譯者注:近日,Compounder.finance用戶被盜走超過1200萬美元的資金,讓人吃驚的是,這次攻擊事件的罪魁禍首并非黑客,而是項目方本身,這也是目前性質最惡劣的DeFi跑路事件,原文由rekt團隊撰寫。
這里是罪人的希望,因為他們的罪過在匿名斗篷的保護下被遺忘了。
Rekt來到這里是為了照亮罪行,揭露攻擊者的方法,而我們好以此為鑒。
Compounder.finance的網站及官方Twitter賬戶都被項目方刪除了,而一份完整的安全審計報告為我們的調查提供了唯一的線索。
RektHQ現在正忙著呢,我們開始調查的時候事件已經發生了幾個小時…當我們聯系審計方時,他們似乎并不希望看到我們。
“請不要發那樣該死的內容,你真的嚇到我了,weakerhands可能會報告這件事或一些狗屎。”
在我們提供了一些保證之后,Solidity.finance向我們提供了他們與compounder.finance交談的完整聊天記錄。
其他受害者也向我們伸出援手,展示了他們與compounder管理者進行的早期交談,并表達了他們的擔憂。
富達(Fidelity)正式申請現貨比特幣ETF:金色財經報道,金融服務巨頭富達(Fidelity)已再次提交比特幣現貨ETF申請。據悉,富達在提交的申請文件中表示,其推出的Wise Bitcoin Trust(一款現貨比特幣ETF)將幫助美國投資者規避風險。
注:富達曾于2021年首次申請比特幣現貨ETF,但最終于2022年初被SEC拒絕。[2023/6/30 22:09:20]
Solidity.finance告訴我們,他們僅與compounder管理員進行了簡短交談,他們確實審核了合約,并且他們在文檔中指出,盡管資金池有一個時間鎖控制,但這個時間鎖并沒有提供任何保護。
以下內容來自他們的聊天記錄:
在我們調查的這個階段,solidity.finance仍然是存在疑點的,我們想知道他們為何會認為compounder.finance團隊看起來“非常值得信賴”。
在閱讀聊天記錄時,我們注意到盡管帳戶被刪除了,但保留了一個用戶名“keccak”。
盡管solidity.finance表示keccak已經刪除了他們的帳戶,但我們已經找到了他們的帳戶,并正在嘗試聯系。
Lido與預言機Pyth Network達成合作,以提升stETH支持產品的流動性:6月29日消息,Lido與Jump Trading旗下預言機項目Pyth Network達成合作,旨在將實時、無需許可的stETH價格數據提供給20多條區塊鏈網絡。
本次合作提升了stETH支持產品的可訪問性和流動性,激發了DeFi創新,并吸引尋求了解stETH的用戶。[2023/6/29 22:09:00]
不幸的是,Vlad不想通電話,所以我們給他們發了一條消息,但并沒有期望他能夠回應。
直到……
Vlad準備好交談了,不幸的是,他并不想合作。
我們仍可以通過@keccak在Telegram上找到Vlad/keccak,但是他不再回應,并刪除了他賬戶中的圖片。
我們將他的舊頭像附在此處,供大家參考和調查。
我們被告知,圖中的狼來自一部著名的烏克蘭動畫片,上面寫著“comebyifsomethingcomesup”,而左邊則是反核武器的海報。
不幸的是,這對受影響的用戶并沒有太多幫助。
在認清Vlad不想談話的情況后,我們訪問了Compounder的官方電報群,而里面的人們都很歡迎我們。
Waves Labs去年曾在長達半年的黑客攻擊中遭受“財務損失”:5月17日消息, Waves創始人Sasha Ivanov(Aleksandr Ivanov)在接受采訪時表示,黑客去年入侵了Waves Labs,破壞了內部數據并造成了“財務損失”。黑客“潛入”Waves的管理軟件系統,并試圖從這家陷入困境的區塊鏈公司敲詐錢財。黑客告訴Ivanov:“我們已經在你的系統里潛伏半年了。所以我們什么都知道,你必須付錢給我們。”Ivanov拒絕透露黑客攻擊造成的具體經濟損失,也沒有提供有關被盜數據的詳細信息。Ivanov表示:“情況非常糟糕,我們可能會遭受更大的經濟損失。”對Wave內部系統的黑客攻擊也有可能泄露用戶的數據。[2023/5/17 15:08:36]
滾動瀏覽聊天內容時,我們看到了由官方跑路行為所引發的典型反應。
即使是大玩家也遭到了這次跑路事件的重創,受害者們成立了一個調查小組,其中帶頭人損失了100萬美元,他們試圖進行報仇。
帖子可以在這里找到。
https://twitter.com/defiyield_info/status/1333731633393004545?s=20
