圖三:?項目管理者盜取代幣的交易舉例

項目管理者盜取代幣的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價。

來源：金色財經

Tags：UNDOMPCOMCompoundFundYourselfNowintelligencefogcomputerchainCOMFI價格Compound USDT

MEXC