八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?
在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。
在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。
但有一种情况是例外.....
北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。
CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。
Web3游戏DAO Game7公布开源技术资助计划的首批受助项目:6月20日消息,由BitDAO和Forte支持的Web3游戏DAO Game7公布开源技术资助计划的首批受助项目,含去中心化游戏开发工具包Jolly Roger(支持浏览器内置索引和EVM兼容网络的Web3游戏集成)、基于Cairo VM和StarkNet技术堆栈的链上游戏引擎Dojo Engine、开源链上游戏Primodium。[2023/6/20 21:48:39]
经统计,Compounder.Finance最终共损失约价值8000万人民币的代币。
攻击事件经过如下:
图一:inCaseTokenGetStuck()函数
Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。
ApeCoin DAO 社区关于“推出.ape 域名服务”的提案未获通过:金色财经报道,据snapshot数据显示,ApeCoin DAO 社区关于“推出.ape 域名服务”的提案未获通过,据悉该提案拟建设ApeCoin生态域名服务,主要基础设施包括 DApp、域名解析器和协议逻辑,实施步骤包括创建DApp 并对其进行Beta测试、测试版、对Yuga Labs NFT ID开放铸造、对APE持有者开放铸造且对所有人开放。根据投票结果显示,反对票比例达到95.82%。[2023/5/25 10:39:48]
调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。
Solana联合创始人:希望看到以太坊的成功:金色财经报道,Solana Labs的联合创始人兼首席运营官Raj Gokal表示,以太坊的合并可能是区块链在更大范围内扩张的开始。Gokal说该公司希望“看到以太坊成功”,部分原因是它可以推动整个行业的信心。(CoinDesk)[2022/9/14 13:28:13]
图二:Compounder.Finance:StrategyControllerV1中strategist角色地址
图三:?项目管理者盗取代币的交易举例
项目管理者盗取代币的交易列表:
●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056
Celcius CEO近日将其17475枚CEL代币兑换成价值28242美元的ETH:8月10日消息,Celsius Network首席执行官Alex Mashinsky将他持有的部分CEL代币套现。加密情报公司Nansen和Arkham intelligence识别出了一个加密地址为Alex Mashinsky所有,该地址在上周六和周二在去中心化交易所UniSwap上的多笔交易中以17475枚CEL交换了价值28242美元的ETH,这是Mashinky自5月下旬以来进行的第一笔交易。(CoinDesk)[2022/8/10 12:14:28]
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)
加密矿企HIVE因财报推迟要求加拿大监管机构禁止高管交易其股票:金色财经报道,加密矿企HIVE Blockchain Technologies 要求加拿大的证券监管机构禁止高管交易该公司的股票,原因是其财务报表延迟。HIVE预计将在 7 月 15 日之前提交其本财年的年度申报,而不是最初预计的6月29日。由于延迟,HIVE要求加拿大所有省和地区的监管机构发布一项临时命令,禁止董事、高级职员和内部人员交易HIVE股票。一旦文件最终确定,对公司员工的禁令有望解除。
数据显示,HIVE的股价当天从4.42加元(3.43 美元)跌至4.01加元(3.01 美元),跌幅超过 10%。(blockworks)[2022/6/30 1:40:43]
●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)
●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)
●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)
●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)
●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)
当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。
目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。
此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:
1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。
2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。
项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。
欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。