160 miljoonaa dollaria vaarassa DeFi -lainausprotokollan yhdistelmän virheen vuoksi

Toimittajan huomautus: Tämä artikkeli on päivitetty Robert Leshnerin ja Bantegin kommenteilla.

Viikko sitten Compoundin perustaja Robert Leshner kutsui lainausprotokollansa älykkään sopimuksen vikaa ”moraaliseksi dilemmaksi”. Ehkä joillekin, mutta toisille nykyään älykkäistä sopimuksista tuli myyntiautomaatti, joka oli täynnä ilmaista rahaa.

Nykyään joku käytti vikaa Compoundin Controller -sopimuksessa, joka on osa protokollaa, joka jakaa sadonviljelypalkkiot käyttäjille. Lähettäjä yhdisteen tiputus () -toiminnon kutsuminen, he ovat siirtäneet 68 miljoonan dollarin eli 202,472 XNUMX COMP: n yhdisteen säiliöstä sen valvojalle. 

Sen jälkeen kun Banteg, joka on Yearn.Financen ydinkehittäjä, twiittasi hyväksikäytöstä aiemmin tänä iltapäivänä, neljä suurta transaktiota on tyhjentänyt Comptroller-varannon 64,997 21.4 COMP:n eli 37,504 miljoonan dollarin arvosta. Yhdessä näistä transaktioista poistettiin 12.3 45 COMP eli XNUMX miljoonaa dollaria. Banteg sanoi, että "vain vialliset osoitteet voivat tyhjentyä" ja että on vielä viisi osoitetta, jotka voivat vaatia XNUMX miljoonaa dollaria "tyhjentäen valvojan".

Viime viikolla Proposal 062 -nimisen päivityksen jälkeen Controller pool alkoi jakaa 280,000 XNUMX COMP:ta väärille ihmisille.  Leshner pyysi käyttäjiä palauttamaan varat ja kiitti kaikkia, jotka tekivät sen.

Mutta Compoundin hallinnon rakenteesta johtuen virheen korjaaminen kestää seitsemän päivää. 

Kuka tahansa voi lisätä Comptroller-pooliin lisää COMP:ia kutsumalla drip(), joka on julkinen funktio, mutta kukaan ei ollut soittanut viikkoihin. 

"Kun drip()-funktiota kutsuttiin tänä aamuna, se lähetti ruuhkan (202,472.5 XNUMX, noin kaksi kuukautta COMP:n edellisestä kutsusta) protokollaan käyttäjille jaettavaksi", Leshner twiittasi tänään.

"Tippuongelma on ollut Compoundin ja turvallisuustutkijoiden tiedossa muutaman päivän ajan", Banteg kertoi Pura, "mutta koska lieventämistä ei ollut, päätettiin pitää se piilossa toivoen, ettei kukaan huomaa, ennen kuin korjaustiedosto on julkaistu."

Yhteisön kehittäjät toivoivat, että korjaustiedostot alkaisivat julkaista ennen kuin drip() kutsuttiin, Leshner twiittasi tänään. Banteg kutsui hyväksikäyttöä "DeFin parhaiten säilytetyksi salaisuudeksi".

Leshner sanoi, että COMP-riskin kokonaismäärä on nyt noin 490,000 160 eli 136 miljoonaa dollaria, "josta 117 XNUMX on edelleen valvojassa ja XNUMX XNUMX on palautettu yhteisölle tähän mennessä".

Kommentoimalla Bantegin viestiä kryptokauppias Christopher Mooney sanoi: "Olen rehellisesti vaikuttunut, että kesti näin kauan, kun ihmiset tiesivät. Palauttaa hieman uskoani ihmiskuntaan, mutta lopulta yksi teistä valitsi kaoottisen neutraalin."

Leshner twiittasi: "Jatkossa olen optimistinen hallintoprosessin läpi kulkevien korjaustiedostojen suhteen, jotka korjaavat jakelun, ja yhteisön jäsenistä, jotka työskentelevät tämän bugin hallinnassa." COMP on laskenut 4.6 % viimeisen 24 tunnin aikana.

Lähde: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol