底线复合金融在德菲跑路的恶性案件中，项目方收获了1200多万美元

最近，复合金融用户盗取了超过1200万美元的资金。令人惊讶的是，这次攻击的罪魁祸首不是黑客，而是项目方本身。这也是目前最严重的一次事故。原文是rekt团队写的。

这是罪人的希望，他们的罪在匿名的外衣下被遗忘了。

雷克特来这里是为了揭露犯罪，揭露袭击者的手法，我们可以从中吸取教训。

复合金融该网站和官方推特账号被项目方删除，一份完整的安全审计报告为我们的调查提供了唯一线索。

雷克思现在很忙。当我们开始调查时，我们联系审计人员已经几个小时了，他们似乎不想见我们。

“请不要发布这种该死的内容。你真让我害怕。软弱的手可能会报告这件事或一些狗屎。”

在我们保证之后，稳健金融他们给了我们复合金融完整的谈话记录。

其他受害者也向我们伸出援手，向我们展示了他们与公司经理的早期对话，并表达了他们的担忧。

稳健金融我们被告知，他们只与compounder管理员进行了简短的交谈，他们确实审查了合同，他们在文件中指出，虽然基金池有时间锁定，但它不提供任何保护。

以下是他们的聊天记录：

在我们调查的这个阶段，稳健金融仍有疑问。想知道他们为什么这么想复合金融这个团队看起来“非常值得信赖”。

当我们阅读聊天日志时，我们注意到，虽然帐户被删除，但用户名“keccak”仍被保留。

尽管稳健金融这意味着keccak已经删除了他们的账户，但我们已经找到了他们的账户，正试图联系他们。

不幸的是，弗拉德不想打电话，所以我们给他们发了条短信，但没想到他会回复。

直到

弗拉德准备好说话了。不幸的是，他不想合作。

我们仍然可以通过@keccak在电报上找到Vlad/keccak，但他没有回复并删除帐户中的图片。

我们把他的旧头颅附在这里供你参考和调查。

有人告诉我们，照片中的狼来自一个**的乌克兰漫画，上面写着“如果有什么事情发生就过来”，而左边是一张反核的海报。

不幸的是，它对用户没有太大帮助。

在认识到弗拉德不想说话后，我们拜访了作曲家的官方电报组，里面的人欢迎我们。

当我们滚动浏览聊天内容时，我们会看到一种典的由官方道路运行引发的反应。

甚至大球员也被这次跑步击中，受害者组成了一个调查组（686名成员），他们的领导人损失了100万美元，并试图为他们报仇。

帖子可以在这里找到。

统计

作为调查的一部分，我们发现稳健金融和来自stack capital_u的@vasa开发并要求他们共同创建一份完整的后分析报告。

以下数据来自他们的报告。

被盗资产（8类）

8077.540667湿（价值4820030美元）；

1300610.936154161964594323年：ycrv保险库（价值：1521714.8美元）；

0.016390153857154838补偿（价值：1.79美元）；

105102172.66293264美元综合美元（价值：2169782.85）；

97944481.39815207美元复合币（价值2096403.68美元）；

1934.23347357复合wbtc（价值：744396.89美元）；

23.368131489683158482 AAVE计息yfi（价值：628650.174379401美元）；

6230432.06773805复合Uniswap（价值466378.99美元）；

逃跑后，官员将钱转入以下钱包：

https://ETHerscan.io/address/0x944f214a343025593d8d9fd2a2a6d43886fb2474180万DAI

https://ETHerscan.io/address/0x079667f4f7a0b440ad35ebd780efd216751f07585066124.665456504411940414 DAI，39.05381415 WBTC，4.38347845834390477 CP3R，0.004842656997849285 COMP，0.000007146621650034 UNI-V2

部署人员通过龙卷风现金它隐藏了资金来源，并将ETH发送到7个不同的地址，其中大多数地址只有一个交易。然而，分别于11月19日、20日、22日和23日在其中一个地址收到了4笔付款。该地址的大部分资金来自一个拥有超过100万个Kore代币的地址（在运行之前，该地址只有10000个Kore代币）。

攻击分析

这次攻击的罪魁祸首是项目方在完成审计后，在其代码库中添加了7个恶意策略契约。

策略契约中的非恶意withraw（）函数如下：

请注意，我们有一些检查，例如：

7份恶意策略合同中缺少这些检查。这允许控制者收缩（由道路策略师控制）从策略中提取资产。

（请注意下面的恶意withraw函数中缺少的检查）

整个运行过程可以用四个步骤来解释

第1步

复合金融部署程序部署了七个恶意策略，包括操纵draft（）函数。

第2步

复合金融部署人员通过timelock（24小时）事务在strategycontroller中设置和批准七个恶意策略。

第3步

复合金融部署人员（战略家）在strategycontroller上调用incasestrategytokengetstick（），滥用恶意策略的Controlable withraw（）函数，将策略中的代币转移到strategycontroller，并对所有七个恶意策略执行此操作。

第4步

复合金融部署_者_ （ _策略_师_ ） _在_StrategicController_上_调用_incaseTokensGetStick_ （ ） ， _该_函数_将_代币_从_StrategyController_传输_到_复合金融部署者地址。现在？复合金融部署人员完全控制用户的资产，总价值为12464316.329美元。

资产已转移到此处列出的多个地址。

感谢@vasa_u开发部提供的出色的分析工作。

如果您是举报者、网络侦探或以太扫描侦探，并且您有有线贡献，请与我们联系。

该怪谁？

经过我们的分析，我们知道这不是审计师的问题。他们认真完成了任务，确保作曲家的财务不受外部攻击的影响。同时，他们还在审计报告和聊天群中表达了自己的担忧。

或许他们本可以更清楚地表达这些担忧，但最终，责任在于储户。

尽管复合金融时间锁用来表示它们不会运行，但现在我们知道这种方法是不可信的。如果使用，应建立自动报警系统或仪表板，以监控该地址的交易。

他们的资金似乎没有足够的时间锁定自己的用户24小时。虽然我们不能说所有匿名创始人的项目都是骗局，但几乎所有的项目都来自匿名创始人的项目。作为一个社区，我们需要对这些项目保持警惕，尤其是那些使用它们的项目龙卷风现金隐藏资金来源。

此外，审计报告的存在不足以保证项目的安全性和合法性。审计通常更关注来自外部攻击者的风险，而不是内部攻击者，这可能是审计师需要改进的领域。

即使有审计、时间锁和烧掉的密钥，存储用户也总是听任项目方的摆布，他们随时可能向市场投放大量代币。

来自稳健。金融官方声明

“CR部署了新的“策略合约”，这使得团队可以清空用户资金所在的策略合约。他们有延迟24小时交易的时间限制，但我们警告说，这是不够的，因为谁会关注呢？他们在24小时前就通过这笔交易开始了这个改变：

五小时前，他们偷了钱。

我们主要关注来自外界的攻击，我们也意识到了风险，但只晚了24小时，没有人关注。”

我们都知道，我们应该在投资前检查智能合约，但这里的知识壁垒非常高，不是每个人都知道该找什么，而且知道的人没有动力分享他们的发现。

在cr的例子中，知道它的人很早就意识到了危险，使运行成为可能的代码总是存在的。

然而，cr跑路事件却夺走了1200多万美元的用户资金，可以说是史上知名的DeFi跑路案。