CertiK：八千萬人民幣不翼而飛，Compounder.finance內部操作攻擊分析

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

CertiK：八千萬人民幣不翼而飛，Compounder.finance內部操作攻擊分析

CertiK

2020-12-02 03:03

本文约2409字，阅读全文需要约10分钟

北京時間12月1日下午3點，CertiK安全技術團隊發現Compounder.Finance項目發生數筆大額交易。系內部操作攻擊事件。

八千萬人民幣的大案子，是不是想起了《人民的名義》裡那一牆的人民幣？

在日常生活裡，也許你不小心疏忽遺失了錢包也丟不了太多錢。但在加密貨幣的世界中稍有不慎，損失的金額也許是一把撒出去遮天蔽日的那種效果。

在層出不窮的礦坑中，一著錯漏，滿盤皆輸。往往項目擁有者與投資者一樣，心心念念記掛著自家項目的安全性。

但有一種情況是例外.....

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位於0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大額交易。

CertiK安全技術團隊驗證後，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量代幣轉移到自己的賬戶中。

經統計，Compounder.Finance最終共損失約價值八千萬人民幣的代幣。

攻擊事件經過如下：

圖一：inCaseTokenGetStuck()函數

Compounder.Finance項目擁有者通過多次調用如圖一所示位於0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函數，將代幣轉移到自己的指定的地址中。

調用該函數時，首先在1471行會檢查外部函數調用者是否為strategist或者governance角色地址，通過檢查於0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合約的strategist角色地址，發現與Compounder.Finance項目擁有者地址一致。