Anmerkung des Herausgebers: Dieser Artikel wurde mit Kommentaren von Robert Leshner und Banteg aktualisiert.
Vor einer Woche bezeichnete Compound-Gründer Robert Leshner einen Fehler im Smart Contract seines Kreditprotokolls als „moralisches Dilemma“. Für einige vielleicht, aber für andere sind die Smart Contracts heute zu einem Automaten voller kostenlosem Bargeld geworden.
Heute hat jemand einen Fehler im Controller-Vertrag von Compound ausgenutzt, der Teil des Protokolls ist, der Ertragslandwirtschaftsprämien an Benutzer verteilt. Von Aufruf der Funktion Drip() von Compound, überwiesen sie 68 Millionen US-Dollar oder 202,472 COMP aus dem Reservoir von Compound an seinen Comptroller.
Seitdem Banteg, ein Kernentwickler bei Yearn.Finance, heute Nachmittag über den Exploit getwittert hat, haben vier große Transaktionen den Comptroller-Pool von 64,997 COMP oder 21.4 Millionen US-Dollar aufgebraucht. Bei einer dieser Transaktionen wurden 37,504 COMP oder 12.3 Millionen US-Dollar abgezogen. Banteg sagte, dass nur „Adressen mit fehlerhaftem Status entleert werden können“ und dass es weitere fünf Adressen gibt, die 45 Millionen US-Dollar beanspruchen könnten, „wodurch der Comptroller geleert wird“.
Letzte Woche begann der Comptroller-Pool nach einem Update namens Proposal 062, 280,000 COMP an die falschen Leute zu verteilen. Leshner forderte die Benutzer auf, die Gelder zurückzugeben, und dankte allen, die dies taten.
Aufgrund der Struktur der Compound-Governance dauert es jedoch sieben Tage, um den Fehler zu beheben.
Jeder kann mehr COMP zum Comptroller-Pool hinzufügen, indem er die öffentliche Funktion Drip() aufruft, aber seit Wochen hat niemand mehr aufgerufen.
„Als die Drip()-Funktion heute Morgen aufgerufen wurde, schickte sie den Rückstand (202,472.5, etwa zwei Monate COMP seit dem letzten Aufruf der Funktion) in das Protokoll zur Verteilung an Benutzer“, twitterte Leshner heute.
„Das Drip-Problem ist Compound und den Sicherheitsforschern bereits seit einigen Tagen bekannt“, sagte Banteg Entschlüsseln„Aber da es keine Abhilfemaßnahmen gab, wurde beschlossen, es geheim zu halten, in der Hoffnung, dass es niemand bemerken würde, bis ein Patch herauskommt.“
Community-Entwickler hofften, dass Patches live gehen würden, bevor Drip() aufgerufen wurde, twitterte Leshner heute. Banteg nannte den Exploit „das bestgehütete Geheimnis in DeFi“.
Leshner sagte, dass der Gesamtbetrag der gefährdeten COMP derzeit etwa 490,000 oder 160 Millionen US-Dollar beträgt, „davon befinden sich 136 noch im Comptroller und 117 wurden bisher an die Community zurückgegeben.“
Der Krypto-Händler Christopher Mooney kommentierte Bantegs Beitrag wie folgt: „Ich bin ehrlich beeindruckt, dass es so lange gedauert hat, da so viele Leute davon wussten.“ Stellt meinen Glauben an die Menschheit ein wenig wieder her, aber am Ende hat sich einer von euch für chaotisch neutral entschieden.“
Leshner twitterte: „Für die Zukunft bin ich optimistisch, was die Patches betrifft, die den Governance-Prozess durchlaufen und die Verteilung beheben, sowie die Community-Mitglieder, die daran arbeiten, diesen Fehler zu beheben.“ COMP ist in den letzten 4.6 Stunden um 24 % gefallen.
Quelle: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
- "
- 000
- 7
- 9
- fremd
- Alle
- Artikel
- Fehler
- Bargeld
- Bemerkungen
- community
- Compounds
- Vertrag
- Verträge
- Controller
- Krypto
- technische Daten
- DeFi
- Entwickler:in / Unternehmen
- Entwickler
- DID
- Ausnutzen
- Landwirtschaft
- Finanzen
- Fixieren
- vorwärts
- Gründer
- Frei
- voller
- Funktion
- Mittel
- Governance
- Hoffnung
- HTTPS
- Menschlichkeit
- IT
- Darlehen
- Lang
- Dur
- Making
- Mitglieder
- Million
- Monat
- Patch
- Patches
- Personen
- Pool
- Angebot
- Protokoll
- Öffentlichkeit
- Rückgabe
- Belohnung
- Risiko
- ROBERT
- Sicherheitdienst
- smart
- Smart-Vertrag
- Smart Contracts
- So
- begonnen
- Bundesstaat
- Zeit
- Händler
- Transaktionen
- Aktualisierung
- Nutzer
- Woche
- WHO
- Ausbeute
