八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?
在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。
在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。
但有一种情况是例外.....
北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。
CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。
DFINITY发展副总裁:DAO 模型可以将这项技术带给全球受众:金色财经报道,DFINITY发展副总裁Lomesh Dutta发文称,为了真正使社区控制的治理变得有效,需要就 DAO 性能的评估和持续的增强进行持续的对话。这些结构永远不应该真正“完成”,因为未来的情有可原的情况可能总是会促使需要进化和改变。新的风险可能会出现,或者经济状况可能会出现不可预见的情况。然而,这正是真正的去中心化治理如此强大的原因。当社区了解情况并拥有发言权时,它可以有机地应对新的挑战和需求。
DAO 模型可以将这项技术带给全球受众。任何企业或项目都可以以这种方式运行,它最终将使这些系统摆脱导致失败和腐败的分层方法。为整个社区提供真正的民主权力并促进透明的做法是 DAO 的未来,现在是这些组织做出转变的时候了。[2023/7/1 22:12:17]
经统计,Compounder.Finance最终共损失约价值8000万人民币的代币。
DFINITY:Internet Computer已可通过Canister智能合约转移ICP:11 月 25 日,DFINITY 宣布社区已通过 NNS 提案 #31471。该提案的通过,意味着 Internet Computer 用户已可通过 Canister 智能合约持有或转移 ICP,也意味着 Internet Computer 在 DeFi 领域获得进一步的发展。DFINITY 表示,去中心化聊天应用 OpenChat 将很快允许用户通过即时消息相互发送 ICP,一系列 DApps 和市场也将实现不同的集成。
此外,NNS 提案 #31471 也标志着完全在主权区块链上运行的去中心化交易平台时代的到来,近期一位社区开发者在 Internet Computer 上发布了 Uniswap 前端,以展示传统 DeFi 解决方案如何完全运行在区块链上。受益于 NNS 提案 #31471,甚至像 Coinbase、Binance 和 Crypto.com 这样的中心化交易平台也可以完全上链。[2021/11/26 7:11:39]
攻击事件经过如下:
DFINITY已生成超过2.09亿个区块,区块数量每周平均增长32%:9月21日消息,官方消息,DFINITY Foundation表示,自创世以来,DFINITY已生成超过2.09亿个区块,区块数量每周平均增长32%。区块计数指标反映了互联网计算机的速度和容量。[2021/9/21 23:40:19]
图一:inCaseTokenGetStuck()函数
Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。
调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。
首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯,近日,DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞,攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息,严重威胁用户信息安全。为避免发生KYC泄露的恶性事件,DVP安全团队在收到该漏洞后,第一时间通知该平台进行修复,但未收到回应。DVP提醒相关用户关注个人信息安全,以免造成损失。[2019/8/13]
图二:Compounder.Finance:StrategyControllerV1中strategist角色地址
图三:?项目管理者盗取代币的交易举例
项目管理者盗取代币的交易列表:
●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056
IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)
●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)
●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)
●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)
●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI...)
●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe
From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)
当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。
目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。
此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:
1.?当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。
2.?投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。
项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。