APP推广合作
联系“鸟哥笔记小乔”
Compounder.finance恶性DeFi跑路案,项目方收割超1200万美元
2022-01-11 17:43:19

译者注:近日,Compounder.finance用户被盗走超过1200万美元的资金,让人吃惊的是,这次攻击事件的罪魁祸首并非黑客,而是项目方本身,这也是目前性质最恶劣的DeFi跑路事件,原文由rekt团队撰写。


这里是罪人的希望,因为他们的罪过在匿名斗篷的保护下被遗忘了。


Rekt来到这里是为了照亮罪行,揭露攻击者的方法,而我们好以此为鉴。


Compounder.finance的网站及官方Twitter账户都被项目方删除了,而一份完整的安全审计报告为我们的调查提供了唯一的线索。


RektHQ现在正忙着呢,我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时,他们似乎并不希望看到我们。



“请不要发那样该死的内容,你真的吓到我了, weaker hands可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后,Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。



其他受害者也向我们伸出援手,展示了他们与compounder管理者进行的早期交谈,并表达了他们的担忧。



Solidity.finance告诉我们,他们仅与compounder管理员进行了简短交谈,他们确实审核了合约,并且他们在文档中指出,尽管资金池有一个时间锁(timelock)控制,但这个时间锁并没有提供任何保护。


以下内容来自他们的聊天记录:



在我们调查的这个阶段,solidity.finance仍然是存在疑点的,我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。



在阅读聊天记录时,我们注意到尽管帐户被删除了,但保留了一个用户名“ keccak”。


尽管solidity.finance表示keccak已经删除了他们的帐户,但我们已经找到了他们的帐户,并正在尝试联系。



不幸的是,Vlad不想通电话,所以我们给他们发了一条消息,但并没有期望他能够回应。

直到……


Vlad 准备好交谈了,不幸的是,他并不想合作。



我们仍可以通过@keccak在Telegram上找到Vlad / keccak,但是他不再回应,并删除了他账户中的图片。


我们将他的旧头像附在此处,供大家参考和调查。


我们被告知,图中的狼来自一部著名的乌克兰动画片,上面写着“come by if something comes up”,而左边则是反核武器的海报。


不幸的是,这对受影响的用户并没有太多帮助。



在认清Vlad不想谈话的情况后,我们访问了Compounder的官方电报群,而里面的人们都很欢迎我们。



滚动浏览聊天内容时,我们看到了由官方跑路行为所引发的典型反应。


即使是大玩家也遭到了这次跑路事件的重创,受害者们成立了一个调查小组(686名成员),其中带头人损失了100万美元,他们试图进行报仇。



1

统计数字


作为调查的一部分,我们找到了Solidity.finance以及来自Stake Capital的@vasa_develop,并要求他们合作创建一份完整的事后分析报告。


以下数据来自他们的报告。


被盗取的资产(8种):


  • 8,077.540667 WEth (价值4,820,030美元);

  • 1,300,610.936154161964594323 yearn: yCRV 金库(价值1,521,714.8美元);

  • 0.016390153857154838 COMP (价值1.79美元);

  • 105,102,172.66293264 Compound USDT (价值2,169,782.85美元);

  • 97,944,481.39815207 Compound USD Coin (价值2,096,403.68美元);

  • 1,934.23347357 Compound WBTC (价值744,396.89美元);

  • 23.368131489683158482 Aave计息YFI (价值628650.174379401美元);

  • 6,230,432.06773805 Compound Uniswap (价值466378.99美元);


跑路后,官方将资金转移到了以下这些钱包:


  • https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb2474 1,800,000 DAI ;

  • https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f0758 5,066,124.665456504419940414 DAI,39.05381415 WBTC,4.38347845834390477 CP3R,0.004842656997849285 COMP,0.000007146621650034 UNI-V2。


部署者通过Tornado.cash隐藏其资金来源,并向7个不同的地址发送了ETH,其中大部分都只有一笔交易 。然而,其中有一个地址在11月19日、20日、22日以及23日分别收到了4笔付款。该地址的大部分资金都来自一个持有超过100万KORE代币的地址(在跑路前,该地址只有1万 KORE代币)。


2

攻击分析


这次攻击事件的罪魁祸首,是项目方在完成审计后在其代码库中添加了7个恶意策略合约。


策略合约中的非恶意withdraw()函数如下所示:



注意,我们有了一些检查,比如:



这些检查在7份恶意策略合约中是缺失的。这允许控制者合约(由跑路策略师控制)从策略中提取资产。


(注意下面的恶意withdraw函数中缺失的检查)



完整的跑路过程可以分为4个步骤进行解释:


步骤1


Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。


步骤2


Compounder.Finance部署者通过Timelock(24小时)交易在StrategyController中设置并批准7个恶意策略。


步骤3


Compounder.Finance部署者(策略师)在StrategyController上调用inCaseStrategyTokenGetStuck(),它滥用了恶意策略的可操纵withdraw()函数,将策略中的代币转移到StrategyController,并对7种恶意策略都执行这种操作。


步骤4


Compounder.Finance部署者(策略师)在StrategyController上调用了inCaseTokensGetStuck() ,该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在,Compounder.Finance部署者完全控制了用户的资产,共计价值12,464,316.329美元。


资产已被转移到此处列出的多个地址。


感谢@vasa_develop提供的出色分析工作。


如果你是举报人,网络侦探或Etherscan侦探,并且你有线索贡献,请与我们联系。



3

那应该怪谁?


