起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

译者注:近日,Compounder.finance 用户被盗走超过 1200 万美元的资金,让人吃惊的是,这次攻击事件的罪魁祸首并非黑客,而是项目方本身,这也是目前性质最恶劣的 DeFi 跑路事件,原文由 rekt 团队撰写。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

这里是罪人的希望,因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt 来到这里是为了照亮罪行,揭露攻击者的方法,而我们好以此为鉴。

Compounder.finance 的网站及官方 Twitter 账户都被项目方删除了,而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ 现在正忙着呢,我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时,他们似乎并不希望看到我们。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

“请不要发那样该死的内容,你真的吓到我了, weaker hands 可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后,Solidity.finance 向我们提供了他们与 compounder.finance 交谈的完整聊天记录。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

其他受害者也向我们伸出援手,展示了他们与 compounder 管理者进行的早期交谈,并表达了他们的担忧。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

Solidity.finance 告诉我们,他们仅与 compounder 管理员进行了简短交谈,他们确实审核了合约,并且他们在文档中指出,尽管资金池有一个时间锁(timelock)控制,但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录:

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

在我们调查的这个阶段,solidity.finance 仍然是存在疑点的,我们想知道他们为何会认为 compounder.finance 团队看起来“非常值得信赖”。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

在阅读聊天记录时,我们注意到尽管帐户被删除了,但保留了一个用户名“ keccak”。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

尽管 solidity.finance 表示 keccak 已经删除了他们的帐户,但我们已经找到了他们的帐户,并正在尝试联系。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

不幸的是,Vlad 不想通电话,所以我们给他们发了一条消息,但并没有期望他能够回应。

直到……

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

Vlad 准备好交谈了,不幸的是,他并不想合作。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

我们仍可以通过 @keccak 在 Telegram 上找到 Vlad / keccak,但是他不再回应,并删除了他账户中的图片。

我们将他的旧头像附在此处,供大家参考和调查。

我们被告知,图中的狼来自一部著名的乌克兰动画片,上面写着“come by if something comes up”,而左边则是反核武器的海报。

不幸的是,这对受影响的用户并没有太多帮助。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

在认清 Vlad 不想谈话的情况后,我们访问了 Compounder 的官方电报群,而里面的人们都很欢迎我们。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

滚动浏览聊天内容时,我们看到了由官方跑路行为所引发的典型反应。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

即使是大玩家也遭到了这次跑路事件的重创,受害者们成立了一个调查小组(686 名成员),其中带头人损失了 100 万美元,他们试图进行报仇。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

帖子可以在这里找到。

https://twitter.com/defiyield_info/status/1333731633393004545?s=20

1

统计数字

作为调查的一部分,我们找到了 Solidity.finance 以及来自 Stake Capital 的 @vasa_develop,并要求他们合作创建一份完整的事后分析报告。

以下数据来自他们的报告。

被盗取的资产(8 种):

  • 8,077.540667 WEth (价值 4,820,030 美元);

  • 1,300,610.936154161964594323 yearn: yCRV 金库(价值 1,521,714.8 美元);

  • 0.016390153857154838 COMP (价值 1.79 美元);

  • 105,102,172.66293264 Compound USDT (价值 2,169,782.85 美元);

  • 97,944,481.39815207 Compound USD Coin (价值 2,096,403.68 美元);

  • 1,934.23347357 Compound WBTC (价值 744,396.89 美元);

  • 23.368131489683158482 Aave 计息 YFI (价值 628650.174379401 美元);

  • 6,230,432.06773805 Compound Uniswap (价值 466378.99 美元);

跑路后,官方将资金转移到了以下这些钱包:

部署者通过 Tornado.cash 隐藏其资金来源,并向 7 个不同的地址发送了 ETH,其中大部分都只有一笔交易 。然而,其中有一个地址在 11 月 19 日、20 日、22 日以及 23 日分别收到了 4 笔付款。该地址的大部分资金都来自一个持有超过 100 万 KORE 代币的地址(在跑路前,该地址只有 1 万 KORE 代币)。

