八千万人民币的大案子,是不是想起了《人民的名义》里那一墙的人民币?在日常生活里,也许你不小心疏忽遗失了钱包也丢不了太多钱。但在加密货币的世界中稍有不慎,损失的金额也许是一把撒出去遮天蔽日的那种效果。
在层出不穷的矿坑中,一着错漏,满盘皆输。往往项目拥有者与投资者一样,心心念念记挂着自家项目的安全性。但有一种情况是例外.....北京时间12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生数笔大额交易。CertiK安全技术团队验证后,发现这些交易是Compounder.Finance项目拥有者内部操作,将大量代币转移到自己的账户中。经统计,Compounder.Finance最终共损失约价值八千万人民币的代币。攻击事件经过如下:
万事达卡推出Music Pass NFT:4月14日消息,万事达卡本周在年度NFTNYC会议期间推出了免费的Music Pass NFT,该NFT为万事达卡艺术家加速器计划的一部分。据悉,MastercardMusicPassNFT可在4月底之前在Polygon上进行免费铸造。持有该NFT的用户可以使用人工智能音乐生成器应用等功能,并有机会赢得6月份由万事达卡加速器计划中的艺术家主持的现场音乐会。(Decrypt)[2023/4/14 14:02:58]
图一:inCaseTokenGetStuck()函数Compounder.Finance项目拥有者通过多次调用如图一所示位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca中的inCaseTokenGetStuck()函数,将代币转移到自己的指定的地址中。调用该函数时,首先在1471行会检查外部函数调用者是否为strategist或者governance角色地址,通过检查于0x0b283b107f70d23250f882fbfe7216c38abbd7ca智能合约的strategist角色地址,发现与Compounder.Finance项目拥有者地址一致。
美联储资产负债表已连续两周缩表,总计缩减规模近千亿美元:4月10日消息,据美联储官网最新数据显示,截至4月4日,美联储资产负债表规模为8.632万亿美元,较3月28日的8.706万亿美元减少约740亿美元。算上此前一周(3月21日-3月28日)缩表240亿美元,美联储自硅谷银行事件后已连续两周缩表,总计缩减规模约为980亿美元。[2023/4/10 13:54:06]
图二:Compounder.Finance:StrategyControllerV1中strategist角色地址
美大学教授重新上传Tornado Cash代码至GitHub:金色财经报道,美国约翰霍普金斯大学计算机科学教授Matthew Green以教学和研究的目的在 GitHub上重新上传了Tornado Cash代码,Matthew Green称,在我作为约翰霍普金斯大学的研究员和讲师的工作中,我多次使用Tornado Cash和Tornado Nova源代码来教授与加密货币隐私和零知识技术相关的概念。我的学生从代码中构建了令人惊叹的项目。此源代码的丢失或可用性降低将对科学和技术界造成伤害。
此外,我对Github决定的影响感到不安。Github是一家私人公司,当然它可以因任何被认为违反其服务条款的行为而暂停用户。同时,很难相信Github的决定与政府的行动无关。在我看来,Github更有可能审查Tornado Cash代码存储库,作为他们根据OFAC命令直接执行的风险缓解程序的一部分。更关键的是:我相信这种受保护言论的删除是OFAC行动的可预见结果,财政部很容易预见并采取措施避免这一结果。[2022/8/24 12:45:46]
图三:项目管理者盗取代币的交易举例项目管理者盗取代币的交易列表:https://etherscan.io/tx/0x9c75f70670d94e6d37f60a585f9b57d13193998d64866f720489efbea4809056FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor6,230,432.06773805($458,310.58)CompoundUni...(cUNI)https://etherscan.io/tx/0x18e0efcaabe64299666fd78bb33dae2a4b25c6f11b469fc0498db714970cacfaFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,934.23347357($745,530.95)CompoundWra...(cWBTC)https://etherscan.io/tx/0xf94de5a083f16700f4d26ec8ca3e03dc01889a54f472bf630079c54a77f033e6FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor97,944,481.39815207($2,086,547.53)CompoundUSD...(cUSDC)https://etherscan.io/tx/0x0763afe207015ed7c1aa8858d2c092cf7b6a20397f2408bff20b044ef1901822FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor105,102,172.66293264($2,159,301.01)CompoundUSD...(cUSDT)https://etherscan.io/tx/0x10d245e61e76c7bf44257985789463ed89f624a0d5ffc45cfa671b16a7113d77FromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor1,300,610.936154161964594323($1,521,714.80)yearnCurve....(yyDAI+...)https://etherscan.io/tx/0x57c61df91e46b191424bfdd9223f277457a07999b58420e3b540059aad3fc7feFromCompounder.Finance:StrategyControllerV1ToCompounder.Finance:DeployerFor8,077.540667($4,788,285.33)WrappedEthe...(WETH)当今DeFi市场中存在着项目拥有者权限过大,中心化程度过高的项目比比皆是。目前对项目拥有者缺乏额外治理或者限制措施,由于此类原因导致的内部操作攻击事件也逐渐增多。此次事件造成损失巨大,攻击技术细节简单,更是为所有DeFi项目敲响了警钟:1.当前DeFi市场中缺乏对项目拥有者进行有效限制的方法。2.投资者对该类安全风险主要还是依靠查找项目背书的方式来进行确认。项目的安全与否不该依赖于项目拥有者或团队自身的“选择”,这样的防范方式并不可行,从智能合约代码层面对项目拥有者进行权限限制才能从根本上杜绝此类攻击。欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价!
1inch总交易额突破2000亿美元:8月6日消息,据Dune Analytics数据显示,去中心化交易平台(DEX)聚合器1inch历史总交易额已突破2000亿美元,截至目前为200,055,691,750美元(过去7天交易额超12亿美元)。
此外,当前1inch Token Swap交易量达到6,845,673笔,总用户量超140万(1,404,619)。[2022/8/6 12:05:51]
动态 | CertiK发布参考手册 介绍其智能合约编程语言:区块链安全公司CertiK发布了一份演示和语言参考手册,介绍其以智能合约为重点的DeepSEA编程语言,该参考手册旨在让开发人员深入了解该语言的设计。(CoinTelegraph)[2020/2/27]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。