COMP:起底Compounder.finance惡性DeFi跑路案，項目方收割超1200萬美元

譯者注：近日，Compounder.finance用戶被盜走超過1200萬美元的資金，讓人吃驚的是，這次攻擊事件的罪魁禍首并非黑客，而是項目方本身，這也是目前性質最惡劣的DeFi跑路事件，原文由rekt團隊撰寫。

這里是罪人的希望，因為他們的罪過在匿名斗篷的保護下被遺忘了。

Rekt來到這里是為了照亮罪行，揭露攻擊者的方法，而我們好以此為鑒。

Compounder.finance的網站及官方Twitter賬戶都被項目方刪除了，而一份完整的安全審計報告為我們的調查提供了唯一的線索。

RektHQ現在正忙著呢，我們開始調查的時候事件已經發生了幾個小時…當我們聯系審計方時，他們似乎并不希望看到我們。

“請不要發那樣該死的內容，你真的嚇到我了，weakerhands可能會報告這件事或一些狗屎。”

在我們提供了一些保證之后，Solidity.finance向我們提供了他們與compounder.finance交談的完整聊天記錄。

其他受害者也向我們伸出援手，展示了他們與compounder管理者進行的早期交談，并表達了他們的擔憂。

巴厘島將打擊使用加密貨幣作為支付方式的外國游客:5月29日消息，巴厘島政府將打擊外國游客在酒店、餐館、旅游景點、購物中心和其他地方使用加密貨幣作為支付手段。巴厘島州長 Wayan Koster 表示：外國游客行為不當，從事簽證許可中不允許的活動、使用加密貨幣作為支付手段以及違反其他規定的行為將得到堅決處理。嚴厲的措施包括驅逐出境、行政制裁、刑事處罰、關閉營業場所和其他嚴厲制裁。[2023/5/29 9:48:38]

Solidity.finance告訴我們，他們僅與compounder管理員進行了簡短交談，他們確實審核了合約，并且他們在文檔中指出，盡管資金池有一個時間鎖控制，但這個時間鎖并沒有提供任何保護。

以下內容來自他們的聊天記錄：

在我們調查的這個階段，solidity.finance仍然是存在疑點的，我們想知道他們為何會認為compounder.finance團隊看起來“非常值得信賴”。

Origin Protocol推出的ETH收益聚合器Origin Ether上線以太坊主網:5月17日消息，DeFi項目Origin Protocol宣布基于ETH的收益聚合器Origin Ether(OETH)已在以太坊主網上線，Origin Dollar Governance(OGV)作為OETH的增值和治理代幣。OGV利益相關者可以對抵押品分配、未來收益策略和OETH持有者的費用進行投票。

用戶可通過存入以太坊或LSD上質押品來鑄造OETH，Origin Ether金庫接受wETH、stETH、rETH和frxETH，并通過Origin的Zap功能接受ETH和sfrxETH。OriginEther每日以OETH的形式直接在持有人的錢包中產生一次收益，不需要Gas費用。[2023/5/17 15:07:42]

在閱讀聊天記錄時，我們注意到盡管帳戶被刪除了，但保留了一個用戶名“keccak”。

盡管solidity.finance表示keccak已經刪除了他們的帳戶，但我們已經找到了他們的帳戶，并正在嘗試聯系。

不幸的是，Vlad不想通電話，所以我們給他們發了一條消息，但并沒有期望他能夠回應。

Sushi公布新代幣經濟學提案，將激勵流動性并促進去中心化:12月31日消息，SushiSwap新任CEO Jared Grey公布新代幣經濟學提案，旨在增加流動性，為其原生代幣壽司創造更多效用，并為利益相關者提升最大價值。正式提案表示“就像最初希望實現的xSushi模型一樣，新經濟學的主要目標是通過整體和可持續的獎勵機制來促進去中心化所有權和獎勵流動性增長，該獎勵機制隨數量和費用而擴展。我們的目標是激勵長期參與壽司生態系統，同時減少提取參與者的數量。”

該提案概述了協議代幣經濟學的四個關鍵變化。其中最大變化是關于質押Sushi(xSushi)將不再獲得交易費用收益獎勵，而是獲得以Sushi支付的基于排放的獎勵。產生最多交易量的交易池的流動性提供者將獲得大部分Swap費用。此外，玩家還可以選擇新的時間鎖定機制來提高獎勵。浮動比例的交易費用還將用于從公開市場回購和銷毀Sushi，并鎖定流動性，以提供更多的價格支撐。最后的變化則是將把Sushi的排放改為1-3% APY，以降低通脹，并在整體排放與回購、燃燒和鎖定流動性之間取得平衡，這些流動性用于交易費用的價格支持。（TheBlock）[2022/12/31 22:17:48]

直到……

Vlad準備好交談了，不幸的是，他并不想合作。

我們仍可以通過@keccak在Telegram上找到Vlad/keccak，但是他不再回應，并刪除了他賬戶中的圖片。

Hut 8在2022年第三季度開采了 982 個比特幣:金色財經報道，Hut 8 Mining Corp宣布其截至 2022 年 9 月 30 日的季度（2022年第三季度）的財務業績。報告顯示，與截至 2021 年 9 月 30 日的季度（“2021 年第三季度”）的5030 萬美元相比，2022 年第三季度的收入減少了1860 萬美元至3170 萬美元。公司在 2022 年第三季度開采了 982 個比特幣，與 2021 年第三季度相比增加了 8.5%，原因是公司礦工隊伍的擴張和采礦活動的哈希率增加。[2022/11/10 12:45:15]

