以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > XRP > Info

起底Compounder.finance惡性DeFi跑路案 項目方收割超1200萬美元_COM

Author:

Time:1900/1/1 0:00:00

譯者注:近日,Compounder.finance用戶被盜走超過1200萬美元的資金,讓人吃驚的是,這次攻擊事件的罪魁禍首并非黑客,而是項目方本身,這也是目前性質最惡劣的DeFi跑路事件,原文由rekt團隊撰寫。

這里是罪人的希望,因為他們的罪過在匿名斗篷的保護下被遺忘了。

Rekt來到這里是為了照亮罪行,揭露攻擊者的方法,而我們好以此為鑒。

Compounder.finance的網站及官方Twitter賬戶都被項目方刪除了,而一份完整的安全審計報告為我們的調查提供了唯一的線索。

RektHQ現在正忙著呢,我們開始調查的時候事件已經發生了幾個小時…當我們聯系審計方時,他們似乎并不希望看到我們。

“請不要發那樣該死的內容,你真的嚇到我了,weakerhands可能會報告這件事或一些狗屎。”

在我們提供了一些保證之后,Solidity.finance向我們提供了他們與compounder.finance交談的完整聊天記錄。

其他受害者也向我們伸出援手,展示了他們與compounder管理者進行的早期交談,并表達了他們的擔憂。

迪拜監管機構已暫停加密貨幣交易所BitOasis的牌照:金色財經報道,迪拜加密貨幣監管機構已暫停加密貨幣交易所BitOasis的牌照,原因是該交易所未在監管機構規定的時間內滿足規定條件。

虛擬資產監管局(VARA)發布了警告,稱其對BitOasis采取了執法行動,并正在審查這家公司。VARA表示,BitOasis于4月12日獲得的有條件許可證允許其運營,前提是該公司滿足30-60天時間范圍內的關鍵條件,監管機構稱這些條件尚未得到滿足。VARA沒有詳細說明BitOasis未能滿足哪些條件,但監管機構表示,在滿足條件之前,該公司的機構和合格散戶投資者許可證仍處于不可操作狀態。[2023/7/11 10:47:29]

Solidity.finance告訴我們,他們僅與compounder管理員進行了簡短交談,他們確實審核了合約,并且他們在文檔中指出,盡管資金池有一個時間鎖控制,但這個時間鎖并沒有提供任何保護。

以下內容來自他們的聊天記錄:

在我們調查的這個階段,solidity.finance仍然是存在疑點的,我們想知道他們為何會認為compounder.finance團隊看起來“非常值得信賴”。

美國多個超市收到炸彈威脅,嫌疑人向店家索要比特幣等值錢物品:6月26日消息,近幾個月來,美國多地零售商超市都收到了炸彈威脅,包括沃爾瑪(Walmart)、克羅格(Kroger),以及亞馬遜全食(Amazon'sWholeFoods)等,這些威脅分布在從新墨西哥州到威斯康星州的各個地區。嫌疑人要求店家提供禮品卡、比特幣或現金等值錢物品,否則就引爆炸彈。

美國聯邦調查局表示,該局正在與當地和州執法官員合作,要求公眾對周圍環境保持警惕,并向執法部門報告任何可疑活動。報道稱,當局目前尚不清楚這些炸彈威脅背后是否由非法組織操控。[2023/6/26 22:00:38]

在閱讀聊天記錄時,我們注意到盡管帳戶被刪除了,但保留了一個用戶名“keccak”。

盡管solidity.finance表示keccak已經刪除了他們的帳戶,但我們已經找到了他們的帳戶,并正在嘗試聯系。

不幸的是,Vlad不想通電話,所以我們給他們發了一條消息,但并沒有期望他能夠回應。

直到……

Vlad準備好交談了,不幸的是,他并不想合作。

我們仍可以通過@keccak在Telegram上找到Vlad/keccak,但是他不再回應,并刪除了他賬戶中的圖片。

Polygon zkEVM主網Beta版已正式上線:金色財經報道,Polygon zkEVM 主網 Beta 版本已正式上線。Polygon 表示,主網 Beta 版本包括了無需許可、EVM 等效、開源等特點。在主網 Beta 的第一階段,將設置專門的安全委員會來快速升級 Polygon zkEVM。在第二階段,Polygon 將采取一系列措施,以確保在出現任何問題時用戶能夠得到保護,但權力下放程度更高,并且沒有具有特殊訪問權限的安全理事會。[2023/3/27 13:29:23]

