NAN:CertiK:八千万人民币不翼而飞,Compounder.finance内部操作攻击分析_UND

八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。

在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。但有一种情况是例外.....北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生数笔大额交易。CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。经统计,Compounder.Finance最终共损失约价值八千万人民币的代币。攻击事件经过如下:

福布斯:以太坊上海升级后将有价值290亿美元的ETH被解锁:2月13日消息,据福布斯报道,根据数据提供商Staking Rewards的数据,目前约有14%的ETH被质押,市值约为290亿美元。而在上海升级后,用户将可以提取这些资产。鉴于资产已被长期锁定以及加密市场悬而未决的不确定性,人们担心许多验证者会撤回并出售他们抵押的以太坊,这可能会给以太坊的价值带来压力。

据Galaxy Digital称,以太坊上至少75%的质押ETH由中介机构控制,例如 Coinbase或Kraken等交易所,或Lido或Rocketpool等特殊平台,这意味着绝大多数抵押者不会能够直接发起自己的取款。预计大部分提款将来自以太坊最大的质押平台Lido,该平台允许用户质押任意数量的以太币,而不是32 ETH的门槛。而Staking Rewards研究主管Allan Wojnowski表示:“排队过程和Lido的大量提款份额将大大减缓提款过程中的任何抛售压力,因为在提现功能存在之前就需要有信心押注以太坊,早期的质押者不太可能寻求退出,而且尽管有报道预测会出现大量提现,但平均每天仍有20,800枚ETH继续质押。”质押中介机构可能会获得巨大收益,摩根大通(JPMorgan)估计,在上海升级后,Coinbase 95%的散户投资者可能会参与质押以太坊,按当前价格计算,这可能会给交易所带来2.25亿至5.45亿美元的年收入。

此前金色财经报道,2月7日以太坊首个公共提款测试网Zhejiang已成功模拟上海升级,公共测试网Sepolia计划于2月28日升级,之后计划在2月底或3月初在以太坊Goerli测试网上发布上海升级,过渡成功后,将转向主网。[2023/2/13 12:03:10]

福布斯:SBF对Alameda Research了如指掌,至少五次向其发送过Alameda详细信息:12月4日消息,据福布斯披露,FTX前首席执行官Sam Bankman-Fried(SBF)并非像他此前所说的“对Alameda财务状况并不了解”,事实上,自2021年1月以来,SBF至少五次向福布斯发送了Alameda部分主要持股的详细信息,以回应有关他的问题净值,包括解释某些交易的细节和更新阿拉米达持有的FTT、Solana和Serum代币的数量,此外,最近一次发送详细信息是在8月下旬。(福布斯)[2022/12/4 21:22:04]

图一:inCaseTokenGetStuck()函数Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。

福布斯:FTX与超53家机构有业务往来:11月11日消息,FTX曾于8月末向福布斯提供了一份和其有业务往来的公司名单,其中包括超53家审计机构、银行和保险公司。包括美国苏利文·克伦威尔律师事务所(Sullivan & Cromwell LLP)、世达国际律师事务所(Skadden)、支付处理商Stripe、支付平台Plaid、亚马逊AWS、四大会计师事务所之一德勤(Deloitte)、加密友好银行Silvergate Bank。当被问及是否涉及FTX近期相关事件时,上述大多数机构要么拒绝被曝光,要么拒绝对此发表评论。

FTX拥有超过100万个用户,约占Coinbase活跃客户群的1%,但FTX以机构账户为主,平均客户资金规模超过64万美元,而零售型交易平台平均客户资金规模约3000-5000美元。(福布斯)[2022/11/11 12:49:47]

福布斯:美国国税局或将对加密交易所进行更严格审查:10月7日消息,美国财政部税务总局(TIGTA)最近进行的审计发现,由于不良的第三方信息报告,美国国税局(IRS)难以识别使用虚拟货币交易的纳税人。随着未申报加密税案件的数量增加,政府已要求国税局通过对加密交易实施更严格的规则来减少这种信息鸿沟。第三方信息报告是美国国税局(IRS)使用的一种智能机制,可确保税收合规,包括工资和税收报表(表格W-2),经纪人和易货交易的收入(表格1099- B),利息收入(表格1099-INT)等。TIGTA审计报告指出,这些表格既不一致又无效,因为它们没有告诉IRS所报告的金额与虚拟货币有关。它敦促IRS以某种方式修改信息报告系统,以便IRS知道所报告的信息与虚拟货币有关。(福布斯)[2020/10/7]

图二:Compounder.Finance:StrategyControllerV1中strategist角色地址

Coinbase前产品经理Kristen Stone担任Balancer COO:1月24日,Coinbase前产品经理Kristen Stone发推宣布担任Balancer COO。她在推特中称,作为Balancer COO,主要职责是确保组织和生态系统正常运转。我加入Balancer是因为他们致力于创建以人为本的生态系统,同时推动我所信任的产品。Kristen Stone曾在Coinbase工作5年。[2021/1/24 13:20:35]

图三:项目管理者盗取代币的交易举例项目管理者盗取代币的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:1.当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。2.投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-4:898ms