數據:50000枚ETH從Gemini轉入未知錢包:金色財經報道,WhaleAlert數據顯示,50,000枚ETH(約72,117,288美元)從Gemini轉移至未知錢包。[2022/9/17 7:02:32]
統計數字
作為調查的一部分,我們找到了Solidity.finance以及來自StakeCapital的@vasa_develop,并要求他們合作創建一份完整的事后分析報告。
以下數據來自他們的報告。
被盜取的資產:
8,077.540667WEth;
1,300,610.936154161964594323yearn:yCRV金庫;
0.016390153857154838COMP;
105,102,172.66293264CompoundUSDT;
97,944,481.39815207CompoundUSDCoin;
1,934.23347357CompoundWBTC;
23.368131489683158482Aave計息YFI;
研究人員發現比特幣閃電網絡漏洞,或致750枚BTC被盜:8月12日消息,伊利諾伊大學的研究人員發現了比特幣閃電網絡的漏洞,可能導致750枚BTC(約1800萬美元)被盜。
兩位研究人員Cosimo Sguanci和Anastasios Sidiropoulos發表了一篇論文,用一個假設的情況解釋了Layer 2網絡中的漏洞,即惡意節點可以合謀進行攻擊:“一個只有30個節點的聯盟可以通過僵尸攻擊鎖定31%通道的資金約2個月,并可以通過大規模的雙花攻擊竊取超過750枚比特幣。”
根據這篇論文,僵尸攻擊是一種破壞行為,它會阻塞網絡,使閃電網絡無法使用。研究人員指出,防御這種攻擊的唯一方法是讓誠實節點關閉它們的通道,并返回到比特幣Layer 1網絡,但這將花費大量的交易費用。(Crypto Slate)[2022/8/12 12:22:05]
6,230,432.06773805CompoundUniswap;
跑路后,官方將資金轉移到了以下這些錢包:
https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI;
https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI,39.05381415WBTC,4.38347845834390477CP3R,0.004842656997849285COMP,0.000007146621650034UNI-V2。
部署者通過Tornado.cash隱藏其資金來源,并向7個不同的地址發送了ETH,其中大部分都只有一筆交易。然而,其中有一個地址在11月19日、20日、22日以及23日分別收到了4筆付款。該地址的大部分資金都來自一個持有超過100萬KORE代幣的地址。
攻擊分析
這次攻擊事件的罪魁禍首,是項目方在完成審計后在其代碼庫中添加了7個惡意策略合約。
策略合約中的非惡意withdraw函數如下所示:
注意,我們有了一些檢查,比如:
這些檢查在7份惡意策略合約中是缺失的。這允許控制者合約從策略中提取資產。
完整的跑路過程可以分為4個步驟進行解釋:
步驟1
Compounder.Finance部署者部署了包含操縱withdraw()函數的7個惡意策略。
步驟2
Compounder.Finance部署者通過Timelock交易在StrategyController中設置并批準7個惡意策略。
步驟3
Compounder.Finance部署者在StrategyController上調用inCaseStrategyTokenGetStuck(),它濫用了惡意策略的可操縱withdraw函數,將策略中的代幣轉移到StrategyController,并對7種惡意策略都執行這種操作。
步驟4
Compounder.Finance部署者在StrategyController上調用了inCaseTokensGetStuck()?,該函數將代幣從StrategyController傳輸到Compounder.Finance部署者地址。現在,Compounder.Finance部署者完全控制了用戶的資產,共計價值12,464,316.329美元。
資產已被轉移到此處列出的多個地址。
感謝@vasa_develop提供的出色分析工作。
如果你是舉報人,網絡偵探或Etherscan偵探,并且你有線索貢獻,請與我們聯系。
那應該怪誰?
