别再复制Compound的代码了

前段时间看Compound的代码，发现两个可能影响资金安全的漏洞。

漏洞一

发现Compound的一个严重漏洞 | 登链社区 | 深入浅出区块链技术 (learnblockchain.cn)

这个漏洞的主要原因是Compound采用的这种资金池净值的算法可以被攻击，攻击者可以在资金池份额很小时，恶意转入一定量资金导致净值达到一个极大的值，从而让后面存入资金时，份额=资金/份额，整除后结果为0，也就是说用户存入资金确得不到份额！然后攻击者就可以取回份额，盗走用户的资金。

这个漏洞的利用条件比较苛刻，基本上只有在创建资金池的时候才有攻击的可能，但是，对于合约这种极其关键的东西，应该严谨对待，不能因为难以利用就置之不理，特别是这个漏洞要堵上是非常简单的。

因此给Compound的漏洞赏金计划邮箱发了一封邮件，告知了这个问题，但是至今没有收到回复。

担心是邮件没有收到，我又通过一个中间人来联系上Compound，但是一个中间人表示这个漏洞他们已经知道了，并说这个漏洞很难被利用，可以通过运营手段规避。想想确实是这样，这个漏洞虽然可能被利用，但是难以被利用，不必大惊小怪。

漏洞二

发现Compound的第二个严重漏洞 | 登链社区 | 深入浅出区块链技术 (learnblockchain.cn)

这个漏洞则似曾相识，基本逻辑还是回调、重入，但是漏洞确比第一个更加严重，而且也容易被利用一些，只要有带钩子的代币，就可以攻击！

于是我第一时间联系一个中间人，然后他们的回复依然是，这个漏洞他们已经发现了！

这次我就不是很理解了，后果如此严重，又比较容易被利用的漏洞，为什么被大家发现了还能够存在？而且堵上这个漏洞只需要调换一下两句代码的顺序就可以了，这样简单却能解决大问题的事情，却没有人做？难道仅仅是因为Compound没有带钩子的代币？

这让我对漏洞的认知产生了怀疑！第一次在本站发布这个漏洞后没多久，觉得内容比较敏感，我就把主要内容都删除了。

漏洞终于被利用

然而，漏洞还是被利用了。March-15-2022 06:28:40 PM +8 UTC，Hundred Finance遭受攻击，黑客获利2363 ETH，总价值超过4000万人名币。Hundred Finance代码源自Compound。利用的漏洞和上文中的第二个思路相同。事实上，黑客可以更狠一些，攻击的时候同时调用exitMarket()退出借贷市场，从而攻击者赎回、借款时，欠款会被全部忽略！

反思

代码是别人的，但是复制过来后，漏洞却是需要自己承受的，如此局面下，我们能够做的，就是严谨对待自己的项目和代码，因为出了问题后，Compound和审计公司都没有义务为你负责。