起底Compounder.finance恶性DeFi跑路案，项目方收割超1200万美元

译者注：近日，Compounder.finance用户被盗走超过1200万美元的资金，让人吃惊的是，这次攻击事件的罪魁祸首并非黑客，而是项目方本身，这也是目前性质最恶劣的DeFi跑路事件，原文由rekt团队撰写。

这里是罪人的希望，因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt来到这里是为了照亮罪行，揭露攻击者的方法，而我们好以此为鉴。

Compounder.finance的网站及官方Twitter账户都被项目方删除了，而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ现在正忙着呢，我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时，他们似乎并不希望看到我们。

“请不要发那样该死的内容，你真的吓到我了，weakerhands可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后，Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。

韩国加密交易所Coinone以涉嫌虚假宣传为由下架PURE代币:4月24日消息，韩国加密交易所Coinone于4月21日宣布将下架Puriever（PURE），原因是“结果证实，该项目与多家媒体对其宣传的合作方不存在任何合作关系，且该项目官网向投资者提供了不正确的信息。”Puriever（PURE）发行方表示，将就此向法院对该交易所提起诉讼。据悉，Coinone正陷入其前员工对Puriever（PURE）代币受贿上币的丑闻中，且Puriever项目卷入了一场“江南杀人案”，犯罪嫌疑人曾于2022年投资PURE代币后发生了亏损，或因心生怨恨绑架杀害了Puriever项目方的一名管理人员，但Puriever项目方否认与受害者的关系。（News1）[2023/4/24 14:23:49]

其他受害者也向我们伸出援手，展示了他们与compounder管理者进行的早期交谈，并表达了他们的担忧。

Solidity.finance告诉我们，他们仅与compounder管理员进行了简短交谈，他们确实审核了合约，并且他们在文档中指出，尽管资金池有一个时间锁控制，但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录：

在我们调查的这个阶段，solidity.finance仍然是存在疑点的，我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。

红杉资本削减其6亿美元加密基金的管理费用:1月13日消息，红杉资本合伙人Alfred Lin表示，为了应对不断放缓的投资环境，红杉资本已经削减两支新风险基金的管理费用，包括一支规模 9.5 亿美元的生态系统基金，以及一支专注于投资加密货币公司和 Token 项目的规模 6 亿美元加密基金（截止目前，该加密基金资金已部署了 10%）。

红杉资本此举或与科技公司估值暴跌以及 FTX 暴雷事件有关，但 Alfred Lin 强调，虽然红杉资本投资步伐放缓，但仍将不断推进。红杉资本是加密行业和其他多个领域的长期乐观主义者。[2023/1/13 11:10:58]

在阅读聊天记录时，我们注意到尽管帐户被删除了，但保留了一个用户名“keccak”。

尽管solidity.finance表示keccak已经删除了他们的帐户，但我们已经找到了他们的帐户，并正在尝试联系。

彭博社：Celsius已收到美国大陪审团传票:金色财经报道，破产的加密货币借贷服务提供商Celsius已收到美国大陪审团传票，这意味着美国检察官和几家联邦监管机构将从Celsius Network Ltd那里寻求更多证据信息，传票内容显示，SEC、CFTC 和 FTC 也向Celsiu公司发出了询问。

据悉，大陪审团可以使用法院的权力传唤证据，尽管他们也可以邀请（而不是指挥）证人作证。如果收到传票，但认为不应该出庭作证，或者认为传票的要求是“无理或压制”，那么可以提出一个动议来消除这种声音。Celsius表示，他们正在配合所有监管调查。[2022/10/17 17:28:14]

不幸的是，Vlad不想通电话，所以我们给他们发了一条消息，但并没有期望他能够回应。

直到……

Vlad准备好交谈了，不幸的是，他并不想合作。

我们仍可以通过/img/20230515215108894945/12.jpg "/>

研究：63% 的交易员看空加密货币:金色财经报道，根据最近的嘉信理财交易员情绪调查，90% 的交易员认为美国经济衰退的可能性很大，其中 74% 的交易员相信它将在今年开始。