經過我們的分析,我們知道這不是審計方的問題,他們盡職地完成了自己的任務,確保CompounderFinance不受外部攻擊的影響,同時他們也在審計報告和聊天群中表達了他們的擔憂。
也許他們本可以更明顯地表達出這些擔憂,但最終,最終責任還是在存儲者的身上。
盡管Compounder.finance使用了時間鎖來表明他們不會跑路,但現在我們知道,這種方法是不可信的。如果使用了它,則應建立一個自動警報系統或儀表板,以監控該地址的交易。
并且24小時的時間鎖,似乎不足以讓用戶移除自己的資金。盡管我們不能說所有匿名創始人的項目都是騙局,但幾乎所有的騙局,都是來自匿名創始人的項目。作為一個社區,我們需要警惕這些項目,尤其是那些使用Tornado.cash來隱藏資金來源的項目。
此外,審計報告的存在,不足以保證項目的安全性及合法性。審計通常更關注來自外部攻擊者的風險,而不是內部攻擊者,這也許是審計師需要改進的一個領域。
即使有審計、時間鎖以及燃燒掉的密鑰,存儲用戶總是任由項目方的擺布,他們隨時可能向市場投放大量的代幣。
來自Solidity.Finance的官方聲明
“C3PR部署了新的“策略合約”,這使得團隊可以清空用戶資金所在的策略合約。他們有延遲24小時交易的時間限制,但我們警告說,這是不夠的,因為誰會關注呢?他們在24小時前就通過這筆交易開始了這個改變:
5個小時前,他們盜走了資金。
我們主要關注的是來自外部的攻擊,我們意識到了這種風險,但其只延遲了24小時,而沒有人關注這些動作。”
我們都知道我們應該在投資前檢查智能合約,但這里的知識壁壘很高,不是每個人都知道該找什么,那些知道的人,也沒有動力去分享他們的發現。
在C3PR的例子中,知道的人很早就意識到了危險,而使跑路成為可能的代碼總是存在的。
而這次C3PR跑路事件,卷走了超過1200萬美元的用戶資金,可以說是有史以來最大的defi跑路案。
Tags:COMCOMPOMPANCcombo幣置換前的價格compound幣最新消息comp幣價格今日行情Liqwid Finance
12月4日,去中心化借貸平臺Aave宣布V2?版本主網上線。V2版本已通過多家審計,并新增批量閃電貸、抵押品還款、本地信用授權、固定和可變借款利率等多種新功能.
1900/1/1 0:00:0012月5日,“相信未來--2020世界區塊鏈大會·武漢”在武漢國際會展中心正式開幕。大會由巴比特主辦,并得到了武漢市政府、江漢區政府、武漢市經信局、中國信通院等部門單位的大力支持.
1900/1/1 0:00:00為豐富直播互動,提升直播訪談價值,Gate.io直播間將定期邀請區塊鏈行業從業者帶來優質的內容知識,共同探討行業發展.
1900/1/1 0:00:0012月3日,2020年央廣網教育峰會在京舉行。本次教育峰會以“乘風破浪,聚教未來”為主題,聚集了業界著名專家學者、企業領袖及媒體人士,聚焦數字時代教育行業的創新與發展,共同分享和探討新時代我國教.
1900/1/1 0:00:00齊海論幣:別說自己看不清方向是你已經迷途了,我從沒怪過你,只是偶爾失望,可以選擇放棄,但不能放棄選擇,在最悲傷的時候不能失去信念,在最幸福的時候不能忘記挫折.
1900/1/1 0:00:00標普道瓊斯指數已經正式宣布:它們將于2021年推出加密貨幣指數,成為最新一家進入數字資產行業的大型金融公司.
1900/1/1 0:00:00