CertiK：八千万人民币不翼而飞，Compounder.finance内部操作攻击分析

八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？在日常生活里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种效果。

Arbitrum：“Sequencer资金用完”报道不实:金色财经报道，Arbitrum Sequencer（排序器）今日凌晨出现Bug，导致该网络批量提交交易的功能短暂中断，交易无法在主链上得到确认，目前问题已得到解决。Arbitrum Developer官推在社交媒体就相关问题进行了澄清，表示网络临时暂停只是为了完成交易排序，而Sequencer服务本身没有中断，有报道称Sequencer资金用完是不正确的。Arbitrum Developer官推进一步解释称，Arbitrum资金机制由两个钱包组成，分别是：“Sequencer”钱包和“gas-refunder”钱包，只有当Sequencer可以成功发布批次时才会被退款，Arbitrum网络没有就此故障向Sequencer退款，相关问题也不是因为Sequencer资金耗尽所致。[2023/6/8 21:23:34]

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念记挂着自家项目的安全性。但有一种情况是例外.....北京时间12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生数笔大额交易。CertiK安全技术团队验证后，发现这些交易是Compounder.Finance项目拥有者内部操作，将大量代币转移到自己的账户中。经统计，Compounder.Finance最终共损失约价值八千万人民币的代币。攻击事件经过如下：

CertiK宣布融资6000万美元，投资方包括SoftBank Vision Fund II与Tiger Global:金色财经消息，Web3和区块链安全公司CertiK宣布融资6000万美元，投资方包括软银愿景基金2（SoftBank Vision Fund II）和Tiger Global，标志着软银首次涉足Web3安全领域。这也意味着该公司在9个月的时间里总共融资2.9亿美元，进一步巩固了其独角兽地位。

此次融资正值区块链社区围绕Web3应用程序开发引领增长，并为虚拟生态系统创建新的用例，特别是在游戏、NFT和DeFi方面之际。CertiK的营销副总裁Monier Jalal表示：“随着Web3开发和随之而来的黑客攻击趋势的增加，这种巨大的影响推动了对Web3安全的需求。”

4月7日消息，CertiK宣布近日完成8800万美元B3轮融资，估值达到20亿美元，此次融资由Insight Partners、Tiger Global和Advent International领投，高盛、 Sequoia Capital和Lightspeed Venture Partners等参投。（Cointelegraph）[2022/4/22 14:42:04]

Polygon 和 Cere Network 推出 Web3 媒体平台 DaVinci:金色财经报道，Polygon 和去中心化数据云平台Cere Network 宣布推出一个 Web3 媒体平台 DaVinci，该平台的使命是更安全地存储 NFT 支持的资产，并确保可验证和真正去中心化的数据。

DaVinci 是一个直接的内容货币化平台，用于 NFT 支持的体验，旨在促进去中心化数据传输和 NFT 价值转移。该平台由 Cere 的 DDC 提供支持，可通过智能合约向 NFT 持有者提供个性化内容流。它利用部署在 Polygon 上的 NFT 挖矿平台 Cere Freeport 来铸造和销售功能性 NFT，以提供对独家内容的访问。[2022/2/15 9:51:48]

图一：inCaseTokenGetStuck()函数Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到自己的指定的地址中。调用该函数时，首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址，通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址，发现与Compounder.Finance项目拥有者地址一致。

基于波卡的云数据平台Cere Network私募轮已经结束:据官方最新消息，基于波卡的云数据平台Cere Network私募轮已经结束。Cere获得区块自由基金blockfree的战略投资，双方成为中国市场的重要合作伙伴。Cere是Polkadot上的首个去中心化云数据平台，此前已获得包括Binance Labs、Arrington Capital、NGC、分布式资本等在内的多家顶级机构投资。

Blockfree fund是一家加密货币领域的风险投资基金，专注于波卡生态、Defi项目的投资和孵化。[2021/1/20 16:35:40]

Balancer上的mUSD/ETH池已拥有530万流动性 排名第八:提供DeFi相关咨询的推特账户Defimoon发推称，今天Balancer上启动的mUSD/ETH池已经拥有530万的流动性（排名第八）。如果这种情况持续下去，mUSD池将占据全部Balancer上排名靠前的池。[2020/7/4]

图二：Compounder.Finance:StrategyControllerV1中strategist角色地址

图三:项目管理者盗取代币的交易举例项目管理者盗取代币的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)当今DeFi市场中存在着项目拥有者权限过大，中心化程度过高的项目比比皆是。目前对项目拥有者缺乏额外治理或者限制措施，由于此类原因导致的内部操作攻击事件也逐渐增多。此次事件造成损失巨大，攻击技术细节简单，更是为所有DeFi项目敲响了警钟：1.当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。2.投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。项目的安全与否不该依赖于项目拥有者或团队自身的“选择”，这样的防范方式并不可行，从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！

标签：NCEUNDCERANCMoonshield FinanceUNDOSOCCER价格Axolotl Finance

芝麻开门交易所下载热门资讯