CertiK：八千萬人民幣不翼而飛，Compounder.finance內部操作攻擊分析_NAN

八千萬人民幣的大案子，是不是想起了《人民的名義》里那一墻的人民幣？在日常生活里，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。但有一種情況是例外.....北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大額交易。CertiK安全技術團隊驗證后，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。經統計，Compounder.Finance最終共損失約價值八千萬人民幣的代幣。攻擊事件經過如下：

CertiK：Star Protocol項目Discord服務器遭黑客入侵:金色財經報道，據CertiK官方推特發布消息稱，Star Protocol項目Discord服務器遭黑客入侵。在團隊確認已重獲對服務器的控制之前，請勿點擊任何鏈接。[2023/7/11 10:47:24]

圖一：inCaseTokenGetStuck()函數Compounder.Finance項目擁有者通過多次調用如圖一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。

CertiK：Orbiter Finance推特賬號被入侵并發布網絡釣魚鏈接:金色財經報道，據CertiK監測，Layer 2橋接項目Orbiter Finance的推特賬號已被入侵并發布了一個網絡釣魚網址，請勿點擊鏈接。此外，Orbiter Finance的推特賬號還發布了一個文檔鏈接，請勿點擊、互動或下載。[2023/6/24 21:57:40]

圖二：Compounder.Finance:StrategyControllerV1中strategist角色地址

Cere即將上線 預計在2021 Q1啟動Alpha主網:據官方消息，Cere近期將會公布公募信息、大使計劃，預計在2021 Q1啟動Alpha主網。cere即將上線，少數不法分子盯上了cere，官方在此提醒廣大社區愛好者：所謂的0.009U私募價格，上線33%釋放等都是虛假信息，具體確切的信息請關注官方電報群。

Cere是Polkadot上的去中心化數據云平臺，致力于用戶數據安全并服務于多家大型企業。

Cere的投資方包括Binance Labs、Arrington CRP Capital、NGC Ventures 和分布式資本等。Cere目前正在為媒體，旅游，零售行業的《財富》1000強公司開發商業項目，幫助企業們提升用戶體驗并進行數位化轉型。[2020/12/30 16:04:22]

圖三:項目管理者盜取代幣的交易舉例項目管理者盜取代幣的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)當今DeFi市場中存在著項目擁有者權限過大，中心化程度過高的項目比比皆是。目前對項目擁有者缺乏額外治理或者限制措施，由于此類原因導致的內部操作攻擊事件也逐漸增多。此次事件造成損失巨大，攻擊技術細節簡單，更是為所有DeFi項目敲響了警鐘：1.當前DeFi市場中缺乏對項目擁有者進行有效限制的方法。2.投資者對該類安全風險主要還是依靠查找項目背書的方式來進行確認。項目的安全與否不該依賴于項目擁有者或團隊自身的“選擇”，這樣的防范方式并不可行，從智能合約代碼層面對項目擁有者進行權限限制才能從根本上杜絕此類攻擊。歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價！

Larry Cermak談“聘請0xMaki領導Sushi”：預先支付50萬SUSHI實在太多了:The Block研究總監、Sushiswap九名多簽見證人之一Larry Cermak發推就（Adam Cochran提議的）“聘請Sushiswap聯合創始人0xMaki全職領導項目”的提案表示：我完全支持給予創始人更多獎勵，但預先支付50萬SUSHI代幣實在太多了，我不會支持這個提案，我建議降低預先支付的金額，將更多資金改為長期支付。

注：此前，Cinneamhain Venutres合伙人Adam Cochran提交了一項提案投票，旨在聘請0xMaki來領導該項目。該提案指出，如果聘請0xMaki全職領導項目，將會：

1. 預先支付50萬SUSHI代幣，并在鎖定一份50萬SUSHI幣的創始人捐贈；

2. 如果兩年后繼續為SUSHI工作還會支付額外50萬SUSHI幣報酬。[2020/9/12]

波卡DeFi公鏈RioDeFi技術代碼通過安全公司Certik審計:網絡安全公司Certik剛剛發布了他們對RioDeFi技術代碼的審計報告， CertiK還對RioDeFi以及RioDeFi錢包進行全面的審核和滲透測試。在審計中，Certik肯定了RioDeFi執行安全測試的主動性,并表明對RioDeFi安全性價值的贊賞。這項審計工作是從六個月前就開始進行了，經過長達六個月的雙方密切合作終于完成了這項審計。RioDeFi是以Substrate和RUST作為底層協議開發跨鏈型公鏈，RioDeFi是DeFi基礎架構平臺，旨在通過橋接傳統和去中心化金融來加速數字資產的采用。 這是通過跨鏈的技術將業務，金融機構和銀行與分布式去中心化系統連接起來的解決方案。[2020/9/3]

Tags：NCENANANCUNDAmericanHorror.FinanceMonsoon FinancekatanafinanceGundam City

SHIB最新價格