Rug pull de Compounder Finance
L'équipe Compounder a poussé une mise à jour de stratégie malveillante échangeant la logique de pool pour une fonction de drainage, rug pull de 12 M$.
- Date
- Victime
- Compounder Finance users
- Chaîne(s)
- Statut
- Fonds dérobés
Le 1er décembre 2020, Compounder Finance a rug-pullé environ 12 millions de dollars. L'équipe a poussé une mise à jour malveillante des contrats de stratégie, remplaçant la logique légitime de pool par une fonction de drainage qui a vidé les dépôts utilisateurs, puis a disparu.
Ce qui s'est passé
Les contrats de stratégie de Compounder étaient upgradables par l'équipe. Après avoir accumulé ~12 M$, les opérateurs ont mis à jour les stratégies vers des implémentations malveillantes et retiré tous les dépôts — l'un des premiers rugs « upgrade vers implémentation malveillante » à grande échelle.
Pourquoi c'est important
Compounder Finance (déc. 2020) est un progéniteur précoce et important du rug par upgrade malveillant qui récidive à travers le catalogue (Swaprum, Kokomo, Wasabi). Il a établi, en 2020, la règle côté utilisateur que le catalogue continue de réénoncer : l'upgradabilité contrôlée par l'équipe est une option de rug permanente indépendamment des audits ou du code actuel. Cinq ans plus tard, la même structure, avec le même drapeau rouge pré-vérifiable (qui contrôle la clé de mise à jour ?), fonctionne encore — parce que l'incitation à sauter les timelocks/multisig pour la vitesse d'expédition ne disparaît jamais, et les utilisateurs continuent de déposer sans vérifier.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-compounder-finance-rug-december-2020
- [02]rekt.newshttps://rekt.news/compounder-finance-rekt