US$ 10,8 milhões roubados, desenvolvedores implicados em suposto contrato inteligente 'Rug Pull'

Outro projeto de Finanças descentralizadas (DeFi) foi prejudicado na terça-feira, com cerca de US$ 10,8 milhões em fundos de investidores roubados devido a um backdoor oculto nos contratos inteligentes do projeto.

Finanças Compostas – uma autodescrito clone do Harvest e Yearn Finanças construído por programadores pseudônimos – teve seus contratos drenados de US$ 750.000 em Wrapped Bitcoin (WBTC), US$ 4,8 milhões éter, US$ 5 milhõesDAIe uma pequena variedade de outros tokens, de acordo com umendereçoassociado à exploração.

E embora o ataque LOOKS semelhante a outros rug-pulls ou exploits DeFi, realizados repetidamente em 2020, esse ato de roubo é diferente por causa do golpe aparente que os desenvolvedores do Compounder estavam aplicando, de acordo com Robert Leshner, fundador do protocolo de empréstimo Compound Finanças.

Leia Mais: Exploits DeFi T podem ser atribuídos a empréstimos rápidos, dizem líderes do setor

Em uma entrevista por telefone, Leshner disse ao CoinDesk que o Compounder parecia qualquer outro projeto DeFi de yield farming que tomou a indústria de Criptomoeda de assalto no verão passado. Mas os desenvolvedores tinham introduzido uma função de chamada que lhes permitia retirar todos os fundos do projeto — uma ação que um projeto de Finanças descentralizadas nunca deveria permitir — sempre que considerassem o saque grande o suficiente.

Puxador de tapete

Esse limite foi aparentemente atingido na terça-feira, embora os contratos de token da Compounder tenham sido criados apenas em 10 de novembro, de acordo comEtherscan.

Leshner chamou o rug-pull de “um dos maiores” exploits de Criptomoeda propositais na memória recente; um exploit categoricamente diferente de outros exploits DeFi por causa de seu paciente final de jogo. Ele também alega que a Compounder “personificou o nome [da Compound Finance]” para atrair mais vítimas.

Um grupo de investidores do Telegram está atualmente investigando ações legais contra os desenvolvedores, embora pouca informação seja conhecida sobre os rostos por trás do Compounder. Um investidor que reivindicaçõester perdido US$ 1 milhão em fundos está oferecendo uma recompensa de US$ 50.000 por informações que levem à apreensão dos fundos roubados.

O token nativo do Compounder, CP3R, caiu 98,8% nas últimas 24 horas e agora está sendo negociado a US$ 0,24, de acordo comCoinGecko.

Auditorias de contratos inteligentes não são suficientes

O Compounder foi auditado pela Solidity Finanças. As auditorias são normalmente vistas como um ato de boa-fé no oeste selvagem do DeFi. A Solidity Finanças disse à CoinDesk que encontrou o contrato com bloqueio de tempo em questão já em meados de novembro e o sinalizou para os desenvolvedores do projeto. Ela ofereceu documentação também.

Infelizmente, o Compounder não só sabia da função como aparentemente tinha planos para ela.

“A equipe do Compounder trocou os contratos seguros e auditados da Strategy e os substituiu por contratos maliciosos de 'Evil Strategy' que permitiram que eles roubassem fundos dos usuários”, disse a Solidity Finanças ao CoinDesk em uma mensagem do Telegram, acrescentando:

“Eles fizeram isso por meio de um bloqueio de tempo público, embora claramente não monitorado, de 24 horas. Essa questão de controle centralizado pela equipe C3PR foi levantada em nosso relatório de auditoria e em nossas discussões com sua equipe. A equipe tinha o poder de atualizar pools de estratégia e eles fizeram isso maliciosamente aqui para roubar fundos dos usuários.” Em outras palavras, os investidores ignoraram a falha de segurança, embora o bloqueio de tempo em questão tenha sido sinalizado pela auditoria.

Muitos investidores DeFi estão aprendendo que auditorias T necessariamente equivalem a um protocolo seguro. Akropolis Finanças se destaca como outro exemplo recente. Foi hackeado no início do mês passado, por US$ 2 milhões em DAI, embora seus contratos tenham sido auditados por duas empresas.

De fato, as auditorias vêm em diferentes sabores. A Solidity Finanças disse à CoinDesk que estava procurando principalmente por “atacantes externos”. A empresa planeja fornecer mais informações sobre possíveis “riscos decorrentes do controle dos desenvolvedores” daqui para frente.

Correção (3 de dezembro de 2020 19:40 UTC): Uma versão anterior deste artigo declarou que a função de bloqueio de tempo foi divulgada apenas para a equipe da Compounder Finance. O relatório de auditoria pública incluiu esta informação.