OMP:首发 | CertiK：八千万人民币不翼而飞 Compounder.finance内部操作攻击分析_ecomi币

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？

在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。

香港富邦银行与Ripple合作开展房地产代币化项目:金色财经报道，香港金管局启动数码港元（eHKD）先导计划，参与银行之一的富邦银行联合金融科技公司Ripple推动房地产代币化方案。富邦银行（香港）执行副总裁兼首席策略官许洛圣表示，将于第三季进行测试，测试会先用于加按客户，客户透过网上银行提交加按申请，富邦会透过合作方Ripple的技术，将财产留置权代币化，并以今次测试专用之数码港元发放贷款，加快流程；客户取得贷款后，可在其他支付测试用例使用相关之数码港元，以推广数码港元。[2023/7/29 16:06:07]

经统计，Compounder.Finance最终共损失约价值8000万人民币的代币。

攻击事件经过如下：

图一：inCaseTokenGetStuck()函数

过去3小时内某巨鲸以1128枚ETH买入7606亿枚PEPE:5月6日消息，据Lookonchain监测，在过去3个小时里，此前以622 ETH加仓逾4147亿枚PEPE的某巨鲸再次以0.000002859美元的价格，用1128枚ETH（价值217万美元）共买入7606亿枚PEPE。目前该巨鲸持有4.56万亿枚PEPE（价值1440万美元）。

今日早些时候消息，据Lookonchian监测，某巨鲸地址将622 ETH（约合120万美元）兑换为4147.2亿枚PEPE，平均买入价格为0.000002912美元。[2023/5/6 14:47:21]

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。

摩根大通CEO：美国银行业危机的影响将持续数年:金色财经报道，摩根大通首席执行官杰米戴蒙(Jamie Dimon)在一份长达 43 页的年度报告中表示，美国银行业危机的影响将持续数年。当前的危机尚未结束，即使它已经过去，也会在未来几年产生影响。市场出现衰退的可能性增加了，虽然这与 2008 年完全不同，但目前尚不清楚当前的危机何时结束。它在市场上引起了很多不安，并且随着银行和其他贷方变得更加保守，将导致金融状况有所收紧。根据戴蒙的说法，目前还不确定这些干扰是否会阻碍推动美国经济发展的消费者支出。

戴蒙强调，导致当前危机的风险是显而易见的，例如硅谷银行的利率风险和无保险存款。但他淡化了与 2008 年全球金融危机的相似之处，指出当前的银行业危机涉及的金融参与者和需要解决的问题较少。[2023/4/23 14:22:19]

调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

数据：165000000枚XRP从FTX转入未知钱包:金色财经报道，WhaleAlert数据显示，165,000,000枚XRP（约58,985,368美元）从FTX转移至未知钱包。[2022/9/13 13:25:21]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

图三:?项目管理者盗取代币的交易举例

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

推特：每天会删除超过100万个垃圾邮件账户:7月7日消息，推特(TWTR.N)：每天会删除超过100万个垃圾邮件账户，通过人工审查以判断账户是否为垃圾邮件账户。（金十）[2022/7/8 1:59:08]

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价。

来源：金色财经

标签：OMPUNDCOMCOMPCompound Basic Attention TokenARTIC Foundationecomi币comp币未来价格预测

币安币热门资讯