Compound是建立在以太坊之上的可公开访问的智能合约系统，Compound致力于通过将其加密资产锁定在协议中来允许借款人取得贷款，而贷方提供贷款。借方和贷方支付和接收的利率由每种加密资产的供求决定，开采每个区块都会产生利率，可以随时偿还贷款并可以提取锁定的资产。

建立在该原理之上的是cTokens，这是Compound的主网代币，它使用户可以从自己的数字货币中赚取利息，同时还能够在其他应用程序中转移，交易和使用该货币。

Compound 合约被设计为可以通过中央管理员进行适当的升级。最重要的合约是代理合约，其指向包含了逻辑实现的逻辑合约地址，管理员拥有随意修改地址指针的权利。由于所有的 cTokens 使用相同的管理员 ，如果管理员私钥泄露了，那么所有质押在 Compound 中的资产都可以被轻松窃取。

sam 的报告中也提到了其他更为狡猾的攻击，如果攻击者有这样的机会——比起实施更为复杂的攻击，这样可以更快的卷走所有钱。OpenZeppelin 在他们的 Compound 审计概要中进行了有效总结。

然而，恶意管理员或者被窃取私钥的管理员手中拥有冻结市场、审查交易甚至从系统中窃取全部资产的能力。类似地，控制资产价格预言机即便不能窃取系统的全部资产，也可以窃取大部分。当前，所有实时市场的管理员都是同一个外部账户。

但是有趣的是， Trail of Bits团队没有在任何相关材料中提及这一点。此外，Compound 的 FAQ 还低估了管理员特权，并没有提供任何关于管理员有可能窃取所有资产的警告：

协议的开发者 Compound Lab，Inc，目前控制着以太坊地址：0x8b8592e9570e96166336603a1b4bd1e8db20fa20 ，即管理员地址。管理员地址拥有新增资产、更新价格预言机、更新利率模型以及更新协议风险模型的权利。

另一件需要注意的事情是， Compound 当前的托管设置本身并不会导致系统的不安全。他们会极力维护管理员密钥安全，并且很有可能（希望如此）他们正在与 820 万美元种子轮融资可以买到的最好的托管供应商合作。不过毫无疑问，在决定存入 50 万 DAI 时，我会将这一点放在心上。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。