Украдено 10,8 млн долларов, разработчики замешаны в предполагаемом смарт-контракте «Rug Pull»

Во вторник был разгромлен еще один проект децентрализованного Финансы (DeFi): из-за скрытой уязвимости в смарт-контрактах проекта было украдено около 10,8 млн долларов США из средств инвесторов.

Компаундер Финансы – самоописано клон Harvest and Yearn Финансы, созданный псевдонимными программистами, из его контрактов украли $750 000 в виде Wrapped Bitcoin (WBTC), $4,8 млн. эфир, 5 миллионов долларовDAIи небольшой ассортимент других токенов, согласноадрессвязанный с эксплойтом.

И хотя эта атака LOOKS на другие мошеннические действия или эксплойты DeFi, неоднократно применявшиеся в 2020 году, этот акт воровства отличается очевидным мошенничеством, которое использовали разработчики Compounder, по словам Роберта Лешнера, основателя кредитного протокола Compound Финансы.

Читать дальше: Лидеры отрасли утверждают, что уязвимости DeFi T связывать с мгновенными кредитами

В телефонном интервью Лешнер рассказал CoinDesk , что Compounder выглядит как любой другой проект DeFi по фермерству с доходностью, который покорил Криптовалюта индустрию прошлым летом. Но разработчики прокрались в функцию вызова, которая позволяла им выводить все средства из проекта — действие, которое проект децентрализованного Финансы никогда не должен позволять — всякий раз, когда они считали добычу достаточно большой.

Ковер тянуть

По данным, этот порог, по всей видимости, был достигнут во вторник, хотя контракты на токены Compounder были созданы только 10 ноября.Etherscan.

Лешнер назвал перетягивание коврика «ONE из крупнейших» целенаправленных Криптовалюта эксплойтов за последнее время; эксплойт, категорически отличающийся от других эксплойтов DeFi из-за его терпеливого финала. Он также утверждает, что Compounder «выдавал себя за имя [Compound Finance]», чтобы заманить больше жертв.

Группа инвесторов Telegram в настоящее время расследует юридические действия против разработчиков, хотя мало что известно о лицах, стоящих за Compounder. ONE инвестор, который претензиипотерявший 1 миллион долларов, предлагает вознаграждение в размере 50 000 долларов за информацию, которая поможет изъять украденные средства.

По данным Compounder, собственный токен CP3R упал на 98,8% за последние 24 часа и теперь торгуется по $0,24.CoinGecko.

Аудита смарт-контрактов недостаточно

Compounder был проверен Solidity Финансы. Аудиты обычно рассматриваются как акт доброй воли на Диком Западе DeFi. Solidity Финансы сообщила CoinDesk, что обнаружила этот контракт с временной блокировкой еще в середине ноября и сообщила об этом разработчикам проекта. Она предложила документация также.

К сожалению, Compounder не только знал об этой функции, но и, по-видимому, имел на нее планы.

«Команда Compounder подменила безопасные и проверенные контракты Strategy и заменила их вредоносными контрактами «Evil Strategy», которые позволяли им красть средства пользователей», — сообщила компания Solidity Финансы CoinDesk в сообщении Telegram, добавив:

«Они сделали это через публичную, хотя и явно неконтролируемую, 24-часовую блокировку по времени. Этот вопрос централизованного контроля со стороны команды C3PR был поднят в нашем аудиторском отчете и наших обсуждениях с их командой. Команда имела полномочия обновлять стратегические пулы, и они сделали это здесь злонамеренно, чтобы украсть средства пользователей». Другими словами, инвесторы проигнорировали дыру в безопасности, хотя рассматриваемая блокировка по времени была отмечена аудитом.

Многие инвесторы DeFi понимают, что аудит T обязательно означает безопасный протокол. Akropolis Финансы — еще один недавний пример. Он был взломан. в начале прошлого месяца за DAI на сумму 2 миллиона долларов, хотя его контракты были проверены двумя фирмами.

Действительно, аудиты бывают разными. Solidity Финансы сообщила CoinDesk , что в основном ищет «внешних злоумышленников». Фирма планирует предоставлять больше информации о возможных «рисках, вытекающих из контроля разработчиков» в будущем.

Исправление (3 декабря 2020 г. 19:40 UTC)): В предыдущей версии этой статьи говорилось, что функция блокировки времени была раскрыта только команде Compounder Finance. Отчет публичного аудита включал эту информацию.