$10.8M Ninakaw, Nasangkot ang Mga Developer sa Di-umano'y Smart Contract na 'Rug Pull'

Ang isa pang desentralisadong proyekto sa Finance (DeFi) ay rug-pull noong Martes, na may mga $10.8 milyon sa mga pondo ng mamumuhunan na ninakaw dahil sa isang nakatagong backdoor sa mga matalinong kontrata ng proyekto.

Compounder Finance – a inilarawan sa sarili clone ng Harvest and Yearn Finance na binuo ng mga pseudonymous programmer – naubos ang mga kontrata nito ng $750,000 halaga ng Wrapped Bitcoin (WBTC), $4.8 milyon eter, $5 milyon DAI at isang maliit na uri ng iba pang mga token, ayon sa isang address nauugnay sa pagsasamantala.

At habang ang pag-atake LOOKS katulad ng iba pang DeFi rug-pulls o exploits, na paulit-ulit na ginawa noong 2020, ang pagkilos na ito ng pagnanakaw ay iba dahil sa maliwanag na con Compounder's developer na naglalaro, ayon kay Robert Leshner, tagapagtatag ng lending protocol Compound Finance.

Read More: T Mai-pin ang Mga Pagsasamantala sa DeFi sa mga Flash Loans, Sabi ng Mga Namumuno sa Industriya

Sa isang panayam sa telepono, sinabi ni Leshner sa CoinDesk Compounder na mukhang anumang iba pang proyekto ng DeFi na pagsasaka ng ani na bumagyo sa industriya ng Cryptocurrency nitong nakaraang tag-araw. Ngunit ang mga developer ay nag-snuck sa isang call function na nagpapahintulot sa kanila na bawiin ang lahat ng mga pondo mula sa proyekto - isang aksyon na hindi dapat pahintulutan ng isang desentralisadong proyekto sa Finance - sa tuwing itinuturing nilang sapat na malaki ang nadambong.

Hila ng alpombra

Ang threshold na iyon ay tila naabot noong Martes, kahit na ang mga token contract ng Compounder ay nilikha lamang noong Nob. 10, ayon sa Etherscan.

Tinawag ni Leshner ang rug-pull na "ONE sa pinakamalaking '' purposeful Cryptocurrency exploit sa kamakailang memorya; isang exploit na tiyak na naiiba sa iba pang mga exploit ng DeFi dahil sa pasyente nitong endgame. Ipinagpapalagay din niya na si Compounder ay "ginaya ang pangalan ng [Compound Finance]" upang makaakit ng mas maraming biktima.

Ang isang Telegram na grupo ng mga mamumuhunan ay kasalukuyang nag-iimbestiga ng mga legal na hakbang laban sa mga developer, bagama't kaunting impormasyon ang nalalaman tungkol sa mga mukha sa likod ng Compounder. ONE mamumuhunan na mga claim na nawalan ng $1 milyon sa mga pondo ay nag-aalok ng $50,000 na pabuya para sa impormasyon na humahantong sa pag-agaw ng mga ninakaw na pondo.

Ang native token ng Compounder, ang CP3R, ay bumaba ng 98.8% sa nakalipas na 24 na oras at ngayon ay nakikipagkalakalan sa $0.24, ayon sa CoinGecko.

Hindi sapat ang pag-audit ng matalinong kontrata

Ang Compounder ay na-audit ng Solidity Finance. Ang mga pag-audit ay karaniwang nakikita bilang isang gawa ng mabuting pananampalataya sa ligaw na kanluran ng DeFi. Sinabi ng Solidity Finance sa CoinDesk na natagpuan nito ang pinag-uusapang kontrata na naka-lock sa oras noong kalagitnaan ng Nobyembre at na-flag ito sa mga developer ng proyekto. Nag-alok ito dokumentasyon pati na rin.

Sa kasamaang palad, hindi lamang alam ng Compounder ang tungkol sa pag-andar, ngunit tila may mga plano para dito.

"Pinalitan ng Compounder team ang ligtas at na-audit na mga kontrata ng Strategy at pinalitan ang mga ito ng mga malisyosong kontrata ng 'Evil Strategy' na nagpapahintulot sa kanila na magnakaw ng mga pondo ng mga user," sinabi ng Solidity Finance sa CoinDesk sa isang mensahe sa Telegram, idinagdag:

"Ginawa nila ito sa pamamagitan ng isang publiko, bagama't malinaw na hindi sinusubaybayan, 24 na oras na timelock. Ang isyung ito ng sentralisadong kontrol ng C3PR team ay iniharap sa aming ulat sa pag-audit at sa aming mga talakayan sa kanilang team. Ang koponan ay may kapangyarihang mag-update ng mga pool ng diskarte at ginawa nila ito ng masama dito upang magnakaw ng mga pondo ng mga user." Sa madaling salita, hindi pinapansin ng mga mamumuhunan ang butas ng seguridad kahit na na-flag ng audit ang pinag-uusapang time lock.

Maraming namumuhunan sa DeFi ang natututo na ang mga pag-audit ay T kinakailangang katumbas ng isang secure na protocol. Akropolis Finance ay nakatayo bilang isa pang kamakailang halimbawa. Na-hack ito mas maaga noong nakaraang buwan para sa $2 milyon na halaga ng DAI, kahit na ang mga kontrata nito ay na-audit ng dalawang kumpanya.

Sa katunayan, ang mga pag-audit ay may iba't ibang lasa. Sinabi ng Solidity Finance sa CoinDesk na pangunahing naghahanap ito ng "mga panlabas na umaatake." Ang kumpanya ay nagpaplano sa pagbibigay ng higit pang impormasyon sa mga posibleng "mga panganib na nagmumula sa kontrol ng mga developer" sa hinaharap.

Pagwawasto (Dis. 3, 2020 19:40 UTC): Ang isang nakaraang bersyon ng artikulong ito ay nagsasaad na ang pag-andar ng time lock ay isiniwalat lamang din ng koponan ng Compounder Finance. Kasama sa ulat ng pampublikong pag-audit ang impormasyong ito.