Vụ án lớn 80 triệu RMB có làm bạn nhớ đến RMB trong "Nhân danh nhân dân" không?

Trong cuộc sống hàng ngày, có thể bạn vô tình bị mất ví và bạn không thể mất quá nhiều tiền. Nhưng trong thế giới tiền mã hóa, nếu bạn bất cẩn một chút, số tiền thất thoát có thể là của tung trời che trời.

Trong các hố mỏ vô tận, nếu mắc một sai lầm hoặc thiếu sót, toàn bộ trò chơi sẽ bị mất. Thông thường, các chủ dự án, giống như các nhà đầu tư, quan tâm đến sự an toàn của các dự án của chính họ.

Nhưng có một ngoại lệ.....

Vào lúc 3 giờ chiều ngày 1 tháng 12 theo giờ Bắc Kinh, nhóm công nghệ bảo mật CertiK đã tìm thấy dự án Compounder.Finance thông qua Skynet tại0x0b283b107f70d23250f882fbfe7216c38abbd7caMột số giao dịch có giá trị lớn đã xảy ra trong hợp đồng thông minh tại địa chỉ.

Sau khi xác minh bởi nhóm công nghệ bảo mật CertiK, người ta thấy rằng các giao dịch này là hoạt động nội bộ của chủ sở hữu dự án Compounder.Finance, chuyển một lượng lớn mã thông báo vào tài khoản của chính họ.

Theo thống kê, Compounder.Finance cuối cùng đã mất khoảng 80 triệu RMB giá trị mã thông báo.

Các sự kiện tấn công như sau:

Hình 1: Hàm inCaseTokenGetStuck()

Chủ sở hữu của dự án Compounder.Finance được đặt tại0x0b283b107f70d23250f882fbfe7216c38abbd7caHàm inCaseTokenGetStuck() chuyển mã thông báo đến địa chỉ được chỉ định của chính nó.

Khi gọi chức năng này, trước tiên, nó sẽ kiểm tra xem người gọi chức năng bên ngoài là một chiến lược gia hay một vai trò quản trị có địa chỉ tại dòng 1471.0x0b283b107f70d23250f882fbfe7216c38abbd7caĐịa chỉ của vai trò chiến lược gia của hợp đồng thông minh được tìm thấy là phù hợp với địa chỉ của chủ sở hữu dự án Compounder.Finance.

Hình 2: Địa chỉ của vai trò chiến lược gia trong Compounder.Finance: StrategyControllerV1

Hình 3: Ví dụ về các giao dịch mà người quản lý dự án đánh cắp token

Danh sách các giao dịch mà người quản lý dự án đã đánh cắp mã thông báo:

• https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 6,230,432.06773805 ($458,310.58) Compound Uni... (cUNI)

• https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 1,934.23347357 ($745,530.95) Compound Wra... (cWBTC)

• https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 97,944,481.39815207 ($2,086,547.53) Compound USD... (cUSDC)

• https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 105,102,172.66293264 ($2,159,301.01) Compound USD... (cUSDT)

• https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 1,300,610.936154161964594323 ($1,521,714.80) yearn Curve.... (yyDAI+...)

• https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

  From Compounder.Finance: StrategyControllerV1To Compounder.Finance: Deployer For 8,077.540667 ($4,788,285.33) Wrapped Ethe... (WETH)

Trong thị trường DeFi ngày nay, có những dự án có quá nhiều quyền hạn của chủ dự án và các dự án có mức độ tập trung cao ở khắp mọi nơi.

Hiện tại, thiếu các biện pháp quản trị hoặc hạn chế bổ sung cho chủ dự án và các cuộc tấn công hoạt động nội bộ vì những lý do như vậy đang dần gia tăng.

Vụ việc đã gây ra tổn thất lớn và các chi tiết kỹ thuật của cuộc tấn công rất đơn giản, điều này đã gióng lên hồi chuông cảnh báo cho tất cả các dự án DeFi:

1. Thị trường DeFi hiện tại thiếu các hạn chế hiệu quả đối với chủ sở hữu dự án.

2. Các nhà đầu tư chủ yếu dựa vào phương pháp tìm kiếm xác nhận dự án để xác nhận loại rủi ro bảo mật này.

Chào mừng bạn đến tìm kiếm WeChat [certikchina] và theo dõi tài khoản công khai WeChat chính thức của CertiK, nhấp vào hộp thoại ở cuối tài khoản công khai, để lại tin nhắn để nhận tư vấn và báo giá miễn phí!

Chào mừng bạn đến tìm kiếm WeChat [certikchina] và theo dõi tài khoản công khai WeChat chính thức của CertiK, nhấp vào hộp thoại ở cuối tài khoản công khai, để lại tin nhắn để nhận tư vấn và báo giá miễn phí!