起底Compounder.finance恶性DeFi跑路案 项目方收割超1200万美元

译者注：近日，Compounder.finance用户被盗走超过1200万美元的资金，让人吃惊的是，这次攻击事件的罪魁祸首并非黑客，而是项目方本身，这也是目前性质最恶劣的DeFi跑路事件，原文由rekt团队撰写。

这里是罪人的希望，因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt来到这里是为了照亮罪行，揭露攻击者的方法，而我们好以此为鉴。

Compounder.finance的网站及官方Twitter账户都被项目方删除了，而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ现在正忙着呢，我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时，他们似乎并不希望看到我们。

“请不要发那样该死的内容，你真的吓到我了，weakerhands可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后，Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。

其他受害者也向我们伸出援手，展示了他们与compounder管理者进行的早期交谈，并表达了他们的担忧。

标准普尔全球正在招聘一名DeFi主管以推动DeFi:金色财经报道，招聘信息显示，标准普尔全球正在招聘一名 DeFi 主管，以成功建立和执行 DeFi 团队战略。该职位将向标准普尔首席 DeFi 官 Chuck Mounts 汇报。招聘要求称，除了了解 S&P Global 的业务和产品线外，潜在候选人还应具备加密金融和 DeFi 方面的坚实基础。该职位的薪资范围在 107,100 美元至 212,975 美元之间，具体取决于地点、经验和资历。?

S&P Global 的 DeFi 团队涵盖区块链、web3 和元宇宙，以及去中心化金融。[2023/4/4 13:43:12]

Solidity.finance告诉我们，他们仅与compounder管理员进行了简短交谈，他们确实审核了合约，并且他们在文档中指出，尽管资金池有一个时间锁控制，但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录：

在我们调查的这个阶段，solidity.finance仍然是存在疑点的，我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。

在阅读聊天记录时，我们注意到尽管帐户被删除了，但保留了一个用户名“keccak”。

Lookonchain：Jump Trading将7万枚LDO转入Binance和KuCoin:3月8日消息，据Lookonchain数据显示，Jump Trading在过去2小时内将7万枚LDO（价值约18万美元）转移至Binance和KuCoin。据悉，该地址于2021年5月10日以1207枚ETH（当时约合476万美元）购入559万枚LDO，购买价格为0.85美元，目前仍持有299万枚LDO（约合763万美元）。[2023/3/8 12:49:48]

尽管solidity.finance表示keccak已经删除了他们的帐户，但我们已经找到了他们的帐户，并正在尝试联系。

不幸的是，Vlad不想通电话，所以我们给他们发了一条消息，但并没有期望他能够回应。

直到……

Vlad准备好交谈了，不幸的是，他并不想合作。

我们仍可以通过@keccak在Telegram上找到Vlad/keccak，但是他不再回应，并删除了他账户中的图片。

我们将他的旧头像附在此处，供大家参考和调查。

我们被告知，图中的狼来自一部著名的乌克兰动画片，上面写着“comebyifsomethingcomesup”，而左边则是反核武器的海报。

ENS DAO选择Karpatkey DAO来负责管理其资金:金色财经报道，ENS DAO选择了新的基金管理者Karpatkey DAO来负责管理其资金。Karpatkey DAO是一个最初由Gnosis Ltd孵化的DeFi基金管理组织，目前管理超过3.97亿美元资产。

据悉，ENS新基金Endaoment的初始规模将在5200万美元至6900万美元，预计回报率为5.83%。该基金将主要使用低风险、中等复杂度的DeFi策略，例如为自动做市商提供流动性。[2022/11/23 8:00:51]

不幸的是，这对受影响的用户并没有太多帮助。

在认清Vlad不想谈话的情况后，我们访问了Compounder的官方电报群，而里面的人们都很欢迎我们。

滚动浏览聊天内容时，我们看到了由官方跑路行为所引发的典型反应。

即使是大玩家也遭到了这次跑路事件的重创，受害者们成立了一个调查小组，其中带头人损失了100万美元，他们试图进行报仇。

帖子可以在这里找到。

https://twitter.com/defiyield_info/status/1333731633393004545?s=20

持币数大于0.1BTC的地址突破350万，创历史新高:6月6日消息，据Glassnode数据显示，持币数大于 0.1 BTC 的地址突破 350 万，截至目前为 3,534,317 个，创下历史新高。[2022/6/6 4:04:31]

统计数字

作为调查的一部分，我们找到了Solidity.finance以及来自StakeCapital的@vasa_develop，并要求他们合作创建一份完整的事后分析报告。

