10,8 milioni di dollari rubati, sviluppatori coinvolti nel presunto 'rug pull' di contratti intelligenti

Martedì un altro progetto Finanza decentralizzata (DeFi) è stato bloccato: circa 10,8 milioni di dollari di fondi degli investitori sono stati rubati a causa di una backdoor nascosta nei contratti intelligenti del progetto.

Finanza Composer – un autodescritto clone di Harvest e Yearn Finanza costruito da programmatori pseudonimi – i suoi contratti sono stati prosciugati di 750.000 dollari in Wrapped Bitcoin (WBTC), 4,8 milioni di dollari etere, 5 milioni di dollariDAIe un piccolo assortimento di altri gettoni, secondo unindirizzoassociato all'exploit.

E sebbene l'attacco LOOKS simile ad altri rug-pull o exploit DeFi, ripetuti più volte nel 2020, questo atto di furto è diverso a causa dell'apparente truffa messa in atto dagli sviluppatori di Compounder, secondo Robert Leshner, fondatore del protocollo di prestito Compound Finanza.

Continua a leggere: Gli exploit DeFi T possono essere attribuiti ai prestiti flash, affermano i leader del settore

In un'intervista telefonica, Leshner ha detto a CoinDesk che Compounder sembrava come qualsiasi altro progetto DeFi di yield farming che ha preso d'assalto il settore Criptovaluta la scorsa estate. Ma gli sviluppatori avevano introdotto di nascosto una funzione di chiamata che consentiva loro di prelevare tutti i fondi dal progetto, un'azione che un progetto Finanza decentralizzata non dovrebbe mai consentire, ogni volta che ritenevano che il bottino fosse abbastanza grande.

Tirare il tappeto

Quella soglia è stata apparentemente raggiunta martedì, anche se i contratti token di Compounder sono stati creati solo il 10 novembre, secondoEteri scansionati.

Leshner ha definito il rug-pull "ONE dei più grandi" exploit intenzionali Criptovaluta nella memoria recente; un exploit categoricamente diverso dagli altri exploit DeFi a causa del suo paziente endgame. Sostiene inoltre che Compounder "ha impersonato il nome [di Compound Finance]" per attirare più vittime.

Un gruppo di investitori di Telegram sta attualmente indagando su mosse legali contro gli sviluppatori, sebbene si conoscano poche informazioni sui volti dietro Compounder. ONE investitore che affermazioniaver perso 1 milione di dollari di fondi significa offrire una ricompensa di 50.000 dollari per informazioni che portino al sequestro dei fondi rubati.

Il token nativo di Compounder, CP3R, è sceso del 98,8% nelle ultime 24 ore e ora viene scambiato a $ 0,24, secondoCoinGecko.

Gli audit degli smart contract non sono sufficienti

Compounder è stato sottoposto a verifica da Solidity Finanza. Le verifiche sono solitamente considerate un atto di buona fede nel selvaggio West della DeFi. Solidity Finanza ha detto a CoinDesk di aver trovato il contratto time-locked in questione già a metà novembre e di averlo segnalato agli sviluppatori del progetto. Ha offerto documentazione anche.

Sfortunatamente, Composer non solo era a conoscenza di questa funzione, ma a quanto pare aveva anche dei progetti in merito.

"Il team di Composer ha scambiato i contratti Strategy sicuri e verificati e li ha sostituiti con contratti 'Evil Strategy' dannosi che hanno permesso loro di rubare i fondi degli utenti", ha detto Solidity Finanza a CoinDesk in un messaggio Telegram, aggiungendo:

"Lo hanno fatto tramite un timelock pubblico, anche se chiaramente non monitorato, di 24 ore. Questa questione del controllo centralizzato da parte del team C3PR è stata sollevata nel nostro rapporto di audit e nelle nostre discussioni con il loro team. Il team aveva il potere di aggiornare i pool di strategie e lo ha fatto in modo malizioso qui per rubare i fondi degli utenti". In altre parole, gli investitori hanno trascurato la falla di sicurezza anche se il timelock in questione era stato segnalato dall'audit.

Molti investitori DeFi stanno imparando che gli audit T equivalgono necessariamente a un protocollo sicuro. Akropolis Finanza è un altro esempio recente. È stato hackerato all'inizio del mese scorso per 2 milioni di dollari in DAI, nonostante i suoi contratti fossero stati sottoposti a revisione contabile da due società.

In effetti, gli audit hanno gusti diversi. Solidity Finanza ha detto a CoinDesk che stava cercando principalmente "attaccanti esterni". L'azienda ha in programma di fornire maggiori informazioni sui possibili "rischi derivanti dal controllo degli sviluppatori" in futuro.

Correzione (3 dicembre 2020 19:40 UTC): Una versione precedente di questo articolo affermava che la funzione di blocco temporale era stata divulgata solo al team di Compounder Finance. Il rapporto di revisione contabile pubblico includeva queste informazioni.