Furto da 10,8 milioni $, sviluppatori coinvolti in un presunto smart contract “Rug Pull”

Un altro progetto di finanza decentralizzata (DeFi) è stato violato nei giorni scorsi, con circa 10,8 milioni di dollari di fondi degli investitori rubati a causa di una backdoor nascosta negli smart contract del progetto.

Una trappola in attesa di scattare

Compounder Finance – un clone di Harvest and Yearn Finance costruito da programmatori pseudonimi – ha visto i suoi contratti prosciugati di 750.000 $ di wrapped bitcoin (WBTC), 4,8 milioni $ di ether, 5 milioni $ di dai e un piccolo assortimento di altri token, secondo un indirizzo associato all’exploit.

E mentre l’attacco sembra simile ad altri furti o exploit DeFi, eseguiti più e più volte nel 2020, questo atto in particolare è diverso a causa dell’apparente truffa che gli sviluppatori di Compounder stavano giocando, secondo Robert Leshner, fondatore del protocollo di prestito Compound Finance.

Leshner ha affermato che Compounder assomigliava a qualsiasi altro progetto DeFi di yield farming che ha invaso l’industria delle criptovalute la scorsa estate. Ma gli sviluppatori avevano inserito una funzione che consentiva loro di ritirare tutti i fondi dal progetto – un’azione che un progetto di finanza decentralizzata non dovrebbe mai consentire – ogni volta che ritenevano il bottino abbastanza grande.

A caccia degli sconosciuti sviluppatori di Compounder

Questa soglia è stata probabilmente raggiunta la scorsa settimana, anche se i contratti token di Compounder sono stati creati il 10 novembre, secondo Etherscan. Leshner ha definito il rug-pull “uno dei più grandi” exploit di criptovaluta nella memoria recente; un exploit DeFi categoricamente diverso dagli altri a causa del suo paziente endgame.

Egli ha affermato inoltre che Compounder “ha ripreso il nome di Compound Finance” per attirare più vittime. Un gruppo di investitori sta attualmente discutendo su Telegram quali mosse legali intraprendere contro gli sviluppatori, sebbene si conoscano poche informazioni sui volti e i nomi dietro Compounder.

Un investitore che afferma di aver perso 1 milione di dollari in fondi offre una taglia di 50.000 dollari per informazioni legate al sequestro dei fondi rubati. Il token nativo di Compounder, CP3R, è sceso del 98,8% nelle ultime 24 ore e ora viene scambiato a 0,24 $, secondo CoinGecko.

Servono più audit per gli smart contract

Compounder era stato ispezionato da Solidity Finance in un audit, una procedura di verifica delle conformità di un prodotto o un servizio, dimostrata attraverso prove oggettive. Solidity Finance ha dichiarato di aver individuato il contratto fraudolento in questione già a metà novembre e di averlo segnalato agli sviluppatori del progetto, allegando la documentazione.

Sfortunatamente, Compounder non solo conosceva il problema, ma a quanto pare aveva dei piani legati ad esso. Molti investitori DeFi stanno imparando ora che gli audit non equivalgono necessariamente a un protocollo di sicurezza.

Akropolis Finance rappresenta un altro esempio recente. Il protocollo è stato violato all’inizio del mese scorso per 2 milioni $ di dai, anche se i suoi contratti erano stati verificati da due società diverse. Solidity Finance ha dichiarato che prevede di fornire ulteriori informazioni sui possibili “rischi derivanti dal controllo degli sviluppatori” in futuro.