$160 εκατομμύρια σε κίνδυνο λόγω σφάλματος στην ένωση πρωτοκόλλου δανεισμού DeFi

Σημείωση του συντάκτη: Αυτό το άρθρο έχει ενημερωθεί με σχόλια από τον Robert Leshner και τον Banteg.

Πριν από μια εβδομάδα, ο ιδρυτής της Compound, Robert Leshner, χαρακτήρισε ένα σφάλμα στο έξυπνο συμβόλαιο του πρωτοκόλλου δανεισμού του ως «ηθικό δίλημμα». Ίσως για κάποιους, αλλά για άλλους σήμερα τα έξυπνα συμβόλαια έγιναν ένα αυτόματο μηχάνημα γεμάτο δωρεάν μετρητά.

Σήμερα, κάποιος εκμεταλλεύτηκε ένα σφάλμα στο συμβόλαιο Compound's Controller, το οποίο είναι το μέρος του πρωτοκόλλου που διανέμει ανταμοιβές καλλιέργειας απόδοσης στους χρήστες. Με καλώντας τη συνάρτηση drip() του Compound, μετέφεραν 68 εκατομμύρια δολάρια, ή 202,472 COMP, από τη δεξαμενή της Compound στον Έλεγχο της. 

Από τότε που ο Banteg, βασικός προγραμματιστής της Yearn.Finance, ανάρτησε στο Twitter σχετικά με το exploit νωρίτερα σήμερα το απόγευμα, τέσσερις σημαντικές συναλλαγές εξάντλησαν το σύνολο του Comptroller των 64,997 COMP, ή 21.4 εκατομμυρίων δολαρίων. Μία από αυτές τις συναλλαγές απέσυρε 37,504 COMP, ή 12.3 εκατομμύρια δολάρια. Ο Banteg είπε ότι μόνο «οι διευθύνσεις με την κατάσταση buggy μπορούν να στραγγίσουν» και ότι υπάρχουν άλλες πέντε διευθύνσεις που θα μπορούσαν να απαιτήσουν 45 εκατομμύρια δολάρια, «αδειάζοντας τον Έλεγχο».

Την περασμένη εβδομάδα, μετά από μια ενημέρωση που ονομάζεται Πρόταση 062, η ομάδα Ελεγκτών άρχισε να διανέμει 280,000 COMP σε λάθος άτομα.  Ο Leshner ζήτησε από τους χρήστες να επιστρέψουν τα χρήματα και ευχαρίστησε όποιον το έκανε.

Αλλά λόγω του τρόπου με τον οποίο είναι δομημένη η διακυβέρνηση του Compound, χρειάζονται επτά ημέρες για να διορθωθεί το σφάλμα. 

Οποιοσδήποτε μπορεί να προσθέσει περισσότερα COMP στο χώρο συγκέντρωσης Ελεγκτών καλώντας τη drip(), μια δημόσια συνάρτηση, αλλά κανείς δεν είχε καλέσει εδώ και εβδομάδες. 

«Όταν η συνάρτηση drip() κλήθηκε σήμερα το πρωί, έστειλε το ανεκτέλεστο (202,472.5, περίπου δύο μήνες COMP από την τελευταία φορά που κλήθηκε η συνάρτηση) στο πρωτόκολλο για διανομή στους χρήστες», έγραψε σήμερα ο Leshner στο Twitter.

«Το θέμα με τα σταγόνα είναι γνωστό στον Compound και στους ερευνητές ασφαλείας εδώ και λίγες μέρες», είπε ο Banteg Αποκρυπτογράφηση, «αλλά επειδή δεν υπήρχε κανένας μετριασμός, αποφασίστηκε να το κρατήσουμε κρυφό, ελπίζοντας ότι κανείς δεν θα το προσέξει μέχρι να βγει ένα έμπλαστρο».

Οι προγραμματιστές της κοινότητας ήλπιζαν ότι οι ενημερώσεις κώδικα θα κυκλοφορούσαν πριν από την κλήση του drip(), έγραψε σήμερα ο Leshner στο Twitter. Ο Banteg αποκάλεσε το exploit «το καλύτερα κρυμμένο μυστικό στο DeFi».

Ο Leshner είπε ότι το συνολικό ποσό του COMP που κινδυνεύει είναι τώρα περίπου 490,000, ή 160 εκατομμύρια δολάρια, «εκ των οποίων 136 είναι ακόμα στον Έλεγχο και 117 έχουν επιστραφεί στην κοινότητα μέχρι στιγμής».

Σχολιάζοντας την ανάρτηση του Banteg, ο έμπορος κρυπτονομισμάτων Christopher Mooney είπε: «Είμαι ειλικρινά εντυπωσιασμένος που χρειάστηκε τόσος καιρός με τον αριθμό των ανθρώπων που γνώριζαν. Αποκαθιστά λίγο την πίστη μου στην ανθρωπότητα, αλλά τελικά ένας από εσάς επέλεξε ένα χαοτικό ουδέτερο».

Ο Leshner έγραψε στο Twitter: «Στο μέλλον, είμαι αισιόδοξος για τα patches που θα περάσουν από τη διαδικασία διακυβέρνησης, τα οποία διορθώνουν τη διανομή και τα μέλη της κοινότητας που εργάζονται για τη διαχείριση αυτού του σφάλματος». Το COMP μειώθηκε κατά 4.6% τις τελευταίες 24 ώρες.

Πηγή: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol