CertiK：八千萬人民幣不翼而飛，Compounder.finance內部操作攻擊分析_NCE

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。但有一種情況是例外.....北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大額交易。CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。經統計，Compounder.Finance最終共損失約價值八千萬人民幣的代幣。攻擊事件經過如下：

CertiK：Conic Finance再次受到閃電貸攻擊:金色財經報道，據CertiK官方推特發布消息稱，Conic Finance再次受到閃電貸攻擊。截至目前，EOA地址 (0xB636) 以及EOA地址 (0xd050) 已經獲利至少22.3萬美元。[2023/7/22 15:52:04]

圖一：inCaseTokenGetStuck()函數Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

NEAR將于第三季度末引入Chunk-Only Producer角色，僅負責在單個分片中生成Chunk:7月1日消息，NEAR將于7月13日開啟Stake Wars III，該階段將專注于引入僅負責在單個分片中生成Chunk的Chunk-Only Producer，他們可以在要求不高的機器上運行他們的驗證節點，例如4核CPU、8GB RAM和200GB SSD存儲。NEAR表示，一旦第三季度末NEAR主網上可以使用Chunk-Only Producer，NEAR計劃再增加200至300個驗證者，NEAR網絡目前由100個驗證者保護。[2022/7/1 1:44:02]

Balancer收到白帽黑客披露的Synthetix生態代幣等相關漏洞報告，目前用戶資金安全:5月14日消息，Balancer Labs發推表示，今日某白帽黑客通過Web3漏洞賞金平臺Immunefi披露Balancer相關漏洞，Balancer官方收到一個潛在可利用場景的通知，沒有用戶資金處于危險之中。

其中漏洞場景涉及double entry-point ERC20代幣，包括但不限于Synthetix生態代幣（SNX 和 sBTC 等）以及Balancer閃電貸。Synthetix團隊正考慮在下周升級合約，以成功移除double entry-point，并允許代幣返回金庫，而無需 LP 的任何干預。此中等嚴重性錯誤報告將導致資金因從 V2 Vault 轉出而被暫時凍結，沒有看到這種漏洞導致實際盜竊的途徑。[2022/5/14 3:16:03]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

非托管投資組合經理Balancer Labs籌集300萬美元:金色財經報道，非托管投資組合經理Balancer Labs在由Accomplice和Placeholder領導的種子輪融資中籌集了300萬美元。Balancer成立于2018年，最初是分析公司BlockScience旗下的一個項目。據悉，Balancer本質上是Uniswap自動做市商（AMM）模型的通用實現，并且該概念引起了開放金融生態系統參與者的廣泛興趣。[2020/3/25]

圖三:項目管理者盜取代幣的交易舉例項目管理者盜取代幣的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：1.當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。2.投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價！

Hanbitco參加EOS的Blockchain Producer競選:韓國虛擬貨幣交易所Hanbitco稱參加EOS的Blockchain Producer競選。此為韓國虛擬貨幣交易所首次參加EOS的 Blockchain Producer競選。[2018/5/24]

Tags：NCEANCOMPCOMPgoldhoefinanceVelodrome Financefomp幣下架comp幣價格今日行情

比特幣價格