2

攻击分析

这次攻击事件的罪魁祸首,是项目方在完成审计后在其代码库中添加了 7 个恶意策略合约。

策略合约中的非恶意 withdraw ()函数如下所示:

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

注意,我们有了一些检查,比如:

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

这些检查在 7 份恶意策略合约中是缺失的。这允许控制者合约(由跑路策略师控制)从策略中提取资产。

(注意下面的恶意 withdraw 函数中缺失的检查)

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

完整的跑路过程可以分为 4 个步骤进行解释:

步骤 1

Compounder.Finance 部署者部署了包含操纵 withdraw() 函数的 7 个恶意策略。

步骤 2

Compounder.Finance 部署者通过 Timelock (24 小时)交易在 StrategyController 中设置并批准 7 个恶意策略。

步骤 3

Compounder.Finance 部署者(策略师)在 StrategyController 上调用 inCaseStrategyTokenGetStuck(),它滥用了恶意策略的可操纵 withdraw ()函数,将策略中的代币转移到 StrategyController,并对 7 种恶意策略都执行这种操作。

步骤 4

Compounder.Finance 部署者(策略师)在 StrategyController 上调用了 inCaseTokensGetStuck() ,该函数将代币从 StrategyController 传输到 Compounder.Finance 部署者地址。现在,Compounder.Finance 部署者完全控制了用户的资产,共计价值 12,464,316.329 美元。

资产已被转移到此处列出的多个地址。

感谢 @vasa_develop 提供的出色分析工作。

如果你是举报人,网络侦探或 Etherscan 侦探,并且你有线索贡献,请与我们联系。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

3

那应该怪谁?

经过我们的分析,我们知道这不是审计方的问题,他们尽职地完成了自己的任务,确保 Compounder Finance 不受外部攻击的影响,同时他们也在审计报告和聊天群中表达了他们的担忧。

也许他们本可以更明显地表达出这些担忧,但最终,最终责任还是在存储者的身上。

尽管 Compounder.finance 使用了时间锁来表明他们不会跑路,但现在我们知道,这种方法是不可信的。如果使用了它,则应建立一个自动警报系统或仪表板,以监控该地址的交易。

并且 24 小时的时间锁,似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是骗局,但几乎所有的骗局,都是来自匿名创始人的项目。作为一个社区,我们需要警惕这些项目,尤其是那些使用 Tornado.cash 来隐藏资金来源的项目。

此外,审计报告的存在,不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险,而不是内部攻击者,这也许是审计师需要改进的一个领域。

即使有审计、时间锁(timelock)以及燃烧掉的密钥,存储用户总是任由项目方的摆布,他们随时可能向市场投放大量的代币。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

4

来自 Solidity.Finance 的官方声明

“C3PR 部署了新的“策略合约”,这使得团队可以清空用户资金所在的策略合约。他们有延迟 24 小时交易的时间限制,但我们警告说,这是不够的,因为谁会关注呢?他们在 24 小时前就通过这笔交易开始了这个改变:

5 个小时前,他们盗走了资金。

我们主要关注的是来自外部的攻击,我们意识到了这种风险,但其只延迟了 24 小时,而没有人关注这些动作。”

我们都知道我们应该在投资前检查智能合约,但这里的知识壁垒很高,不是每个人都知道该找什么,那些知道的人,也没有动力去分享他们的发现。

在 C3PR 的例子中,知道的人很早就意识到了危险,而使跑路成为可能的代码总是存在的。

而这次 C3PR 跑路事件,卷走了超过 1200 万美元的用户资金,可以说是有史以来最大的 defi 跑路案。

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

原文:https://rekt.ghost.io/deathbed-confessions-c3pr/

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元

欢迎加入社群,与我们讨论如何参与更多 DeFi 项目、探索 DeFi 规则原理~

加入方式:扫码关注,后台点击【加入社群】

DeFi 之道公众号后台

回复“财富”获取 DeFi 热门项目白皮书合集 !

回复“研究”获取 DeFi 研究报告合集!

回复“论文”获取 DeFi 相关论文合集!

干货持续更新中,敬请关注……

起底 Compounder.finance 恶性 DeFi 跑路案,项目方收割超 1200 万美元