八千万人民币的大案子，是不是想起了《人民的名义》里那一墙的人民币？

在日常糊口里，也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密钱币的世界中稍有不慎，损失的金额也许是一把撒出去遮天蔽日的那种结果。

在层出不穷的矿坑中，一着错漏，满盘皆输。往往项目拥有者与投资者一样，心心念念挂念着自家项目标安详性。

但有一种环境是破例.....

北京时间12月1日下午3点，CertiK安详技能团队通过Skynet发明Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地点处智能合约产生多笔大额生意业务。

CertiK安详技能团队验证后，发明这些生意业务是Compounder.Finance项目拥有者内部操纵，将大量代币转移到本身的账户中。

经统计，，Compounder.Finance最终共损失约代价8000万人民币的代币。

进攻事件颠末如下：

图一：inCaseTokenGetStuck()函数

Compounder.Finance项目拥有者通过多次挪用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数，将代币转移到本身的指定的地点中。

挪用该函数时，首先在1471行会查抄外部函数挪用者是否为strategist可能governance脚色地点，通过查抄于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist脚色地点，发明与Compounder.Finance项目拥有者地点一致。

图二：Compounder.Finance: StrategyControllerV1中strategist脚色地点

图三:?项目打点者盗代替币的生意业务举例

项目打点者盗代替币的生意业务列表:

●?https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056

From?Compounder.Finance: StrategyControllerV1To?Compounder.Finance: Deployer?For 6,230,432.06773805 ($458,310.58)?Compound Uni... (cUNI)

●?https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfa

From?Compounder.Finance: StrategyControllerV1To?Compounder.Finance: Deployer?For 1,934.23347357 ($745,530.95)?Compound Wra... (cWBTC)

●?https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6

From?Compounder.Finance: StrategyControllerV1To?Compounder.Finance: Deployer?For 97,944,481.39815207 ($2,086,547.53)?Compound USD... (cUSDC)

●?https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822

From?Compounder.Finance: StrategyControllerV1To?Compounder.Finance: Deployer?For 105,102,172.66293264 ($2,159,301.01)?Compound USD... (cUSDT)

●?https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77

From?Compounder.Finance: StrategyControllerV1To?Compounder.Finance: Deployer?For 1,300,610.936154161964594323 ($1,521,714.80)?yearn Curve.... (yyDAI+...)

●?https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7fe

From?Compounder.Finance: StrategyControllerV1To?Compounder.Finance: Deployer?For 8,077.540667 ($4,788,285.33)?Wrapped Ethe... (WETH)

当今DeFi市场中存在着项目拥有者权限过大，中心化水平过高的项目触目皆是。

今朝对项目拥有者缺乏特别管理可能限制法子，由于此类原因导致的内部操纵进攻事件也逐渐增多。

此次事件造成损失庞大，进攻技能细节简朴，更是为所有DeFi项目敲响了警钟：

1.?当前DeFi市场中缺乏对项目拥有者举办有效限制的要领。

2.?投资者对该类安详风险主要照旧依靠查找项目背书的方法来举办确认。

项目标安详与否不应依赖于项目拥有者或团队自身的“选择”，这样的防御方法并不行行，从智能合约代码层面临项目拥有者举办权限限制才气从基础上杜绝此类进攻。

接待搜索微信【certikchina】存眷CertiK官方微信公家号，点击公家号底部对话框，留言免费获取咨询及报价。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。