Викрадено $10,8 млн, розробники причетні до ймовірного смарт-контракту «Rug Pull»

Ще один проект децентралізованого Фінанси (DeFi) був зруйнований у вівторок, коли близько 10,8 мільйона доларів інвесторських коштів було вкрадено через прихований бекдор у смарт-контрактах проекту.

Compounder Фінанси – a самоописаний клон Harvest and Yearn Фінанси, створений програмістами під псевдонімом – його контракти були вичерпані на 750 000 дол. Wrapped Bitcoin (WBTC), 4,8 млн дол. ефіру, 5 мільйонів доларів DAI і невеликий асортимент інших жетонів, згідно з an адресу пов’язані з експлойтом.

За словами Роберта Лешнера, засновника протоколу кредитування Compound Finance, ця атака LOOKS схожою на інші випадки чи експлойти Фінанси, які неодноразово здійснювалися у 2020 році, але цей акт крадіжки відрізняється через те, що розробники Compounder явно обманювалися.

Читайте також: Лідери галузі кажуть, що експлойти DeFi T можна прив’язати до флеш-кредитів

У телефонному інтерв’ю Лешнер сказав, що CoinDesk Compounder схожий на будь-який інший проект DeFi, який займає Криптовалюта індустрію цього літа. Але розробники підкралися до функції виклику, яка дозволяла їм виводити всі кошти з проекту – дії, яку проект децентралізованого Фінанси ніколи не повинен дозволяти – щоразу, коли вони вважали здобич достатньо великою.

Тягання килимка

Цей поріг, очевидно, було досягнуто у вівторок, навіть незважаючи на те, що токен-контракти Compounder були створені лише 10 листопада, відповідно до Etherscan.

Лешнер назвав rug-pull "ONE з найбільших цілеспрямованих Криптовалюта експлойтів за останній час; експлойт, який категорично відрізняється від інших експлойтів DeFi через його терплячий фінал. Він також стверджує, що Compounder "видав себе за ім'я [Compound Finance]", щоб заманити більше жертв.

Група інвесторів Telegram наразі розслідує судові дії проти розробників, хоча інформації про осіб, що стоять за Compounder, відомо мало. ONE інвестор, який претензії втратити 1 мільйон доларів США пропонує винагороду в 50 000 доларів США за інформацію, що призведе до конфіскації вкрадених коштів.

Рідний токен Compounder, CP3R, знизився на 98,8% за останні 24 години і зараз торгується за $0,24, згідно з даними CoinGecko.

Аудитів розумних контрактів недостатньо

Compounder пройшов аудит Solidity Фінанси. На дикому заході DeFi перевірки зазвичай сприймаються як акт добросовісності. Solidity Фінанси повідомила CoinDesk , що знайшла терміновий контракт, про який йде мова, ще в середині листопада та повідомила про це розробникам проекту. Воно запропонувало документація також.

На жаль, Compounder не тільки знав про цю функцію, але, очевидно, мав плани щодо неї.

«Команда Compounder замінила безпечні та перевірені контракти Strategy і замінила їх шкідливими контрактами Evil Strategy, які дозволяли їм красти кошти користувачів», — повідомили Solidity Фінанси у повідомленні CoinDesk у Telegram, додавши:

"Вони зробили це за допомогою загальнодоступного, хоча й явно неконтрольованого, 24-годинного блокування часу. Це питання централізованого контролю командою C3PR було піднято в нашому звіті про аудит і наших обговореннях з їхньою командою. Команда мала повноваження оновлювати пули стратегій, і вони зробили це зловмисно, щоб вкрасти кошти користувачів". Іншими словами, інвестори не звернули уваги на діру в безпеці, навіть якщо перевірка позначила блокування часу.

Багато інвесторів DeFi розуміють, що аудит T обов’язково означає безпечний протокол. Ще одним недавнім прикладом є Akropolis Фінанси . Його зламали раніше минулого місяця за DAI на 2 мільйони доларів, хоча його контракти перевіряли дві фірми.

Дійсно, аудити бувають різних видів. Solidity Фінанси повідомила CoinDesk , що в основному шукає «зовнішніх зловмисників». Надалі фірма планує надавати більше інформації про можливі «ризики, пов’язані з контролем розробників».

Виправлення (3 грудня 2020 р. 19:40 UTC): У попередній версії цієї статті говорилося, що функція блокування часу була розкрита лише командою Compounder Finance. Звіт про державний аудит містить цю інформацію.