یادداشت سردبیر: این مقاله با نظرات رابرت لشنر و بانتگ به روز شده است.
یک هفته پیش، رابرت لشنر، بنیانگذار Compound، یک اشکال در قرارداد هوشمند پروتکل وام دهی خود را یک «معضل اخلاقی» خواند. شاید برای برخی، اما برای برخی دیگر امروزه قراردادهای هوشمند تبدیل به یک دستگاه فروش خودکار پر از پول نقد رایگان شده است.
امروز، شخصی از یک اشکال در قرارداد Compound’s Controller، که بخشی از پروتکلی است که پاداشهای کشاورزی محصول را بین کاربران توزیع میکند، سوء استفاده کرد. توسط فراخوانی تابع drip() Compoundآنها 68 میلیون دلار یا 202,472 COMP را از مخزن Compound به Controller آن منتقل کردند.
از زمانی که Banteg، یکی از توسعهدهندههای اصلی در Yearn.Finance، اوایل بعدازظهر در توییتی درباره این اکسپلویت نوشت، چهار تراکنش بزرگ، مجموعه Comptroller 64,997 COMP یا 21.4 میلیون دلار را خالی کرده است. یکی از این تراکنش ها 37,504 COMP یا 12.3 میلیون دلار را برداشت. بانتگ گفت که فقط «آدرسهای دارای حالت حشرهدار میتوانند تخلیه شوند» و پنج آدرس دیگر نیز وجود دارند که میتوانند 45 میلیون دلار درخواست کنند و «کنترل را خالی کنند».
هفته گذشته، به دنبال به روز رسانی به نام Proposal 062، استخر کنترلر شروع به توزیع 280,000 COMP برای افراد اشتباه کرد. لشنر از کاربران خواست که وجوه را پس دهند و از هر کسی که این کار را کرد تشکر کرد.
اما به دلیل نحوه ساختار حاکمیت Compound، اصلاح خطا هفت روز طول می کشد.
هرکسی میتواند با فراخوانی drip()، یک تابع عمومی، COMP بیشتری را به استخر کنترلر اضافه کند، اما هیچکس هفتهها فراخوانی نکرده است.
لشنر امروز در توییتی نوشت: «وقتی تابع drip() امروز صبح فراخوانی شد، بک لاگ (202,472.5، حدود دو ماه COMP از آخرین باری که تابع فراخوانی شد) را به پروتکل برای توزیع بین کاربران ارسال کرد.
بانتگ گفت: «مسئله قطرهای چند روزی است که برای کامپوند و محققان امنیتی شناخته شده است. رمزگشایی کنید، "اما از آنجایی که هیچ اقدامی برای کاهش وجود نداشت، تصمیم گرفته شد تا زمانی که یک پچ منتشر نشود، آن را مخفی نگه داریم."
لشنر امروز توییت کرد، توسعهدهندگان انجمن امیدوار بودند که وصلهها قبل از فراخوانی drip() فعال شوند. بانتگ این اکسپلویت را «بهترین راز در DeFi» نامید.
لشنر گفت که مقدار کل COMP در معرض خطر اکنون تقریباً 490,000 یا 160 میلیون دلار است که "136k هنوز در کنترلر است و 117k تاکنون به جامعه بازگردانده شده است."
کریستوفر مونی، تاجر کریپتو در توضیح پست بانتگ گفت: «راستش متاثر شدم که این مدت از تعداد افرادی که میدانستند، طول کشید. کمی ایمانم را به انسانیت باز میگرداند، اما در نهایت یکی از شما بینظمی آشفته را انتخاب کرد.»
لشنر در توییتی نوشت: «در ادامه، من نسبت به وصلههایی که راه خود را از طریق فرآیند حاکمیت میگذرانند، که توزیع را اصلاح میکنند، و اعضای جامعه که برای مدیریت این باگ تلاش میکنند، خوشبین هستم.» COMP در 4.6 ساعت گذشته 24 درصد کاهش یافته است.
منبع: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
- "
- 000
- 7
- 9
- بیگانه
- معرفی
- مقاله
- اشکال
- پول دادن و سكس - پول دادن و كس كردن
- نظرات
- انجمن
- ترکیب
- قرارداد
- قرارداد
- کنترل کننده
- عضو سازمانهای سری ومخفی
- داده ها
- DEFI
- توسعه دهنده
- توسعه دهندگان
- DID
- بهره برداری
- کشاورزی
- سرمایه گذاری
- رفع
- به جلو
- موسس
- رایگان
- کامل
- تابع
- بودجه
- حکومت
- امید
- HTTPS
- بشریت
- IT
- امانت دادن
- طولانی
- عمده
- ساخت
- اعضا
- میلیون
- ماه
- وصله
- پچ های
- مردم
- استخر
- طرح پیشنهادی
- پروتکل
- عمومی
- بازده
- پاداش
- خطر
- رابرت
- تیم امنیت لاتاری
- هوشمند
- قرارداد هوشمند
- قراردادهای هوشمند
- So
- آغاز شده
- دولت
- زمان
- بازرگان
- معاملات
- توییتر
- بروزرسانی
- کاربران
- هفته
- WHO
- بازده