NCE:CertiK：八千万人民币不翼而飞，Compounder.finance内部操作攻击分析_Balkari

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。但有一种情况是例外.....北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生数笔大额交易。CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。经统计，Compounder.Finance最终共损失约价值八千万人民币的代币。攻击事件经过如下：

CertiK通过美国AICPA审核获得SOC 2类型I认证:金色财经报道，Web3安全审计公司CertiK已经通过了美国注册会计师协会（AICPA）的审核，获得了该机构颁发SOC 2 类型 I 认证。SOC2类型I认证是AICPA基于确保服务机构满足客户数据安全而提出的标准，素以严苛著称。CertiK通过独立的第三方审计进行了安全控制、流程和政策等多全面审计和评估，满足了SOC 2的严格标准，有能力为客户和合作伙伴提供最高级别安全的承诺。在通过该认证后，CertiK方面也表示将一如既往地致力于提供最先进的安全解决方案，使个人、企业和组织等能在保证安全的前提下充分发挥区块链技术的潜力。[2023/7/18 11:00:28]

Aave DAO决定换取200万美元的Balancer LP代币:金色财经报道，Aave社区批准了一项200万美元的代币交换，从DeFi协议Balancer购买BAL-WETH流动性池代币。Aave DAO将使用财库中价值140万美元的31万个BAL和价值60万美元的326个WETH进行交换。

经批准的资产将转换成B-80BAL-20WETH，将BAL代币与以太坊配对。交换将在CowSwap的Milkman协议的帮助下进行。[2023/7/11 10:47:16]

图一：inCaseTokenGetStuck()函数Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

Balancer向首批流动性提供者发放43.5万枚治理代币BAL:金色财经报道，去中心化交易平台Balancer的治理代币BAL已经正式发放，BalancerLabs团队为Balancer资金池的流动性提供者发放43.5万枚BAL代币。截至目前BAL总供应量为3543.5万枚，其中2500万BAL归属于创世团队、股票期权、顾问以及投资者；500万BAL分配给生态系统基金，将用于吸引和激励战略合作伙伴；另外500万BAL将分配给筹款基金，将用于未来的筹款活动；过去三周为流动性提供者分配43.5万枚BAL，另外，之后每周将继续分发14.5万BAL。BAL的供应量上限为1亿个代币。BAL现已在Balancer交易平台和去中心化交易所Uniswap上交易。（Medium）[2020/6/24]

Dai 供应接近历史新高，6 月以来 Balancer Labs 流动资金已增长 5.3 倍:DTC Capital 投资者 Spencer Noon 发文阐述了 5 个迹象表明 DeFi 采用正在迅速发展。1）首先在 BTC 美元借贷利率上，DeFi 超过了 CeFi。CeFi 用户已经开始使用 DeFi 协议（例如 MakerDAO）进行再融资。2）目前去中心化稳定币 Dai 的供应接近历史新高 1.23 亿；3） TokenSets 在 5 月再平衡达到历史新高，有价值约 4,700 万美元的加密货币在链上完成交易；4）尽管自 4 月以来 Synthetix 解锁了 1600 万美元的 SNX 的通胀奖励，总锁定价值（TVL）仍持续上升，强烈表明该代币模型是可行的；5）自 6 月 1 日起，Balancer Labs 流动资金从 600 万美元增至 3200 万美元，增长了 5.3 倍。5 个池的流动资金超过了 100 万美元，有 30 个池至少持有 10 万美元。该协议中有 2 个资金池进入自动作市平台资金池的前 5 名。[2020/6/13]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

动态 | 新型勒索病CerBer2019要求受害者支付1比特币:据腾讯御见威胁情报中心消息，近日监测到一款新型勒索病CerBer2019，该勒索病已有部分企业用户中招。与其它勒索病不同的是，该病除加密常见文件类型外，还会把其他勒索病(如：WannaCry，Crysis)加密过的文件再次加密。勒索文档要求受害者24小时内支付1比特币解密，超过36小时则销毁文件加密密钥。[2019/1/24]

图三:项目管理者盗取代币的交易举例项目管理者盗取代币的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：1.当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。2.投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！

标签：NCEANCBALOMPYearn Finance 3DogeDao FinanceBalkarifompound币最新消息

比特币最新价格热门资讯