起底 Compounder.finance 恶性 DeFi 跑路案，项目方收割超 1200 万美元

译者注：近日，Compounder.finance 用户被盗走超过 1200 万美元的资金，让人吃惊的是，这次攻击事件的罪魁祸首并非黑客，而是项目方本身，这也是目前性质最恶劣的 DeFi 跑路事件，原文由 rekt 团队撰写。

这里是罪人的希望，因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt 来到这里是为了照亮罪行，揭露攻击者的方法，而我们好以此为鉴。

Compounder.finance 的网站及官方 Twitter 账户都被项目方删除了，而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ 现在正忙着呢，我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时，他们似乎并不希望看到我们。

“请不要发那样该死的内容，你真的吓到我了， weaker hands 可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后，Solidity.finance 向我们提供了他们与 compounder.finance 交谈的完整聊天记录。

其他受害者也向我们伸出援手，展示了他们与 compounder 管理者进行的早期交谈，并表达了他们的担忧。

Solidity.finance 告诉我们，他们仅与 compounder 管理员进行了简短交谈，他们确实审核了合约，并且他们在文档中指出，尽管资金池有一个时间锁（timelock）控制，但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录：

在我们调查的这个阶段，solidity.finance 仍然是存在疑点的，我们想知道他们为何会认为 compounder.finance 团队看起来“非常值得信赖”。

在阅读聊天记录时，我们注意到尽管帐户被删除了，但保留了一个用户名“ keccak”。

尽管 solidity.finance 表示 keccak 已经删除了他们的帐户，但我们已经找到了他们的帐户，并正在尝试联系。

不幸的是，Vlad 不想通电话，所以我们给他们发了一条消息，但并没有期望他能够回应。

直到……

Vlad 准备好交谈了，不幸的是，他并不想合作。

我们仍可以通过 @keccak 在 Telegram 上找到 Vlad / keccak，但是他不再回应，并删除了他账户中的图片。

我们将他的旧头像附在此处，供大家参考和调查。

我们被告知，图中的狼来自一部著名的乌克兰动画片，上面写着“come by if something comes up”，而左边则是反核武器的海报。

不幸的是，这对受影响的用户并没有太多帮助。

在认清 Vlad 不想谈话的情况后，我们访问了 Compounder 的官方电报群，而里面的人们都很欢迎我们。

滚动浏览聊天内容时，我们看到了由官方跑路行为所引发的典型反应。

即使是大玩家也遭到了这次跑路事件的重创，受害者们成立了一个调查小组（686 名成员），其中带头人损失了 100 万美元，他们试图进行报仇。

帖子可以在这里找到。

https://twitter.com/defiyield_info/status/1333731633393004545?s=20

1

统计数字

作为调查的一部分，我们找到了 Solidity.finance 以及来自 Stake Capital 的 @vasa_develop，并要求他们合作创建一份完整的事后分析报告。

以下数据来自他们的报告。

被盗取的资产（8 种）：

• 8,077.540667 WEth （价值 4,820,030 美元）；

• 1,300,610.936154161964594323 yearn: yCRV 金库（价值 1,521,714.8 美元）；

• 0.016390153857154838 COMP （价值 1.79 美元）；

• 105,102,172.66293264 Compound USDT （价值 2,169,782.85 美元）；

• 97,944,481.39815207 Compound USD Coin （价值 2,096,403.68 美元）；

• 1,934.23347357 Compound WBTC （价值 744,396.89 美元）；

• 23.368131489683158482 Aave 计息 YFI （价值 628650.174379401 美元）；

• 6,230,432.06773805 Compound Uniswap （价值 466378.99 美元）；

跑路后，官方将资金转移到了以下这些钱包：

• https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb2474 1,800,000 DAI ；

• https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f0758 5,066,124.665456504419940414 DAI，39.05381415 WBTC，4.38347845834390477 CP3R，0.004842656997849285 COMP，0.000007146621650034 UNI-V2。

部署者通过 Tornado.cash 隐藏其资金来源，并向 7 个不同的地址发送了 ETH，其中大部分都只有一笔交易 。然而，其中有一个地址在 11 月 19 日、20 日、22 日以及 23 日分别收到了 4 笔付款。该地址的大部分资金都来自一个持有超过 100 万 KORE 代币的地址（在跑路前，该地址只有 1 万 KORE 代币）。