以下数据来自他们的报告。

被盗取的资产：

8,077.540667WEth；

1,300,610.936154161964594323yearn:yCRV金库；

0.016390153857154838COMP；

105,102,172.66293264CompoundUSDT；

97,944,481.39815207CompoundUSDCoin；

1,934.23347357CompoundWBTC；

23.368131489683158482Aave计息YFI；

中办、国办：发展数字化文化消费新场景 加快文化产业数字化布局:5月23日消息，近日，中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》，《意见》提出了8项重点任务。一是统筹利用文化领域已建或在建数字化工程和数据库所形成的成果，关联形成中华文化数据库。二是夯实文化数字化基础设施，依托现有有线电视网络设施、广电5G网络和互联互通平台，形成国家文化专网。三是鼓励多元主体依托国家文化专网，共同搭建文化数据服务平台。四是鼓励和支持各类文化机构接入国家文化专网，利用文化数据服务平台，探索数字化转型升级的有效途径。五是发展数字化文化消费新场景，大力发展线上线下一体化、在线在场相结合的数字化文化新体验。六是统筹推进国家文化大数据体系、全国智慧图书馆体系和公共文化云建设，增强公共文化数字内容的供给能力，提升公共文化服务数字化水平。七是加快文化产业数字化布局，在文化数据采集、加工、交易、分发、呈现等领域，培育一批新型文化企业，引领文化产业数字化建设方向。八是构建文化数字化治理体系，完善文化市场综合执法体制，强化文化数据要素市场交易监管。[2022/5/23 3:34:53]

6,230,432.06773805CompoundUniswap；

跑路后，官方将资金转移到了以下这些钱包：

https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI；

https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI，39.05381415WBTC，4.38347845834390477CP3R，0.004842656997849285COMP，0.000007146621650034UNI-V2。

部署者通过Tornado.cash隐藏其资金来源，并向7个不同的地址发送了ETH，其中大部分都只有一笔交易。然而，其中有一个地址在11月19日、20日、22日以及23日分别收到了4笔付款。该地址的大部分资金都来自一个持有超过100万KORE代币的地址。

攻击分析

这次攻击事件的罪魁祸首，是项目方在完成审计后在其代码库中添加了7个恶意策略合约。

策略合约中的非恶意withdraw函数如下所示：

注意，我们有了一些检查，比如：

这些检查在7份恶意策略合约中是缺失的。这允许控制者合约从策略中提取资产。

完整的跑路过程可以分为4个步骤进行解释：

步骤1

Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。

步骤2

Compounder.Finance部署者通过Timelock交易在StrategyController中设置并批准7个恶意策略。

步骤3

Compounder.Finance部署者在StrategyController上调用inCaseStrategyTokenGetStuck()，它滥用了恶意策略的可操纵withdraw函数，将策略中的代币转移到StrategyController，并对7种恶意策略都执行这种操作。

步骤4

Compounder.Finance部署者在StrategyController上调用了inCaseTokensGetStuck()?，该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在，Compounder.Finance部署者完全控制了用户的资产，共计价值12,464,316.329美元。

资产已被转移到此处列出的多个地址。

感谢@vasa_develop提供的出色分析工作。

如果你是举报人，网络侦探或Etherscan侦探，并且你有线索贡献，请与我们联系。

那应该怪谁？

经过我们的分析，我们知道这不是审计方的问题，他们尽职地完成了自己的任务，确保CompounderFinance不受外部攻击的影响，同时他们也在审计报告和聊天群中表达了他们的担忧。

也许他们本可以更明显地表达出这些担忧，但最终，最终责任还是在存储者的身上。

尽管Compounder.finance使用了时间锁来表明他们不会跑路，但现在我们知道，这种方法是不可信的。如果使用了它，则应建立一个自动警报系统或仪表板，以监控该地址的交易。

并且24小时的时间锁，似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是局，但几乎所有的局，都是来自匿名创始人的项目。作为一个社区，我们需要警惕这些项目，尤其是那些使用Tornado.cash来隐藏资金来源的项目。

此外，审计报告的存在，不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险，而不是内部攻击者，这也许是审计师需要改进的一个领域。

即使有审计、时间锁以及燃烧掉的密钥，存储用户总是任由项目方的摆布，他们随时可能向市场投放大量的代币。

来自Solidity.Finance的官方声明

“C3PR部署了新的“策略合约”，这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制，但我们警告说，这是不够的，因为谁会关注呢？他们在24小时前就通过这笔交易开始了这个改变：

5个小时前，他们盗走了资金。

我们主要关注的是来自外部的攻击，我们意识到了这种风险，但其只延迟了24小时，而没有人关注这些动作。”

我们都知道我们应该在投资前检查智能合约，但这里的知识壁垒很高，不是每个人都知道该找什么，那些知道的人，也没有动力去分享他们的发现。

在C3PR的例子中，知道的人很早就意识到了危险，而使跑路成为可能的代码总是存在的。

而这次C3PR跑路事件，卷走了超过1200万美元的用户资金，可以说是有史以来最大的defi跑路案。

标签：COMCOMPOMPANCcomp币未来价格预测comp币最新消息comp币有什么价值Robo Inu Finance

比特币交易所热门资讯