我們將他的舊頭像附在此處,供大家參考和調查。

我們被告知,圖中的狼來自一部著名的烏克蘭動畫片,上面寫著“comebyifsomethingcomesup”,而左邊則是反核武器的海報。

不幸的是,這對受影響的用戶并沒有太多幫助。

在認清Vlad不想談話的情況后,我們訪問了Compounder的官方電報群,而里面的人們都很歡迎我們。

滾動瀏覽聊天內容時,我們看到了由官方跑路行為所引發的典型反應。

即使是大玩家也遭到了這次跑路事件的重創,受害者們成立了一個調查小組,其中帶頭人損失了100萬美元,他們試圖進行報仇。

Helium將遷移至Solana區塊鏈的日期延后至4月18日:金色財經報道,去中心化無線通信網絡Helium將遷移至Solana區塊鏈的日期從3月27日延后至4月18日,這是其準備工作組投票決定的結果,旨在為社區準備、必要的治理投票、更多測試和運營改進提供更多時間。(Medium)[2023/3/17 13:09:57]

帖子可以在這里找到。

https://twitter.com/defiyield_info/status/1333731633393004545?s=20

統計數字

作為調查的一部分,我們找到了Solidity.finance以及來自StakeCapital的@vasa_develop,并要求他們合作創建一份完整的事后分析報告。

以下數據來自他們的報告。

被盜取的資產:

8,077.540667WEth;

1,300,610.936154161964594323yearn:yCRV金庫;

0.016390153857154838COMP;

105,102,172.66293264CompoundUSDT;

EthSign旗下TokenTable公開測試版將于Q1上線:金色財經報道,去中心化電子協議簽署平臺EthSign核心團隊成員在其社區發布消息稱,旗下一站式鏈上投資工具TokenTable公開測試版將于2023年第一季度上線。該平臺旨在幫助Web3初創公司和DAO共同管理Token所有權和分配的平臺。[2023/1/9 11:01:43]

97,944,481.39815207CompoundUSDCoin;

1,934.23347357CompoundWBTC;

23.368131489683158482Aave計息YFI;

6,230,432.06773805CompoundUniswap;

跑路后,官方將資金轉移到了以下這些錢包:

https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI;

https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI,39.05381415WBTC,4.38347845834390477CP3R,0.004842656997849285COMP,0.000007146621650034UNI-V2。

部署者通過Tornado.cash隱藏其資金來源,并向7個不同的地址發送了ETH,其中大部分都只有一筆交易。然而,其中有一個地址在11月19日、20日、22日以及23日分別收到了4筆付款。該地址的大部分資金都來自一個持有超過100萬KORE代幣的地址。

攻擊分析

這次攻擊事件的罪魁禍首,是項目方在完成審計后在其代碼庫中添加了7個惡意策略合約。

策略合約中的非惡意withdraw函數如下所示:

注意,我們有了一些檢查,比如:

這些檢查在7份惡意策略合約中是缺失的。這允許控制者合約從策略中提取資產。

完整的跑路過程可以分為4個步驟進行解釋:

步驟1

Compounder.Finance部署者部署了包含操縱withdraw()函數的7個惡意策略。

步驟2

Compounder.Finance部署者通過Timelock交易在StrategyController中設置并批準7個惡意策略。

步驟3

Compounder.Finance部署者在StrategyController上調用inCaseStrategyTokenGetStuck(),它濫用了惡意策略的可操縱withdraw函數,將策略中的代幣轉移到StrategyController,并對7種惡意策略都執行這種操作。

步驟4

Compounder.Finance部署者在StrategyController上調用了inCaseTokensGetStuck()?,該函數將代幣從StrategyController傳輸到Compounder.Finance部署者地址。現在,Compounder.Finance部署者完全控制了用戶的資產,共計價值12,464,316.329美元。

資產已被轉移到此處列出的多個地址。

感謝@vasa_develop提供的出色分析工作。

如果你是舉報人,網絡偵探或Etherscan偵探,并且你有線索貢獻,請與我們聯系。

那應該怪誰?