我們將他的舊頭像附在此處，供大家參考和調查。

我們被告知，圖中的狼來自一部著名的烏克蘭動畫片，上面寫著“comebyifsomethingcomesup”，而左邊則是反核武器的海報。

不幸的是，這對受影響的用戶并沒有太多幫助。

在認清Vlad不想談話的情況后，我們訪問了Compounder的官方電報群，而里面的人們都很歡迎我們。

滾動瀏覽聊天內容時，我們看到了由官方跑路行為所引發的典型反應。

Prime Blockchain宣布與10X Capital Venture結束12.5億美元的合并交易:金色財經報道，空白支票公司10X Capital Venture周一表示，它已經終止了與加密貨幣采礦和基礎設施公司Prime Blockchain的12.5億美元合并交易。（路透社）[2022/8/16 12:28:35]

即使是大玩家也遭到了這次跑路事件的重創，受害者們成立了一個調查小組，其中帶頭人損失了100萬美元，他們試圖進行報仇。

帖子可以在這里找到。

統計數字

作為調查的一部分，我們找到了Solidity.finance以及來自StakeCapital的@vasa_develop，并要求他們合作創建一份完整的事后分析報告。

以下數據來自他們的報告。

被盜取的資產：

8,077.540667WEth；

1,300,610.936154161964594323yearn:yCRV金庫；

0.016390153857154838COMP；

105,102,172.66293264CompoundUSDT；

97,944,481.39815207CompoundUSDCoin；

1,934.23347357CompoundWBTC；

23.368131489683158482Aave計息YFI；

6,230,432.06773805CompoundUniswap；

跑路后，官方將資金轉移到了以下這些錢包：

https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI；

https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI，39.05381415WBTC，4.38347845834390477CP3R，0.004842656997849285COMP，0.000007146621650034UNI-V2。

部署者通過Tornado.cash隱藏其資金來源，并向7個不同的地址發送了ETH，其中大部分都只有一筆交易。然而，其中有一個地址在11月19日、20日、22日以及23日分別收到了4筆付款。該地址的大部分資金都來自一個持有超過100萬KORE代幣的地址。

攻擊分析

這次攻擊事件的罪魁禍首，是項目方在完成審計后在其代碼庫中添加了7個惡意策略合約。

策略合約中的非惡意withdraw函數如下所示：

注意，我們有了一些檢查，比如：

這些檢查在7份惡意策略合約中是缺失的。這允許控制者合約從策略中提取資產。

完整的跑路過程可以分為4個步驟進行解釋：

步驟1

Compounder.Finance部署者部署了包含操縱withdraw()函數的7個惡意策略。

步驟2

Compounder.Finance部署者通過Timelock交易在StrategyController中設置并批準7個惡意策略。

步驟3

Compounder.Finance部署者在StrategyController上調用inCaseStrategyTokenGetStuck()，它濫用了惡意策略的可操縱withdraw函數，將策略中的代幣轉移到StrategyController，并對7種惡意策略都執行這種操作。

步驟4

Compounder.Finance部署者在StrategyController上調用了inCaseTokensGetStuck()，該函數將代幣從StrategyController傳輸到Compounder.Finance部署者地址。現在，Compounder.Finance部署者完全控制了用戶的資產，共計價值12,464,316.329美元。

資產已被轉移到此處列出的多個地址。

感謝@vasa_develop提供的出色分析工作。

如果你是舉報人，網絡偵探或Etherscan偵探，并且你有線索貢獻，請與我們聯系。

那應該怪誰？

經過我們的分析，我們知道這不是審計方的問題，他們盡職地完成了自己的任務，確保CompounderFinance不受外部攻擊的影響，同時他們也在審計報告和聊天群中表達了他們的擔憂。

也許他們本可以更明顯地表達出這些擔憂，但最終，最終責任還是在存儲者的身上。

盡管Compounder.finance使用了時間鎖來表明他們不會跑路，但現在我們知道，這種方法是不可信的。如果使用了它，則應建立一個自動警報系統或儀表板，以監控該地址的交易。

并且24小時的時間鎖，似乎不足以讓用戶移除自己的資金。盡管我們不能說所有匿名創始人的項目都是騙局，但幾乎所有的騙局，都是來自匿名創始人的項目。作為一個社區，我們需要警惕這些項目，尤其是那些使用Tornado.cash來隱藏資金來源的項目。

此外，審計報告的存在，不足以保證項目的安全性及合法性。審計通常更關注來自外部攻擊者的風險，而不是內部攻擊者，這也許是審計師需要改進的一個領域。

即使有審計、時間鎖以及燃燒掉的密鑰，存儲用戶總是任由項目方的擺布，他們隨時可能向市場投放大量的代幣。

來自Solidity.Finance的官方聲明

“C3PR部署了新的“策略合約”，這使得團隊可以清空用戶資金所在的策略合約。他們有延遲24小時交易的時間限制，但我們警告說，這是不夠的，因為誰會關注呢？他們在24小時前就通過這筆交易開始了這個改變：

5個小時前，他們盜走了資金。

我們主要關注的是來自外部的攻擊，我們意識到了這種風險，但其只延遲了24小時，而沒有人關注這些動作。”

我們都知道我們應該在投資前檢查智能合約，但這里的知識壁壘很高，不是每個人都知道該找什么，那些知道的人，也沒有動力去分享他們的發現。

在C3PR的例子中，知道的人很早就意識到了危險，而使跑路成為可能的代碼總是存在的。

而這次C3PR跑路事件，卷走了超過1200萬美元的用戶資金，可以說是有史以來最大的defi跑路案。

Tags：ETHCOMOMPCOMPeth官網怎么進入CCOMcomp幣歷史最高價格Internet Computer(Dfinity)

FTT