$ 160 millones en riesgo debido a un error en el compuesto del protocolo de préstamos DeFi

Nota del editor: este artículo se actualizó con comentarios de Robert Leshner y Banteg.

Hace una semana, el fundador de Compound, Robert Leshner, calificó un error en el contrato inteligente de su protocolo de préstamos como un "dilema moral". Quizás para algunos, pero para otros hoy los contratos inteligentes se convirtieron en una máquina expendedora llena de efectivo gratis.

Hoy, alguien aprovechó un error en el contrato del controlador de Compound, que es la parte del protocolo que distribuye recompensas de cultivo de rendimiento a los usuarios. Por llamando a la función drip () de Compound, transfirieron $ 68 millones, o 202,472 COMP, del embalse de Compound a su Contralor. 

Desde que Banteg, un desarrollador principal de Yearn.Finance, tuiteó sobre el exploit esta tarde, cuatro transacciones importantes han agotado el fondo de la Contraloría de 64,997 COMP, o 21.4 millones de dólares. Una de esas transacciones retiró 37,504 COMP, o 12.3 millones de dólares. Banteg dijo que sólo “las direcciones con el estado defectuoso pueden drenar” y que hay otras cinco direcciones que podrían reclamar 45 millones de dólares, “vaciando a la Contraloría”.

La semana pasada, luego de una actualización llamada Propuesta 062, el grupo de la Contraloría comenzó a distribuir 280,000 COMP a las personas equivocadas.  Leshner pidió a los usuarios que devolvieran los fondos y agradeció a quienes lo hicieron.

Pero debido a la forma en que está estructurada la gobernanza de Compound, se necesitan siete días para corregir el error. 

Cualquiera puede agregar más COMP al grupo de Contraloría llamando a drop(), una función pública, pero nadie había llamado en semanas. 

"Cuando se llamó a la función drop() esta mañana, envió el trabajo pendiente (202,472.5, aproximadamente dos meses de COMP desde la última vez que se llamó a la función) al protocolo para su distribución a los usuarios", tuiteó Leshner hoy.

"Compound y los investigadores de seguridad conocen el problema del goteo desde hace unos días", dijo Banteg. Descifrar, "pero como no había ninguna mitigación, se decidió mantenerlo en secreto con la esperanza de que nadie se diera cuenta hasta que se lanzara un parche".

Los desarrolladores de la comunidad esperaban que los parches estuvieran disponibles antes de que se llamara a drop(), tuiteó Leshner hoy. Banteg calificó el exploit como "el secreto mejor guardado de DeFi".

Leshner dijo que la cantidad total de COMP en riesgo es ahora de aproximadamente 490,000, o 160 millones de dólares, “de los cuales 136 todavía están en la Contraloría y 117 han sido devueltos a la comunidad hasta ahora”.

Al comentar sobre la publicación de Banteg, el comerciante de criptomonedas Christopher Mooney dijo: “Honestamente, estoy impresionado de que haya tomado tanto tiempo con la cantidad de personas que lo sabían. Restaura un poco mi fe en la humanidad, pero al final uno de ustedes eligió el neutral caótico”.

Leshner tuiteó: "De cara al futuro, soy optimista acerca de los parches que se abren camino a través del proceso de gobernanza, que solucionan la distribución, y los miembros de la comunidad que están trabajando para gestionar este error". COMP ha caído un 4.6% en las últimas 24 horas.

Fuente: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol