FIL:首发 | CertiK:八千万人民币不翼而飞 Compounder.finance内部操作攻击分析

八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?

在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。

但有一种情况是例外.....

北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。

CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。

任泽平:投机需求和监管不足推动比特币暴涨 比特币尚不能媲美黄金:经济学家任泽平今日在微信公众号“泽平宏观”上刊文称,投机需求是主导比特币价格疯涨的内在原因,包括变相换汇、ICO融资等交易活动。而美国等发达经济体对比特币相对宽松的监管态度是比特币的资产泡沫持续膨胀的重要外部因素。比特币在普遍接受性和价值稳定两方面尚不能媲美黄金等实物货币,但可以满足价值均匀可分性,在轻便和易携带性上具备实物货币难以比拟的优势。比特币替代信用货币的最大障碍正是去中心化的特性,没有信用基础的比特币不能很好地行使货币的职能。借鉴比特币相关技术,研发央行数字货币的首要出发点是补充与替代传统实物货币。比特币等虚拟货币已经被各国纳入自身的监管体系中,在认识到虚拟货币本身风险的同时,我们不能否定区块链技术的创新性和发展潜力。[2021/1/4 16:21:33]

经统计,Compounder.Finance最终共损失约价值8000万人民币的代币。

分析 | 以太坊主流交易所交易量暴涨 基本面状况表现良好:据 TokenGazer 数据分析显示,截止至 9?月 25?日 11 时,以太坊价格为$170.90,总市值为$18,749.88M,主流交易所交易量约为$609.29M,环比昨日暴涨,考虑到以太坊的下跌行情,可能有相当比例的抛盘;近期以太坊对比特币汇率在回升之后有一定下滑;基本面方面,以太坊链上交易量有一定上行、链上DApp交易量保持增长,算力有一定下滑,活跃地址数持续增长;以太坊 30 天开发者指数约为 2.22;以太坊与 BTC 180 天关联度在年内低点附近平稳波动,30 天 ROI持续下滑;ERC20 代币总市值约为以太坊总市值的 56.72%,持续回升。[2019/9/25]

攻击事件经过如下:

图一:inCaseTokenGetStuck()函数

行情 | EOS内存RAM今天早上暴涨 最高涨至0.0547EOS/kb:据RatingToken大数据监测平台显示,EOS内存RAM今天早上暴涨,最高涨至0.0547EOS/kb,环比昨日增长28.4%,但内存占有率没有显著提升。RatingToken分析师认为RAM或已成为炒币工具,如果EOS RAM价格被炒至很高,EOS Dapp 开发成本加大,不利于EOS生态健康发展。[2019/4/30]

Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。

调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。

Bitbank交易量暴涨 XRP成交量升至世界第一: 据Coinpost今日报道,或因开始了零手续费的推广活动,日本虚拟货币交易所Bitbank的交易量近日急剧上涨,其中瑞波币(XRP)的成交量已升至世界第一,占全球XRP总交易量的30.3%。[2018/4/17]

图二:Compounder.Finance:StrategyControllerV1中strategist角色地址

图三:?项目管理者盗取代币的交易举例

项目管理者盗取代币的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

BCH暴涨 因“比特币耶稣”救盘?:行情显示,BCH现价1499美元,短时涨幅超20%。昨日坊间传闻,有“比特币耶稣”之称Roger ver转了几万个BTC去世界最大数字货币交易所之一的Bitfinex购买BCH。Roger ver,自认是比特币的传教士,其推特介绍为“世界上第一家比特币初创公司的投资者”。Roger ver此前在其推特一直发表言论支持BCH。[2017/12/8]

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。

目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。

此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:

1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。

2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。

项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。

欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-6:29ms