經過我們的分析,我們知道這不是審計方的問題,他們盡職地完成了自己的任務,確保CompounderFinance不受外部攻擊的影響,同時他們也在審計報告和聊天群中表達了他們的擔憂。

也許他們本可以更明顯地表達出這些擔憂,但最終,最終責任還是在存儲者的身上。

盡管Compounder.finance使用了時間鎖來表明他們不會跑路,但現在我們知道,這種方法是不可信的。如果使用了它,則應建立一個自動警報系統或儀表板,以監控該地址的交易。

并且24小時的時間鎖,似乎不足以讓用戶移除自己的資金。盡管我們不能說所有匿名創始人的項目都是騙局,但幾乎所有的騙局,都是來自匿名創始人的項目。作為一個社區,我們需要警惕這些項目,尤其是那些使用Tornado.cash來隱藏資金來源的項目。

此外,審計報告的存在,不足以保證項目的安全性及合法性。審計通常更關注來自外部攻擊者的風險,而不是內部攻擊者,這也許是審計師需要改進的一個領域。

即使有審計、時間鎖以及燃燒掉的密鑰,存儲用戶總是任由項目方的擺布,他們隨時可能向市場投放大量的代幣。

來自Solidity.Finance的官方聲明

“C3PR部署了新的“策略合約”,這使得團隊可以清空用戶資金所在的策略合約。他們有延遲24小時交易的時間限制,但我們警告說,這是不夠的,因為誰會關注呢?他們在24小時前就通過這筆交易開始了這個改變:

5個小時前,他們盜走了資金。

我們主要關注的是來自外部的攻擊,我們意識到了這種風險,但其只延遲了24小時,而沒有人關注這些動作。”

我們都知道我們應該在投資前檢查智能合約,但這里的知識壁壘很高,不是每個人都知道該找什么,那些知道的人,也沒有動力去分享他們的發現。

在C3PR的例子中,知道的人很早就意識到了危險,而使跑路成為可能的代碼總是存在的。

而這次C3PR跑路事件,卷走了超過1200萬美元的用戶資金,可以說是有史以來最大的defi跑路案。

Tags:COMOMPCOMPUNDCardano Comicscomp幣發行量comp幣歷史最高價格adfunds

XRP
霍比特關于暫停UENC充值和提現的公告_BTC

尊敬的社區用戶: 由于UENC臨時服務器升級,霍比特交易所現已暫停UENC的充值、提現。霍比特交易所將在UENC服務器升級完成后恢復充提業務,具體時間將以公告另行通知.

1900/1/1 0:00:00
手機云挖礦出現,每天到賬0.2個BTC,一個價值13萬_區塊鏈

關注很多人問幣圈的挖礦是什么?咱們目前幣圈的主流幣,比特幣,以太坊,IPFS,都是通過挖礦產生的,那么挖礦就是礦工參與生產幣種的過程,就是一級市場,相當于購買打折的幣.

1900/1/1 0:00:00
以太坊 2.0 第一個被 Slash 罰款的人_ETH

這是以太坊2.0第一個被Slash罰款的人:驗證人20075。在超額達成存款目標后,以太坊2.0信標鏈主網于北京時間12月1日晚上20:00正式啟動,12月2日晚,第一個受到懲罰的「倒霉蛋」已經.

1900/1/1 0:00:00
Gate.io 將上線Badger DAO (BADGER)交易的公告_GAT

Gate.io將于2020年12月05日16:00上線BadgerDAO(BADGER)交易。Badger是一個去中心化的自治組織,其目的是唯一的:構建加速比特幣作為其他區塊鏈抵押品的產品和基礎.

1900/1/1 0:00:00
巴德言幣:12.5ETH觸底反彈,日內漲幅較大,晚間謹慎操作!_SPACE

各位老鐵大家好,我是你們的朋友巴德。跟著我的客戶都是做了很久的,不是我帶他們收獲了多少,而是我用心在指導,毫無保留的教技術,經常熬夜盯盤。深夜告知客戶出場或進單.

1900/1/1 0:00:00
Gate.io 已經完成當日為用戶轉化分發1.3萬枚FIL代幣公告_GATE

Gate.io今日已經根據用戶FIL6持倉情況完成FIL分發,總計約1.3萬枚,用戶可在賬戶賬單明細中查看詳情.

1900/1/1 0:00:00
ads