8000万人民元という大事件というと、『人民の名において』の人民元を思い出しますか？

日常生活の中で、うっかり財布を紛失してしまい、あまり多くのお金を失うことはないかもしれません。しかし、仮想通貨の世界は、ちょっと油断すると、その損失額が天を覆うほどになってしまう可能性があります。

果てしなく続く鉱山の穴では、ひとつのミスや省略があれば、ゲーム全体が失われてしまいます。多くの場合、プロジェクト所有者は投資家と同様に、自分のプロジェクトの安全性を懸念しています。

ただし、1 つ例外があります。

北京時間 12 月 1 日午後 3 時、CertiK セキュリティ テクノロジー チームは、スカイネット経由で Compounder.Finance プロジェクトを発見しました。0x0b283b107f70d23250f882fbfe7216c38abbd7caこのアドレスのスマート コントラクトでは、いくつかの大規模なトランザクションが発生しました。

CertiK セキュリティ テクノロジー チームによる検証の結果、これらのトランザクションは Compounder.Finance プロジェクト オーナーの内部操作であり、大量のトークンを自分のアカウントに転送したことが判明しました。

統計によると、Compounder.Finance は最終的に約 8,000 万人民元相当のトークンを失いました。

攻撃イベントは次のとおりです。

図 1: inCaseTokenGetStuck() 関数

Compounder.Finance プロジェクトの所有者は、0x0b283b107f70d23250f882fbfe7216c38abbd7cainCaseTokenGetStuck() 関数は、トークンを独自の指定アドレスに転送します。

この関数を呼び出すと、まず外部関数の呼び出し元がストラテジストであるかガバナンスロールのアドレスであるかを 1471 行目でチェックします。0x0b283b107f70d23250f882fbfe7216c38abbd7caスマート コントラクトのストラテジスト ロールのアドレスが Compounder.Finance プロジェクト オーナーのアドレスと一致していることが判明しました。

図 2: Compounder.Finance のストラテジストの役割のアドレス: StrategyControllerV1

図 3: プロジェクト マネージャーがトークンを盗むトランザクションの例

プロジェクト マネージャーがトークンを盗んだトランザクションのリスト:

• https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 6,230,432.06773805 ($458,310.58) Compound Uni... (cUNI)

• https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 1,934.23347357 ($745,530.95) Compound Wra... (cWBTC)

• https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 97,944,481.39815207 ($2,086,547.53) Compound USD... (cUSDC)

• https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 105,102,172.66293264 ($2,159,301.01) Compound USD... (cUSDT)

• https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 1,300,610.936154161964594323 ($1,521,714.80) yearn Curve.... (yyDAI+...)

• https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 8,077.540667 ($4,788,285.33) Wrapped Ethe... (WETH)

現在のDeFi市場では、プロジェクトオーナーの権限が強すぎるプロジェクトや、集中化の度合いが高いプロジェクトが随所に存在します。

現時点では、プロジェクトオーナーに対する追加のガバナンスや制限措置が不足しており、そのような理由による内部運用攻撃が徐々に増加しています。

このインシデントは巨額の損失を引き起こし、攻撃の技術的な詳細は単純であったため、すべての DeFi プロジェクトに警鐘を鳴らしました。

1. 現在の DeFi 市場には、プロジェクトオーナーに対する効果的な制限がありません。

2. 投資家は、この種のセキュリティ リスクを確認するために、主にプロジェクトの承認を見つける方法に依存しています。

WeChat [certikchina] を検索して CertiK の公式 WeChat 公開アカウントをフォローし、公開アカウントの下部にあるダイアログ ボックスをクリックし、メッセージを残して無料の相談と見積もりを入手してください。

WeChat [certikchina] を検索して CertiK の公式 WeChat 公開アカウントをフォローし、公開アカウントの下部にあるダイアログ ボックスをクリックし、メッセージを残して無料の相談と見積もりを入手してください。