ATH:起底Compounder.finance恶性DeFi跑路案，项目方收割超1200万美元_NAN

作者：

时间：

译者注：近日，Compounder.finance用户被盗走超过1200万美元的资金，让人吃惊的是，这次攻击事件的罪魁祸首并非黑客，而是项目方本身，这也是目前性质最恶劣的DeFi跑路事件，原文由rekt团队撰写。

这里是罪人的希望，因为他们的罪过在匿名斗篷的保护下被遗忘了。

Rekt来到这里是为了照亮罪行，揭露攻击者的方法，而我们好以此为鉴。

Compounder.finance的网站及官方Twitter账户都被项目方删除了，而一份完整的安全审计报告为我们的调查提供了唯一的线索。

RektHQ现在正忙着呢，我们开始调查的时候事件已经发生了几个小时…当我们联系审计方时，他们似乎并不希望看到我们。

“请不要发那样该死的内容，你真的吓到我了，weakerhands可能会报告这件事或一些狗屎。”

在我们提供了一些保证之后，Solidity.finance向我们提供了他们与compounder.finance交谈的完整聊天记录。

其他受害者也向我们伸出援手，展示了他们与compounder管理者进行的早期交谈，并表达了他们的担忧。

Bittrex Global CEO：迪拜有望从加密货币增长中受益:Bittrex Global CEO Stephen Stonberg表示，迪拜有望从中东不断增长的加密货币市场中受益，因为其监管机构正在推动接受基于区块链的技术。

最近几个月，该地区的金融中心迪拜已经采取了多项措施来加强该市内区块链的使用，Stonberg预计中东主权财富基金也将进行区块链分配。

“大量流入以太坊和比特币的机构资金可能真的是市场的驱动力，它不像散户资金泡沫那么多。”Stonberg说。“它不像零售泡沫那么多。”（彭博社）[2021/8/29 22:45:15]

Solidity.finance告诉我们，他们仅与compounder管理员进行了简短交谈，他们确实审核了合约，并且他们在文档中指出，尽管资金池有一个时间锁控制，但这个时间锁并没有提供任何保护。

以下内容来自他们的聊天记录：

在我们调查的这个阶段，solidity.finance仍然是存在疑点的，我们想知道他们为何会认为compounder.finance团队看起来“非常值得信赖”。

兴业研究宏观：资金从加密货币流入黄金:2021年5月，黄金延续4月开始的反弹。美债收益率整体维持震荡，通胀预期月初回升后，下旬有所回落。美元指数的回落以及资金流出加密货币流入黄金是促使黄金延续反弹的主要动力。美债收益率短期未有大幅上行驱动、实际通胀短期仍有回升空间以及后续中美主动补库周期共振结束后商品价格整体并不会马上向下反转，是金价短期的支撑因素。同时加密货币监管趋严或使得其短期或难有趋势性攀升行情，资金对其青睐度低迷利好黄金。中期黄金仍需先后面临实际收益率攀升和通胀预期筑底的利空影响，当前位置不建议追多。（金十）[2021/5/29 22:55:28]

在阅读聊天记录时，我们注意到尽管帐户被删除了，但保留了一个用户名“keccak”。

尽管solidity.finance表示keccak已经删除了他们的帐户，但我们已经找到了他们的帐户，并正在尝试联系。

不幸的是，Vlad不想通电话，所以我们给他们发了一条消息，但并没有期望他能够回应。

黑客已从加密税报告服务CryptoTrader.Tax窃取1000多名用户数据:金色财经报道，黑客已从加密税报告服CryptoTrader.Tax窃取了1000多个用户的数据。该在线服务用于计算和归档加密货币交易税。据悉，黑客获得了访问权限，可以看到客户的姓名、电子邮件地址、付款处理者资料以及部分包含加密货币收入的消息。随后，黑客筛选了这些敏感信息的样本，并将其发布在论坛上，以吸引潜在的数据购买者。[2020/8/25]

