Condividi questo articolo
10,8 milioni di dollari rubati, sviluppatori coinvolti nel presunto 'rug pull' di contratti intelligenti
Sembra che gli sviluppatori non autorizzati abbiano messo a soqquadro il loro progetto, Composer Finanza, incassando circa 10,8 milioni di dollari in fondi dagli investitori del progetto.
Martedì un altro progetto Finanza decentralizzata (DeFi) è stato bloccato: circa 10,8 milioni di dollari di fondi degli investitori sono stati rubati a causa di una backdoor nascosta nei contratti intelligenti del progetto.
La storia continua sotto
Finanza Composer – un autodescritto clone di Harvest e Yearn Finanza costruito da programmatori pseudonimi – i suoi contratti sono stati prosciugati di 750.000 dollari in Wrapped Bitcoin (WBTC), 4,8 milioni di dollari etere, 5 milioni di dollariDAIe un piccolo assortimento di altri gettoni, secondo unindirizzoassociato all'exploit.
E sebbene l'attacco LOOKS simile ad altri rug-pull o exploit DeFi, ripetuti più volte nel 2020, questo atto di furto è diverso a causa dell'apparente truffa messa in atto dagli sviluppatori di Compounder, secondo Robert Leshner, fondatore del protocollo di prestito Compound Finanza.
Continua a leggere: Gli exploit DeFi T possono essere attribuiti ai prestiti flash, affermano i leader del settore
In un'intervista telefonica, Leshner ha detto a CoinDesk che Compounder sembrava come qualsiasi altro progetto DeFi di yield farming che ha preso d'assalto il settore Criptovaluta la scorsa estate. Ma gli sviluppatori avevano introdotto di nascosto una funzione di chiamata che consentiva loro di prelevare tutti i fondi dal progetto, un'azione che un progetto Finanza decentralizzata non dovrebbe mai consentire, ogni volta che ritenevano che il bottino fosse abbastanza grande.
Tirare il tappeto
Quella soglia è stata apparentemente raggiunta martedì, anche se i contratti token di Compounder sono stati creati solo il 10 novembre, secondoEteri scansionati.
Leshner ha definito il rug-pull "ONE dei più grandi" exploit intenzionali Criptovaluta nella memoria recente; un exploit categoricamente diverso dagli altri exploit DeFi a causa del suo paziente endgame. Sostiene inoltre che Compounder "ha impersonato il nome [di Compound Finance]" per attirare più vittime.
Un gruppo di investitori di Telegram sta attualmente indagando su mosse legali contro gli sviluppatori, sebbene si conoscano poche informazioni sui volti dietro Compounder. ONE investitore che affermazioniaver perso 1 milione di dollari di fondi significa offrire una ricompensa di 50.000 dollari per informazioni che portino al sequestro dei fondi rubati.
Message to the scammer of https://t.co/kZv6MWkB3E just scammed approximately $10,800,000
— DEFIYIELD.App👨🌾🚜 (@defiyield_app) December 1, 2020
I have personally lost approx. 1m$ and the rest of the crypto community lost approx. 10m$ from your rug pull.
Il token nativo di Compounder, CP3R, è sceso del 98,8% nelle ultime 24 ore e ora viene scambiato a $ 0,24, secondoCoinGecko.
Gli audit degli smart contract non sono sufficienti
Compounder è stato sottoposto a verifica da Solidity Finanza. Le verifiche sono solitamente considerate un atto di buona fede nel selvaggio West della DeFi. Solidity Finanza ha detto a CoinDesk di aver trovato il contratto time-locked in questione già a metà novembre e di averlo segnalato agli sviluppatori del progetto. Ha offerto documentazione anche.
Sfortunatamente, Composer non solo era a conoscenza di questa funzione, ma a quanto pare aveva anche dei progetti in merito.
"Il team di Composer ha scambiato i contratti Strategy sicuri e verificati e li ha sostituiti con contratti 'Evil Strategy' dannosi che hanno permesso loro di rubare i fondi degli utenti", ha detto Solidity Finanza a CoinDesk in un messaggio Telegram, aggiungendo:
"Lo hanno fatto tramite un timelock pubblico, anche se chiaramente non monitorato, di 24 ore. Questa questione del controllo centralizzato da parte del team C3PR è stata sollevata nel nostro rapporto di audit e nelle nostre discussioni con il loro team. Il team aveva il potere di aggiornare i pool di strategie e lo ha fatto in modo malizioso qui per rubare i fondi degli utenti". In altre parole, gli investitori hanno trascurato la falla di sicurezza anche se il timelock in questione era stato segnalato dall'audit.
Molti investitori DeFi stanno imparando che gli audit T equivalgono necessariamente a un protocollo sicuro. Akropolis Finanza è un altro esempio recente. È stato hackerato all'inizio del mese scorso per 2 milioni di dollari in DAI, nonostante i suoi contratti fossero stati sottoposti a revisione contabile da due società.
In effetti, gli audit hanno gusti diversi. Solidity Finanza ha detto a CoinDesk che stava cercando principalmente "attaccanti esterni". L'azienda ha in programma di fornire maggiori informazioni sui possibili "rischi derivanti dal controllo degli sviluppatori" in futuro.
Correzione (3 dicembre 2020 19:40 UTC): Una versione precedente di questo articolo affermava che la funzione di blocco temporale era stata divulgata solo al team di Compounder Finance. Il rapporto di revisione contabile pubblico includeva queste informazioni.
Di più per voi
Cosa sapere:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Di più per voi
ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On
The company framed the move, happening in early 2026, as a planned sunset.
Cosa sapere:
- Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
- The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Storie Da Non Perdere
