Zum Inhalt springen

$ 10,8 mio. Stjålet, udviklere impliceret i påstået smart kontrakt ‚Rug Pull‘

Et andet decentraliseret finansieringsprojekt (DeFi) blev tæppet tirsdag med omkring 10,8 millioner dollars i investormidler stjålet på grund af en skjult bagdør i projektets smarte kontrakter.

Compounder Finance – en selvbeskreven klon af Harvest and Yearn Finance bygget af pseudonyme programmører – fik sine kontrakter drænet på $ 750.000 indpakket bitcoin (WBTC), $ 4,8 millioner ether, $ 5 millioner dai og et lille udvalg af andre tokens, ifølge en adresse tilknyttet udnyttelsen.

Og mens angrebet ligner andre DeFi-tæpper eller udnyttelser, der udføres gang på gang i 2020, er denne tyveri anderledes på grund af den tilsyneladende con Compounders udviklere spillede ifølge Robert Leshner, grundlægger af udlånsprotokollen Compound Finance .

I et telefoninterview fortalte Leshner CoinDesk Compounder lignede ethvert andet afkast-landbrug DeFi-projekt, der tog kryptovalutaindustrien med storm denne sidste sommer. Men udviklerne havde sneget sig ind i en opkaldsfunktion, der gjorde det muligt for dem at trække alle midler ud af projektet – en handling, som et decentraliseret finansieringsprojekt aldrig burde tillade – når de betragtede byttet stort nok.

Rug pull

Denne tærskel blev tilsyneladende opfyldt tirsdag, selvom Compounders token-kontrakter først blev oprettet 10. november ifølge Etherscan.

Leshner kaldte rug-pull „en af ​​de største“ målrettet kryptokurrencyudnyttelser i nyere hukommelse; en udnyttelse, der kategorisk adskiller sig fra andre DeFi-bedrifter på grund af dens tålmodige slutspil. Han hævder også, at Compounder „efterlignede [Compound Finance’s] navn“ for at lokke flere ofre ind.

En Telegram-gruppe af investorer undersøger i øjeblikket juridiske skridt mod udviklerne, selvom der kun er lidt information om ansigterne bag Compounder. En investor, der hævder at have mistet 1 million dollars i midler, tilbyder en bounty på $ 50.000 til information, der fører til beslaglæggelse af stjålne midler.

Compounders native token, CP3R, er faldet 98,8% i løbet af de sidste 24 timer og handler nu hænder til $ 0,24 ifølge CoinGecko.

Smart kontraktsrevision ikke nok

Compounder blev revideret af Solidity Finance. Revisioner ses typisk som en handling af god tro i det vilde vest for DeFi. Solidity Finance fortalte CoinDesk, at den fandt den pågældende tidslåste kontrakt allerede i midten af ​​november og markerede den til projektets udviklere. Det tilbød også dokumentation.

Desværre vidste Compounder ikke kun om funktionen, men havde tilsyneladende planer for den.

„Compounder-teamet byttede de sikre og reviderede strategikontrakter og erstattede dem med ondsindede ‚Evil Strategy‘ -kontrakter, der tillod dem at stjæle brugernes midler,“ fortalte Solidity Finance CoinDesk i en Telegram-besked og tilføjede:

”De gjorde dette gennem en offentlig, men klart uovervåget, 24-timers tidslås. Dette spørgsmål om centraliseret kontrol fra C3PR-teamet blev rejst i vores revisionsrapport og vores drøftelser med deres team. Holdet havde beføjelse til at opdatere strategipuljer, og de gjorde det ondsindet her for at stjæle brugernes midler. ” Med andre ord blev den pågældende tidslås markeret af revisionen, men blev ikke kommunikeret uden for udviklerholdet.

Mange DeFi-investorer lærer audits, at de ikke nødvendigvis svarer til en sikker protokol. Akropolis Finance står som et andet nylig eksempel. Det blev hacket tidligere i sidste måned for 2 millioner dollars dai, selvom dets kontrakter var blevet revideret af to firmaer.

Faktisk kommer revisioner i forskellige varianter. Solidity Finance fortalte CoinDesk, at det primært ledte efter „eksterne angribere.“ Firmaet planlægger at give mere information om mulige „risici som følge af udvikleres kontrol“ fremover.

Kommentare sind geschlossen, aber Trackbacks und Pingbacks sind möglich.