经过我们的分析,我们知道这不是审计方的问题,他们尽职地完成了自己的任务,确保Compounder Finance不受外部攻击的影响,同时他们也在审计报告和聊天群中表达了他们的担忧。


也许他们本可以更明显地表达出这些担忧,但最终,最终责任还是在存储者的身上。


尽管Compounder.finance使用了时间锁来表明他们不会跑路,但现在我们知道,这种方法是不可信的。如果使用了它,则应建立一个自动警报系统或仪表板,以监控该地址的交易。


并且24小时的时间锁,似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是骗局,但几乎所有的骗局,都是来自匿名创始人的项目。作为一个社区,我们需要警惕这些项目,尤其是那些使用Tornado.cash来隐藏资金来源的项目。


此外,审计报告的存在,不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险,而不是内部攻击者,这也许是审计师需要改进的一个领域。


即使有审计、时间锁(timelock)以及燃烧掉的密钥,存储用户总是任由项目方的摆布,他们随时可能向市场投放大量的代币。




4

来自Solidity.Finance的官方声明

“C3PR部署了新的“策略合约”,这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制,但我们警告说,这是不够的,因为谁会关注呢?他们在24小时前就通过这笔交易开始了这个改变:

5个小时前,他们盗走了资金。


我们主要关注的是来自外部的攻击,我们意识到了这种风险,但其只延迟了24小时,而没有人关注这些动作。”


我们都知道我们应该在投资前检查智能合约,但这里的知识壁垒很高,不是每个人都知道该找什么,那些知道的人,也没有动力去分享他们的发现。


在C3PR的例子中,知道的人很早就意识到了危险,而使跑路成为可能的代码总是存在的。


而这次C3PR跑路事件,卷走了超过1200万美元的用户资金,可以说是有史以来最大的defi跑路案。


元宇宙之道
分享到朋友圈
收藏
收藏
评分

综合评分:

我的评分
Xinstall 15天会员特权
Xinstall是专业的数据分析服务商,帮企业追踪渠道安装来源、裂变拉新统计、广告流量指导等,广泛应用于广告效果统计、APP地推与CPS/CPA归属统计等方面。
20羽毛
立即兑换
一书一课30天会员体验卡
领30天VIP会员,110+门职场大课,250+本精读好书免费学!助你提升职场力!
20羽毛
立即兑换
顺丰同城急送全国通用20元优惠券
顺丰同城急送是顺丰推出的平均1小时送全城的即时快送服务,专业安全,准时送达!
30羽毛
立即兑换
元宇宙之道
元宇宙之道
发表文章401
秉持探索之心,永远向更广袤之处前行。身处长流之中,见证人类向数字文明栖息地的迁徙。元宇宙之道(BBT6BTC6)
确认要消耗 0羽毛购买
Compounder.finance恶性DeFi跑路案,项目方收割超1200万美元吗?
考虑一下
很遗憾,羽毛不足
我知道了

我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。


一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
    1)反对宪法所确定的基本原则;
    2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
    3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
    4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
    5)煽动民族仇恨、民族歧视,破坏民族团结;
    6)破坏国家宗教政策,宣扬邪教和封建迷信;
    7)散布谣言,扰乱社会秩序,破坏社会稳定;
    8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
    9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
    10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
    11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
    12)危害未成年人身心健康的;
    13)含有法律、行政法规禁止的其他内容;


2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
    1)轻蔑:贬低、轻视他人及其劳动成果;
    2)诽谤:捏造、散布虚假事实,损害他人名誉;
    3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
    4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
    5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
    6)谩骂:以不文明的语言对他人进行负面评价;
    7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
    8)威胁:许诺以不良的后果来迫使他人服从自己的意志;


3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
    1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
    2)单个帐号多次发布包含垃圾广告的内容;
    3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
    4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
    5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
    6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
    7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
    8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。


4. 色情低俗信息,主要表现为:
    1)包含自己或他人性经验的细节描述或露骨的感受描述;
    2)涉及色情段子、两性笑话的低俗内容;
    3)配图、头图中包含庸俗或挑逗性图片的内容;
    4)带有性暗示、性挑逗等易使人产生性联想;
    5)展现血腥、惊悚、残忍等致人身心不适;
    6)炒作绯闻、丑闻、劣迹等;
    7)宣扬低俗、庸俗、媚俗内容。


5. 不实信息,主要表现为:
    1)可能存在事实性错误或者造谣等内容;
    2)存在事实夸大、伪造虚假经历等误导他人的内容;
    3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。


6. 传播封建迷信,主要表现为:
    1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
    2)求推荐算命看相大师;
    3)针对具体风水等问题进行求助或咨询;
    4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;


7. 文章标题党,主要表现为:
    1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
    2)内容与标题之间存在严重不实或者原意扭曲;
    3)使用夸张标题,内容与标题严重不符的。


8.「饭圈」乱象行为,主要表现为:
    1)诱导未成年人应援集资、高额消费、投票打榜
    2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
    3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
    4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
    5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序


9. 其他危害行为或内容,主要表现为:
    1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
    2)不当评述自然灾害、重大事故等灾难的;
    3)美化、粉饰侵略战争行为的;
    4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。


二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。


三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)

我知道了
恭喜你~答对了
+5羽毛
下一次认真读哦
成功推荐给其他人
+ 10羽毛
评论成功且进入审核!审核通过后,您将获得10羽毛的奖励。分享本文章给好友阅读最高再得15羽毛~
(羽毛可至 "羽毛精选" 兑换礼品)
好友微信扫一扫
复制链接