2

攻击分析

这次攻击事件的罪魁祸首，是项目方在完成审计后在其代码库中添加了 7 个恶意策略合约。

策略合约中的非恶意 withdraw （）函数如下所示：

注意，我们有了一些检查，比如：

这些检查在 7 份恶意策略合约中是缺失的。这允许控制者合约（由跑路策略师控制）从策略中提取资产。

（注意下面的恶意 withdraw 函数中缺失的检查）

完整的跑路过程可以分为 4 个步骤进行解释：

步骤 1

Compounder.Finance 部署者部署了包含操纵 withdraw() 函数的 7 个恶意策略。

步骤 2

Compounder.Finance 部署者通过 Timelock （24 小时）交易在 StrategyController 中设置并批准 7 个恶意策略。

步骤 3

Compounder.Finance 部署者（策略师）在 StrategyController 上调用 inCaseStrategyTokenGetStuck()，它滥用了恶意策略的可操纵 withdraw （）函数，将策略中的代币转移到 StrategyController，并对 7 种恶意策略都执行这种操作。

步骤 4

Compounder.Finance 部署者（策略师）在 StrategyController 上调用了 inCaseTokensGetStuck() ，该函数将代币从 StrategyController 传输到 Compounder.Finance 部署者地址。现在，Compounder.Finance 部署者完全控制了用户的资产，共计价值 12,464,316.329 美元。

资产已被转移到此处列出的多个地址。

感谢 @vasa_develop 提供的出色分析工作。

如果你是举报人，网络侦探或 Etherscan 侦探，并且你有线索贡献，请与我们联系。

3

那应该怪谁？

经过我们的分析，我们知道这不是审计方的问题，他们尽职地完成了自己的任务，确保 Compounder Finance 不受外部攻击的影响，同时他们也在审计报告和聊天群中表达了他们的担忧。

也许他们本可以更明显地表达出这些担忧，但最终，最终责任还是在存储者的身上。

尽管 Compounder.finance 使用了时间锁来表明他们不会跑路，但现在我们知道，这种方法是不可信的。如果使用了它，则应建立一个自动警报系统或仪表板，以监控该地址的交易。

并且 24 小时的时间锁，似乎不足以让用户移除自己的资金。尽管我们不能说所有匿名创始人的项目都是骗局，但几乎所有的骗局，都是来自匿名创始人的项目。作为一个社区，我们需要警惕这些项目，尤其是那些使用 Tornado.cash 来隐藏资金来源的项目。

此外，审计报告的存在，不足以保证项目的安全性及合法性。审计通常更关注来自外部攻击者的风险，而不是内部攻击者，这也许是审计师需要改进的一个领域。

即使有审计、时间锁（timelock）以及燃烧掉的密钥，存储用户总是任由项目方的摆布，他们随时可能向市场投放大量的代币。

4

来自 Solidity.Finance 的官方声明

“C3PR 部署了新的“策略合约”，这使得团队可以清空用户资金所在的策略合约。他们有延迟 24 小时交易的时间限制，但我们警告说，这是不够的，因为谁会关注呢？他们在 24 小时前就通过这笔交易开始了这个改变：

5 个小时前，他们盗走了资金。

我们主要关注的是来自外部的攻击，我们意识到了这种风险，但其只延迟了 24 小时，而没有人关注这些动作。”

我们都知道我们应该在投资前检查智能合约，但这里的知识壁垒很高，不是每个人都知道该找什么，那些知道的人，也没有动力去分享他们的发现。

在 C3PR 的例子中，知道的人很早就意识到了危险，而使跑路成为可能的代码总是存在的。

而这次 C3PR 跑路事件，卷走了超过 1200 万美元的用户资金，可以说是有史以来最大的 defi 跑路案。

原文：https://rekt.ghost.io/deathbed-confessions-c3pr/

欢迎加入社群，与我们讨论如何参与更多 DeFi 项目、探索 DeFi 规则原理~

加入方式：扫码关注，后台点击【加入社群】

DeFi 之道公众号后台

回复“财富”获取 DeFi 热门项目白皮书合集 !

回复“研究”获取 DeFi 研究报告合集！

回复“论文”获取 DeFi 相关论文合集！

干货持续更新中，敬请关注……