DeFi 在 11 月发生了一连串攻击事件，造成社群人人自危，唯恐下一个目标就是自己投资的项目。但是，日防夜防终究是家贼难防，本周就又再传出一起骇人听闻的盗窃攻击，并且攻击者不是外部来的骇客，而是项目方谋划已久的卷款跑路。(前情提要：资安月报11月骇客肆虐，DeFi程式漏洞流行病造成损失近5000万美元)

本文目录

今年 11 月才推出的 DeFi 协议 Compounder Finance 周二1传出遭窃近 1200 万美元，原以为可能又是一次几乎演变成常态的骇客攻击，经查后却发现竟是项目方自导自演，早早就在智能合约中埋了后门，造就这场迄今最恶质的跑路事件。

Compounder 自称是复制了 DeFi 协议 Harvest Finance 和 Yearn Finance 的克隆项目，作为一种聚合器，它会按照智能合约上写好的套利策略做分散投资。但是，Compounder 打从一开始就没打算长久经营，而是在等待合适的收网时机。

显然，一个月的时间就足矣。1 日下午 3 时许，Compounder 的智能合约突然发送了多笔钜额交易，经查发现是内部团队正在将协议中的资金转入私人地址；纪录显示，项目方至少诈走了 75 万美元的 WBTC、480 万美元的 WETH 和 500 万美元的 DAI。

根据 DeFi 独立媒体 rekt 报告，Compounder 总计卷走了超过 1200 万美元的钜款，并且在事件发生后，官方推特及网站也立刻遭到删除，目前仅剩一份审计报告可供受害者寻找线索。

相当然尔，此等恶性事件引发了 Compounder 用户的恐慌，不仅平台的总锁定价值TVL瞬间归零，其治理代币 CP3R 更是在短短数小时内大跌了 99，从 23 美元左右跌到只剩 034 美元；作为比较，CP3R 在 11 月的最高价是 9398 美元。

目前，CP3R 持有者已经在 Telegram 上组建了自救会，正在针对 Compounder 的非法行为展开调查。不过，Compounder 就如同其他诈骗协议一般，是由匿名开发者推出的，且上线时间又只有一个月左右，外界对它们的了解可说是少之又少。

《Coindesk》报导，一位自称损失 100 万美元的受害者发出 5 万美元悬赏令，要求任何有关被盗资金的讯息。

DeFi 审计问题

更令人沮丧的是，Compounder 的恶意漏洞早在 11 月就已经被发现了；然而，没什么人在意。

据了解，Solidity Finance 在 11 月 19 日对 Compounder 做了程式码审计，并发现其智能合约中存在问题，还好心地向 Compounder 发出提醒，甚至提供文件给项目方审核。不幸的是，Compounder 本就知道漏洞的存在，而且制定好了邪恶计画。

Solidity Finance 团队说明，Compounder 主要是透过一个 24 小时的时间锁timelock来施行跑路计画：

DeFi 借贷协议 Compound 的创办人莱什纳Robert Leshner也出面抨击，称 Compounder 根本是故意取了个跟具有辨识度的 Compound 相似的名称以试图混淆，进而诓骗投资人。事实上，CP3R 也与 Yearn Finance 创办人 Andrew Cronje 先前推出的 KP3R 非常相近。