Et andet decentraliseret finansieringsprojekt (DeFi) blev tæppet tirsdag med omkring 10,8 millioner dollars i investormidler stjålet på grund af en skjult bagdør i projektets smarte kontrakter.
Compounder Finance – en selvbeskreven klon af Harvest and Yearn Finance bygget af pseudonyme programmører – fik sine kontrakter drænet på $ 750.000 indpakket bitcoin (WBTC), $ 4,8 millioner ether, $ 5 millioner dai og et lille udvalg af andre tokens, ifølge en adresse tilknyttet udnyttelsen.
Og mens angrebet ligner andre DeFi-tæpper eller udnyttelser, der udføres gang på gang i 2020, er denne tyveri anderledes på grund af den tilsyneladende con Compounders udviklere spillede ifølge Robert Leshner, grundlægger af udlånsprotokollen Compound Finance .
I et telefoninterview fortalte Leshner CoinDesk Compounder lignede ethvert andet afkast-landbrug DeFi-projekt, der tog kryptovalutaindustrien med storm denne sidste sommer. Men udviklerne havde sneget sig ind i en opkaldsfunktion, der gjorde det muligt for dem at trække alle midler ud af projektet – en handling, som et decentraliseret finansieringsprojekt aldrig burde tillade – når de betragtede byttet stort nok.
Rug pull
Denne tærskel blev tilsyneladende opfyldt tirsdag, selvom Compounders token-kontrakter først blev oprettet 10. november ifølge Etherscan.
Leshner kaldte rug-pull “en af de største” målrettet kryptokurrencyudnyttelser i nyere hukommelse; en udnyttelse, der kategorisk adskiller sig fra andre DeFi-bedrifter på grund af dens tålmodige slutspil. Han hævder også, at Compounder “efterlignede [Compound Finance’s] navn” for at lokke flere ofre ind.
En Telegram-gruppe af investorer undersøger i øjeblikket juridiske skridt mod udviklerne, selvom der kun er lidt information om ansigterne bag Compounder. En investor, der hævder at have mistet 1 million dollars i midler, tilbyder en bounty på $ 50.000 til information, der fører til beslaglæggelse af stjålne midler.
Compounders native token, CP3R, er faldet 98,8% i løbet af de sidste 24 timer og handler nu hænder til $ 0,24 ifølge CoinGecko.
Smart kontraktsrevision ikke nok
Compounder blev revideret af Solidity Finance. Revisioner ses typisk som en handling af god tro i det vilde vest for DeFi. Solidity Finance fortalte CoinDesk, at den fandt den pågældende tidslåste kontrakt allerede i midten af november og markerede den til projektets udviklere. Det tilbød også dokumentation.
Desværre vidste Compounder ikke kun om funktionen, men havde tilsyneladende planer for den.
“Compounder-teamet byttede de sikre og reviderede strategikontrakter og erstattede dem med ondsindede ‘Evil Strategy’ -kontrakter, der tillod dem at stjæle brugernes midler,” fortalte Solidity Finance CoinDesk i en Telegram-besked og tilføjede:
”De gjorde dette gennem en offentlig, men klart uovervåget, 24-timers tidslås. Dette spørgsmål om centraliseret kontrol fra C3PR-teamet blev rejst i vores revisionsrapport og vores drøftelser med deres team. Holdet havde beføjelse til at opdatere strategipuljer, og de gjorde det ondsindet her for at stjæle brugernes midler. ” Med andre ord blev den pågældende tidslås markeret af revisionen, men blev ikke kommunikeret uden for udviklerholdet.
Mange DeFi-investorer lærer audits, at de ikke nødvendigvis svarer til en sikker protokol. Akropolis Finance står som et andet nylig eksempel. Det blev hacket tidligere i sidste måned for 2 millioner dollars dai, selvom dets kontrakter var blevet revideret af to firmaer.
Faktisk kommer revisioner i forskellige varianter. Solidity Finance fortalte CoinDesk, at det primært ledte efter “eksterne angribere.” Firmaet planlægger at give mere information om mulige “risici som følge af udvikleres kontrol” fremover.