DeFi 在 11 月發生了一連串攻擊事件,造成社群人人自危,唯恐下一個目標就是自己投資的項目。但是,日防夜防終究是家賊難防,本週就又再傳出一起駭人聽聞的盜竊攻擊,並且攻擊者不是外部來的駭客,而是項目方謀劃已久的捲款跑路。
(前情提要:資安月報|11月駭客肆虐,DeFi「程式漏洞流行病」造成損失近5,000萬美元)
今年 11 月才推出的 DeFi 協議 Compounder Finance 週二(1)傳出遭竊近 1,200 萬美元,原以為可能又是一次幾乎演變成常態的駭客攻擊,經查後卻發現竟是項目方自導自演,早早就在智能合約中埋了後門,造就這場迄今最惡質的跑路事件。
Compounder 自稱是複製了 DeFi 協議 Harvest Finance 和 Yearn Finance 的克隆項目,作為一種聚合器,它會按照智能合約上寫好的套利策略做分散投資。但是,Compounder 打從一開始就沒打算長久經營,而是在等待合適的收網時機。
顯然,一個月的時間就足矣。1 日下午 3 時許,Compounder 的智能合約突然發送了多筆鉅額交易,經查發現是內部團隊正在將協議中的資金轉入私人地址;紀錄顯示,項目方至少詐走了 75 萬美元的 WBTC、480 萬美元的 WETH 和 500 萬美元的 DAI。
根據 DeFi 獨立媒體 rekt 報告,Compounder 總計捲走了超過 1,200 萬美元的鉅款,並且在事件發生後,官方推特及網站也立刻遭到刪除,目前僅剩一份審計報告可供受害者尋找線索。
相當然爾,此等惡性事件引發了 Compounder 用戶的恐慌,不僅平台的總鎖定價值(TVL)瞬間歸零,其治理代幣 $CP3R 更是在短短數小時內大跌了 99%,從 23 美元左右跌到只剩 0.34 美元;作為比較,$CP3R 在 11 月的最高價是 93.98 美元。
目前,$CP3R 持有者已經在 Telegram 上組建了自救會,正在針對 Compounder 的非法行為展開調查。不過,Compounder 就如同其他詐騙協議一般,是由匿名開發者推出的,且上線時間又只有一個月左右,外界對它們的了解可說是少之又少。
《Coindesk》報導,一位自稱損失 100 萬美元的受害者發出 5 萬美元懸賞令,要求任何有關被盜資金的訊息。
DeFi 審計問題
更令人沮喪的是,Compounder 的惡意漏洞早在 11 月就已經被發現了;然而,沒什麼人在意。
據了解,Solidity Finance 在 11 月 19 日對 Compounder 做了程式碼審計,並發現其智能合約中存在問題,還好心地向 Compounder 發出提醒,甚至提供文件給項目方審核。不幸的是,Compounder 本就知道漏洞的存在,而且制定好了邪惡計畫。
Solidity Finance 團隊說明,Compounder 主要是透過一個 24 小時的時間鎖(timelock)來施行跑路計畫:
他們是有能力對策略池(智能合約)進行更新的,而這麼做純粹是出於惡意去竊取用戶的資金。
DeFi 借貸協議 Compound 的創辦人萊什納(Robert Leshner)也出面抨擊,稱 Compounder 根本是故意取了個跟具有辨識度的 Compound 相似的名稱以試圖混淆,進而誆騙投資人。事實上,$CP3R 也與 Yearn Finance 創辦人 Andrew Cronje 先前推出的 $KP3R 非常相近。
延伸閱讀:科普|YFI 創辦人 AC 最新產品:Keep3r 是什麼?
不過,雖然 Compounder 事件再次暴露了 DeFi 上的審計風險,以及匿名團隊比起具名項目方更有詐騙可能,但即便是通過了安全審計,也不一定能保證協議的安全性,例如已經通過兩家獨立機構審計後的 Akropolis,上個月就還是遭到了閃電貸攻擊。
相關報導
AppWorks投書》幣圈華爾街的下一步, DeFi 催生「監管 2.0」 —— 王琍瑩
DeFi「閃電貸慘案」不會停止!Chainlink CEO: 除非改變預言機「數據來源」;Uniswap創辦人反駁
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
