$160 mio. i fare på grund af fejl i DeFi-udlånsprotokolforbindelse

Genudgivet af Platon

Abonnenter: 0

$160 mio. i fare på grund af fejl i DeFi Lenning Protocol Compound PlatoBlockchain Data Intelligence. Lodret søgning. Ai.

Redaktørens note: Denne artikel er blevet opdateret med kommentarer fra Robert Leshner og Banteg.

For en uge siden kaldte Compound-grundlæggeren Robert Leshner en fejl i sin låneprotokols smarte kontrakt for et "moralsk dilemma." Måske for nogle, men for andre blev de smarte kontrakter i dag en automat fuld af gratis kontanter.

I dag er der nogen, der har udnyttet en fejl i Compounds Controller-kontrakt, som er den del af protokollen, der distribuerer udbytte-landbrugsbelønninger til brugerne. Ved kalder Compounds drip() funktion, overførte de $68 millioner, eller 202,472 COMP, fra Compounds reservoir til dets Comptroller.

Siden Banteg, en kerneudvikler hos Yearn.Finance, tweetede om udnyttelsen tidligere i eftermiddag, har fire store transaktioner drænet Comptroller-puljen på 64,997 COMP, eller 21.4 millioner dollars. En af disse transaktioner trak 37,504 COMP, eller $12.3 millioner. Banteg sagde, at kun "adresser med buggy-tilstanden kan løbe ud", og at der er yderligere fem adresser, der kunne kræve 45 millioner dollars, "at tømme kontrolløren."

Det ser ud til, at mit estimat var lavt på grund af forældede data i accruedComp. Fire brugere formåede at gøre krav på $21.5 mio indtil videre, så måske er der flere midler i fare. Jeg kender ikke en hurtig måde at tjekke alle adresser på. pic.twitter.com/IOHRby8nni

- banteg (@bantg) Oktober 3, 2021

I sidste uge, efter en opdatering kaldet Proposal 062, begyndte Comptroller-puljen at distribuere 280,000 COMP til de forkerte personer. Leshner bad brugerne om at give pengene tilbage og takkede alle, der gjorde det.

Enhver, der returnerer COMP til fællesskabet, er en alien giga-chad; og hvis et hold af fremmede giga-chads nogensinde tilkalder mig, vil jeg dukke op https://t.co/EZLb7g91Ew

- Robert Leshner (@rleshner) Oktober 1, 2021

Men på grund af den måde, hvorpå Compounds ledelse er struktureret, tager det syv dage at rette fejlen.

Enhver kan tilføje mere COMP til Comptroller-puljen ved at kalde drip(), en offentlig funktion, men ingen havde ringet i uger.

"Da drip()-funktionen blev kaldt i morges, sendte den efterslæbet (202,472.5, cirka to måneders COMP siden sidste gang, funktionen blev kaldt) ind i protokollen for distribution til brugere," tweetede Leshner i dag.

"Dropproblemet har været kendt af Compound og sikkerhedsforskerne i et par dage nu," fortalte Banteg Dekryptér, "men da der ikke var nogen afhjælpning, blev det besluttet at holde det skjult i håb om, at ingen ville bemærke det, før et plaster er ude."

Fællesskabsudviklere håbede, at patches ville gå live, før drip() blev kaldt, tweetede Leshner i dag. Banteg kaldte udnyttelsen "den bedst bevarede hemmelighed i DeFi."

Dette bringer den samlede COMP i fare til cirka 490, hvoraf 136k stadig er i Comptroller, og 117k er blevet returneret til fællesskabet indtil videre (TAK 🙏).

- Robert Leshner (@rleshner) Oktober 3, 2021

Leshner sagde, at den samlede mængde COMP i fare nu er cirka 490,000, eller $160 millioner, "hvoraf 136 stadig er i kontrolorganet, og 117 er blevet returneret til samfundet indtil videre."

I en kommentar til Bantegs indlæg sagde kryptohandler Christopher Mooney: "Jeg er ærlig talt imponeret over, at det tog så lang tid med antallet af mennesker, der vidste det. Genopretter min tro på menneskeheden lidt, men til sidst valgte en af jer kaotisk neutral."

Leshner tweetede: "Fremadrettet er jeg optimistisk med hensyn til patches, der kommer igennem styringsprocessen, som løser distributionen, og de fællesskabsmedlemmer, der arbejder på at håndtere denne fejl." COMP er faldet med 4.6% det seneste døgn.

Kilde: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol

Tidsstempel: Oktober 3, 2021