直到……

Vlad准备好交谈了，不幸的是，他并不想合作。

我们仍可以通过@keccak在Telegram上找到Vlad/keccak，但是他不再回应，并删除了他账户中的图片。

我们将他的旧头像附在此处，供大家参考和调查。

我们被告知，图中的狼来自一部著名的乌克兰动画片，上面写着“comebyifsomethingcomesup”，而左边则是反核武器的海报。

不幸的是，这对受影响的用户并没有太多帮助。

在认清Vlad不想谈话的情况后，我们访问了Compounder的官方电报群，而里面的人们都很欢迎我们。

动态 | 拉斯维加斯者被控从加密货币投资者中筹集1100万美元:据Bitcoin.com消息，美国拉斯维加斯一名男子被控从加密货币投资者中筹集至少1100万美元，以交易外汇和加密货币对的场外交易二元期权，并获得高达300%的收益。美国商品期货交易委员会（CFTC）已向美国内华达州地区法院提起民事执行诉讼。[2019/10/18]

滚动浏览聊天内容时，我们看到了由官方跑路行为所引发的典型反应。

即使是大玩家也遭到了这次跑路事件的重创，受害者们成立了一个调查小组，其中带头人损失了100万美元，他们试图进行报仇。

帖子可以在这里找到。

统计数字

作为调查的一部分，我们找到了Solidity.finance以及来自StakeCapital的@vasa_develop，并要求他们合作创建一份完整的事后分析报告。

以下数据来自他们的报告。

被盗取的资产：

8,077.540667WEth；

1,300,610.936154161964594323yearn:yCRV金库；

动态 | Cagayan经济特区预计从加密货币授权中获取6800万美元:据Bitcoin.com报道，归属于菲律宾政府的Cagayan经济特区（Ceza）正在发放更多的加密货币许可证。Ceza的管理者表示，离岸公司对许可证的兴趣“超出了我们所有的预期”。已有17家公司全额支付许可费用，还有19个正在筹备中。Ceza预计将从加密货币授权中获得约6800万美元的收入。[2018/7/31]

0.016390153857154838COMP；

105,102,172.66293264CompoundUSDT；

97,944,481.39815207CompoundUSDCoin；

1,934.23347357CompoundWBTC；

23.368131489683158482Aave计息YFI；

6,230,432.06773805CompoundUniswap；

跑路后，官方将资金转移到了以下这些钱包：

https://etherscan.io/address/0x944f214a343025593d8d9fd2b2a6d43886fb24741,800,000DAI；

https://etherscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585,066,124.665456504419940414DAI，39.05381415WBTC，4.38347845834390477CP3R，0.004842656997849285COMP，0.000007146621650034UNI-V2。

部署者通过Tornado.cash隐藏其资金来源，并向7个不同的地址发送了ETH，其中大部分都只有一笔交易。然而，其中有一个地址在11月19日、20日、22日以及23日分别收到了4笔付款。该地址的大部分资金都来自一个持有超过100万KORE代币的地址。

攻击分析

这次攻击事件的罪魁祸首，是项目方在完成审计后在其代码库中添加了7个恶意策略合约。

策略合约中的非恶意withdraw函数如下所示：

注意，我们有了一些检查，比如：

这些检查在7份恶意策略合约中是缺失的。这允许控制者合约从策略中提取资产。

完整的跑路过程可以分为4个步骤进行解释：

步骤1

Compounder.Finance部署者部署了包含操纵withdraw()函数的7个恶意策略。

步骤2

Compounder.Finance部署者通过Timelock交易在StrategyController中设置并批准7个恶意策略。

步骤3

Compounder.Finance部署者在StrategyController上调用inCaseStrategyTokenGetStuck()，它滥用了恶意策略的可操纵withdraw函数，将策略中的代币转移到StrategyController，并对7种恶意策略都执行这种操作。

步骤4

Compounder.Finance部署者在StrategyController上调用了inCaseTokensGetStuck()，该函数将代币从StrategyController传输到Compounder.Finance部署者地址。现在，Compounder.Finance部署者完全控制了用户的资产，共计价值12,464,316.329美元。

资产已被转移到此处列出的多个地址。

感谢@vasa_develop提供的出色分析工作。

如果你是举报人，网络侦探或Etherscan侦探，并且你有线索贡献，请与我们联系。