المطورون المتورطون في العقد الذكي المزعوم “سحب البساط”

تم سحب مشروع تمويل لامركزي آخر (DeFi) يوم الثلاثاء ، مع سرقة حوالي 10.8 مليون دولار من أموال المستثمرين بسبب باب خلفي مخفي في العقود الذكية للمشروع.

Compound Finance – أ وصف نفسه استنساخ من Harvest and Yearn Finance التي بناها مبرمجون مجهولون – تم استنزاف عقودها بقيمة 750 ألف دولار من البيتكوين المغلف (WBTC) ، 4.8 مليون دولار إيثر ، 5 ملايين دولار داي ومجموعة صغيرة من الرموز الأخرى ، وفقًا ل عنوان المرتبطة بالاستغلال.

وعلى الرغم من أن الهجوم يبدو مشابهًا لعمليات سحب أو استغلال DeFi الأخرى ، والتي تم إجراؤها مرارًا وتكرارًا في عام 2020 ، إلا أن عملية السرقة هذه مختلفة بسبب المحتالين الظاهر الذي كان مطورو Compound يلعبونه ، وفقًا لروبرت ليسنر ، مؤسس بروتوكول الإقراض Compound Finance .

اقرأ أكثر: لا يمكن تثبيت مآثر DeFi على القروض السريعة ، كما يقول قادة الصناعة

في مقابلة عبر الهاتف ، أخبر ليشنر أن CoinDesk Compounder بدا مثل أي مشروع DeFi آخر لزراعة العوائد والذي أخذ صناعة العملات المشفرة في الصيف الماضي. لكن المطورين تسللوا إلى وظيفة استدعاء سمحت لهم بسحب جميع الأموال من المشروع – وهو إجراء يجب ألا يسمح به مشروع التمويل اللامركزي – كلما اعتبروا أن الغنيمة كبيرة بما يكفي.

تم الوفاء بهذا الحد على ما يبدو يوم الثلاثاء ، على الرغم من أن عقود الرمز المميز لـ Compounder تم إنشاؤها فقط في 10 نوفمبر ، وفقًا لـ Etherscan.

وصف ليسنر عملية سحب البساط بأنها “واحدة من أكبر” عمليات استغلال العملات المشفرة الهادفة في الذاكرة الحديثة. استغلال يختلف بشكل قاطع عن مآثر DeFi الأخرى بسبب لعبة نهاية المريض. كما يدعي أن كومباوندر “انتحل صفته [Compound Finance’s] name ”لجذب المزيد من الضحايا.

تقوم مجموعة Telegram من المستثمرين حاليًا بالتحقيق في التحركات القانونية ضد المطورين ، على الرغم من قلة المعلومات المعروفة حول الوجوه وراء Compounder. مستثمر واحد المطالبات أن تكون قد خسرت مليون دولار من الأموال ، تعرض مكافأة قدرها 50 ألف دولار للحصول على معلومات تؤدي إلى مصادرة الأموال المسروقة.

انخفض الرمز المميز لـ Compounder ، CP3R ، بنسبة 98.8 ٪ خلال الـ 24 ساعة الماضية ويتم تداوله الآن عند 0.24 دولار ، وفقًا لـ كوين جيكو.

تم تدقيق Compounder بواسطة Solidity Finance. يُنظر إلى عمليات التدقيق عادةً على أنها فعل حسن النية في الغرب المتوحش لـ DeFi. أخبرت شركة Solidity Finance CoinDesk أنها وجدت العقد المؤجل قيد البحث في وقت مبكر من منتصف نوفمبر وأبلغته لمطوري المشروع. عرضت توثيق كذلك.

لسوء الحظ ، لم يكن Compounder على علم بالوظيفة فحسب ، بل كان لديه خطط لها على ما يبدو.

قالت شركة Solidity Finance لـ CoinDesk في رسالة Telegram: “قام فريق Compounder بتبديل عقود الإستراتيجية الآمنة والمدققة واستبدالها بعقود” Evil Strategy “الخبيثة التي سمحت لهم بسرقة أموال المستخدمين”.

“لقد فعلوا ذلك من خلال قفل زمني عام ، وإن كان من الواضح أنه غير مراقب ، على مدار 24 ساعة. أثيرت مسألة التحكم المركزي من قبل فريق C3PR في تقرير التدقيق ومناقشاتنا مع فريقهم. كان لدى الفريق القدرة على تحديث مجمعات الإستراتيجيات وقد فعلوا ذلك بشكل ضار هنا لسرقة أموال المستخدمين “. بمعنى آخر ، تم وضع علامة على قفل الوقت المعني من خلال التدقيق ، ولكن لم يتم الإبلاغ عنه خارج فريق المطور.

يتعلم العديد من مستثمري DeFi أن عمليات التدقيق لا تعني بالضرورة بروتوكولًا آمنًا. تعتبر Akropolis Finance مثالاً حديثًا آخر. تم اختراقه في وقت سابق من الشهر الماضي مقابل مليوني دولار من داي ، على الرغم من تدقيق عقودها من قبل شركتين.

في الواقع ، تأتي عمليات التدقيق بنكهات مختلفة. أخبرت شركة Solidity Finance CoinDesk أنها كانت تبحث بشكل أساسي عن “مهاجمين خارجيين”. تخطط الشركة لتقديم مزيد من المعلومات حول “المخاطر المحتملة الناجمة عن سيطرة المطورين” في المستقبل.