译者注:近日,Compounder.finance用户被盗走超过1200万美元的资金,让人吃惊的是,这次攻击事件的罪魁祸首并非黑客,而是项目方本身,这也是目前性质最恶劣的DeFi跑路事件,原文由rekt团队撰写。
这里是罪人的希望,因为他们的罪过在匿名斗篷的保护下被遗忘了。
Rekt来到这里是为了照亮罪行,揭露攻击者的方法,而我们好以此为鉴。
Compounder.finance的网站及官方Twitter账户都被项目方删除了,而一份完整的安全审计报告为我们的调查提供了唯一的线索。
RektHQ现在正忙着呢,我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时,他们似乎并不希望看到我们。
“请不要发那样该死的内容,你真的吓到我了,weakerhands可能会报告这件事或一些狗屎。”
在我们提供了一些保证之后,Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。
韩国加密交易所Coinone以涉嫌虚假宣传为由下架PURE代币:4月24日消息,韩国加密交易所Coinone于4月21日宣布将下架Puriever(PURE),原因是“结果证实,该项目与多家媒体对其宣传的合作方不存在任何合作关系,且该项目官网向投资者提供了不正确的信息。”Puriever(PURE)发行方表示,将就此向法院对该交易所提起诉讼。据悉,Coinone正陷入其前员工对Puriever(PURE)代币受贿上币的丑闻中,且Puriever项目卷入了一场“江南杀人案”,犯罪嫌疑人曾于2022年投资PURE代币后发生了亏损,或因心生怨恨绑架杀害了Puriever项目方的一名管理人员,但Puriever项目方否认与受害者的关系。(News1)[2023/4/24 14:23:49]
其他受害者也向我们伸出援手,展示了他们与compounder管理者进行的早期交谈,并表达了他们的担忧。
Solidity.finance告诉我们,他们仅与compounder管理员进行了简短交谈,他们确实审核了合约,并且他们在文档中指出,尽管资金池有一个时间锁控制,但这个时间锁并没有提供任何保护。
以下内容来自他们的聊天记录:
在我们调查的这个阶段,solidity.finance仍然是存在疑点的,我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。
红杉资本削减其6亿美元加密基金的管理费用:1月13日消息,红杉资本合伙人Alfred Lin表示,为了应对不断放缓的投资环境,红杉资本已经削减两支新风险基金的管理费用,包括一支规模 9.5 亿美元的生态系统基金,以及一支专注于投资加密货币公司和 Token 项目的规模 6 亿美元加密基金(截止目前,该加密基金资金已部署了 10%)。
红杉资本此举或与科技公司估值暴跌以及 FTX 暴雷事件有关,但 Alfred Lin 强调,虽然红杉资本投资步伐放缓,但仍将不断推进。红杉资本是加密行业和其他多个领域的长期乐观主义者。[2023/1/13 11:10:58]
在阅读聊天记录时,我们注意到尽管帐户被删除了,但保留了一个用户名“keccak”。
尽管solidity.finance表示keccak已经删除了他们的帐户,但我们已经找到了他们的帐户,并正在尝试联系。
彭博社:Celsius已收到美国大陪审团传票:金色财经报道,破产的加密货币借贷服务提供商Celsius已收到美国大陪审团传票,这意味着美国检察官和几家联邦监管机构将从Celsius Network Ltd那里寻求更多证据信息,传票内容显示,SEC、CFTC 和 FTC 也向Celsiu公司发出了询问。
据悉,大陪审团可以使用法院的权力传唤证据,尽管他们也可以邀请(而不是指挥)证人作证。如果收到传票,但认为不应该出庭作证,或者认为传票的要求是“无理或压制”,那么可以提出一个动议来消除这种声音。Celsius表示,他们正在配合所有监管调查。[2022/10/17 17:28:14]
不幸的是,Vlad不想通电话,所以我们给他们发了一条消息,但并没有期望他能够回应。
直到……
Vlad准备好交谈了,不幸的是,他并不想合作。
我们仍可以通过/img/20230515215108894945/12.jpg "/>
研究:63% 的交易员看空加密货币:金色财经报道,根据最近的嘉信理财交易员情绪调查,90% 的交易员认为美国经济衰退的可能性很大,其中 74% 的交易员相信它将在今年开始。
根据调查,18% 的交易员现在最担心经济衰退的可能性,比上一季度增加了 6%。这使得大约 63% 的回应交易者对加密货币和 meme 股票尤其负面。
调查还显示 ,很少有交易者打算购买加密货币,但他们只包括非首次投资者和经验丰富的买家。(beincrypto)[2022/8/12 12:20:07]
在认清Vlad不想谈话的情况后,我们访问了Compounder的官方电报群,而里面的人们都很欢迎我们。
滚动浏览聊天内容时,我们看到了由官方跑路行为所引发的典型反应。
即使是大玩家也遭到了这次跑路事件的重创,受害者们成立了一个调查小组,其中带头人损失了100万美元,他们试图进行报仇。
帖子可以在这里找到。
统计数字
作为调查的一部分,我们找到了Solidity.finance以及来自StakeCapital的/img/20230515215108894945/16.jpg "/>
注意,我们有了一些检查,比如:
这些检查在7份恶意策略合约中是缺失的。这允许控制者合约从策略中提取资产。
完整的跑路过程可以分为4个步骤进行解释:
步骤1
Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。
步骤2
Compounder.Finance部署者通过Timelock交易在StrategyController中设置并批准7个恶意策略。
步骤3
Compounder.Finance部署者在StrategyController上调用inCaseStrategyTokenGetStuck(),它滥用了恶意策略的可操纵withdraw函数,将策略中的代币转移到StrategyController,并对7种恶意策略都执行这种操作。
步骤4
Compounder.Finance部署者在StrategyController上调用了inCaseTokensGetStuck(),该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在,Compounder.Finance部署者完全控制了用户的资产,共计价值12,464,316.329美元。
资产已被转移到此处列出的多个地址。
感谢/img/20230515215108894945/19.jpg "/>
那应该怪谁?
经过我们的分析,我们知道这不是审计方的问题,他们尽职地完成了自己的任务,确保CompounderFinance不受外部攻击的影响,同时他们也在审计报告和聊天群中表达了他们的担忧。
也许他们本可以更明显地表达出这些担忧,但最终,最终责任还是在存储者的身上。
尽管Compounder.finance使用了时间锁来表明他们不会跑路,但现在我们知道,这种方法是不可信的。如果使用了它,则应建立一个自动警报系统或仪表板,以监控该地址的交易。
并且24小时的时间锁,似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是局,但几乎所有的局,都是来自匿名创始人的项目。作为一个社区,我们需要警惕这些项目,尤其是那些使用Tornado.cash来隐藏资金来源的项目。
此外,审计报告的存在,不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险,而不是内部攻击者,这也许是审计师需要改进的一个领域。
即使有审计、时间锁以及燃烧掉的密钥,存储用户总是任由项目方的摆布,他们随时可能向市场投放大量的代币。
来自Solidity.Finance的官方声明
“C3PR部署了新的“策略合约”,这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制,但我们警告说,这是不够的,因为谁会关注呢?他们在24小时前就通过这笔交易开始了这个改变:
5个小时前,他们盗走了资金。
我们主要关注的是来自外部的攻击,我们意识到了这种风险,但其只延迟了24小时,而没有人关注这些动作。”
我们都知道我们应该在投资前检查智能合约,但这里的知识壁垒很高,不是每个人都知道该找什么,那些知道的人,也没有动力去分享他们的发现。
在C3PR的例子中,知道的人很早就意识到了危险,而使跑路成为可能的代码总是存在的。
而这次C3PR跑路事件,卷走了超过1200万美元的用户资金,可以说是有史以来最大的defi跑路案。
标签:FINANANFINANCDFX FinancePrinter.FinanceNobo FinanceRFOX Finance
律动BlockBeats消息,近日,花旗银行的分析师对美国上市企业MicroStrategy的股票评级调整为「卖出」,建议其客户卖出MicroStrategy股票。此前该银行对于MicroStrategy对股票评级为「中立」.
1900/1/1 0:00:00据路透社报道,俄罗斯联邦储蓄银行(Sberbank)正在与摩根大通(JPMorgan)合作进行加密“实验”,将在明年考虑推出自己的数字货币Sbercoin.
1900/1/1 0:00:00原标题:《疯狂合作背后:YFI创始人的DeFi小宇宙》自从宣布即将推出YearnVaultsv2以来.
1900/1/1 0:00:0012月5日,“相信未来——2020世界区块链大会?武汉”在武汉国际会展中心正式开幕。大会由巴比特主办,并得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持.
1900/1/1 0:00:00首先我们要明确,在平行链正式接入波卡或者Kusama中继链上并实现跨链之前,波卡是没有真正意义上的生态的.
1900/1/1 0:00:00周二由社交媒体巨头Facebook倡导的稳定币项目Libra的管理组织Libra协会宣布,其将更名为Diem,并准备2021年推出与美元挂钩的稳定币.
1900/1/1 0:00:00