在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術(shù)團隊通過Skynet發(fā)現(xiàn)Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發(fā)生多筆大額交易。

CertiK安全技術(shù)團隊驗證后，發(fā)現(xiàn)這些交易是Compounder.Finance項目擁有者內(nèi)部操作，將大量代幣轉(zhuǎn)移到自己的賬戶中。

經(jīng)統(tǒng)計，Compounder.Finance最終共損失約價值8000萬人民幣的代幣。

攻擊事件經(jīng)過如下：

圖一：inCaseTokenGetStuck函數(shù)

Compounder.Finance項目擁有者通過多次調(diào)用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck函數(shù)，將代幣轉(zhuǎn)移到自己的指定的地址中。

調(diào)用該函數(shù)時，首先在1471行會檢查外部函數(shù)調(diào)用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發(fā)現(xiàn)與Compounder.Finance項目擁有者地址一致。

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

圖三:?項目管理者盜取代幣的交易舉例

項目管理者盜取代幣的交易列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056 From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For6,230,432.06773805($458,310.58)?CompoundUni...(cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,934.23347357($745,530.95)?CompoundWra...(cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6 From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For97,944,481.39815207($2,086,547.53)?CompoundUSD...(cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822 From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For105,102,172.66293264($2,159,301.01)?CompoundUSD...(cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77 From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For1,300,610.936154161964594323($1,521,714.80)?yearnCurve....(yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe From?Compounder.Finance:StrategyControllerV1To?Compounder.Finance:Deployer?For8,077.540667($4,788,285.33)?WrappedEthe...(WETH)

當今DeFi市場中存在著項目擁有者權(quán)限過大，中心化程度過高的項目比比皆是。

目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因?qū)е碌膬?nèi)部操作攻擊事件也逐漸增多。

此次事件造成損失巨大，攻擊技術(shù)細節(jié)簡單，更是為所有DeFi項目敲響了警鐘：

1.?當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。

2.?投資者對該類安全風(fēng)險主要還是依靠查找項目背書的方式來進行確認。

項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權(quán)限限制才能從根本上杜絕此類攻擊。

熱點：中國比特幣 幣價格 比特幣 比特幣價格 特幣