根据调查，18% 的交易员现在最担心经济衰退的可能性，比上一季度增加了 6%。这使得大约 63% 的回应交易者对加密货币和 meme 股票尤其负面。

调查还显示 ，很少有交易者打算购买加密货币，但他们只包括非首次投资者和经验丰富的买家。（beincrypto）[2022/8/12 12:20:07]

在认清Vlad不想谈话的情况后，我们访问了Compounder的官方电报群，而里面的人们都很欢迎我们。

滚动浏览聊天内容时，我们看到了由官方跑路行为所引发的典型反应。

即使是大玩家也遭到了这次跑路事件的重创，受害者们成立了一个调查小组，其中带头人损失了100万美元，他们试图进行报仇。

帖子可以在这里找到。

统计数字

作为调查的一部分，我们找到了Solidity.finance以及来自StakeCapital的/img/20230515215108894945/16.jpg "/>

注意，我们有了一些检查，比如：

这些检查在7份恶意策略合约中是缺失的。这允许控制者合约从策略中提取资产。

完整的跑路过程可以分为4个步骤进行解释：

步骤1

Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。

步骤2

Compounder.Finance部署者通过Timelock交易在StrategyController中设置并批准7个恶意策略。

步骤3

Compounder.Finance部署者在StrategyController上调用inCaseStrategyTokenGetStuck()，它滥用了恶意策略的可操纵withdraw函数，将策略中的代币转移到StrategyController，并对7种恶意策略都执行这种操作。

步骤4

Compounder.Finance部署者在StrategyController上调用了inCaseTokensGetStuck()，该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在，Compounder.Finance部署者完全控制了用户的资产，共计价值12,464,316.329美元。

资产已被转移到此处列出的多个地址。

感谢/img/20230515215108894945/19.jpg "/>

那应该怪谁？

经过我们的分析，我们知道这不是审计方的问题，他们尽职地完成了自己的任务，确保CompounderFinance不受外部攻击的影响，同时他们也在审计报告和聊天群中表达了他们的担忧。

也许他们本可以更明显地表达出这些担忧，但最终，最终责任还是在存储者的身上。

尽管Compounder.finance使用了时间锁来表明他们不会跑路，但现在我们知道，这种方法是不可信的。如果使用了它，则应建立一个自动警报系统或仪表板，以监控该地址的交易。

并且24小时的时间锁，似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是局，但几乎所有的局，都是来自匿名创始人的项目。作为一个社区，我们需要警惕这些项目，尤其是那些使用Tornado.cash来隐藏资金来源的项目。

此外，审计报告的存在，不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险，而不是内部攻击者，这也许是审计师需要改进的一个领域。

即使有审计、时间锁以及燃烧掉的密钥，存储用户总是任由项目方的摆布，他们随时可能向市场投放大量的代币。

来自Solidity.Finance的官方声明

“C3PR部署了新的“策略合约”，这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制，但我们警告说，这是不够的，因为谁会关注呢？他们在24小时前就通过这笔交易开始了这个改变：

5个小时前，他们盗走了资金。

我们主要关注的是来自外部的攻击，我们意识到了这种风险，但其只延迟了24小时，而没有人关注这些动作。”

我们都知道我们应该在投资前检查智能合约，但这里的知识壁垒很高，不是每个人都知道该找什么，那些知道的人，也没有动力去分享他们的发现。

在C3PR的例子中，知道的人很早就意识到了危险，而使跑路成为可能的代码总是存在的。

而这次C3PR跑路事件，卷走了超过1200万美元的用户资金，可以说是有史以来最大的defi跑路案。

标签：FINANANFINANCDFX FinancePrinter.FinanceNobo FinanceRFOX Finance

欧易交易所app官网下载热门资讯