160 millions de dollars à risque en raison d'un bogue dans le composé du protocole de prêt DeFi

Note de l'éditeur : Cet article a été mis à jour avec les commentaires de Robert Leshner et Banteg.

Il y a une semaine, le fondateur de Compound, Robert Leshner, a qualifié un bogue dans le contrat intelligent de son protocole de prêt de « dilemme moral ». Peut-être pour certains, mais pour d'autres aujourd'hui, les contrats intelligents sont devenus un distributeur automatique plein d'argent gratuit.

Aujourd'hui, quelqu'un a exploité un bogue dans le contrat du contrôleur de Compound, qui est la partie du protocole qui distribue les récompenses de l'agriculture de rendement aux utilisateurs. Par appel de la fonction drip() de Compound, ils ont transféré 68 millions de dollars, ou 202,472 XNUMX COMP, du réservoir de Compound à son contrôleur. 

Depuis que Banteg, un développeur principal de Yearn.Finance, a tweeté à propos de l'exploit plus tôt cet après-midi, quatre transactions majeures ont vidé le pool du contrôleur de 64,997 21.4 COMP, soit 37,504 millions de dollars. L'une de ces transactions a retiré 12.3 45 COMP, soit XNUMX millions de dollars. Banteg a déclaré que seules "les adresses avec l'état de bogue peuvent s'écouler" et qu'il y a cinq autres adresses qui pourraient réclamer XNUMX millions de dollars, "vidant le contrôleur".

La semaine dernière, suite à une mise à jour appelée Proposition 062, le pool de contrôleurs a commencé à distribuer 280,000 XNUMX COMP aux mauvaises personnes.  Leshner a demandé aux utilisateurs de rendre les fonds et a remercié tous ceux qui l'ont fait.

Mais en raison de la structure de la gouvernance de Compound, il faut sept jours pour corriger l'erreur. 

N'importe qui peut ajouter plus de COMP au pool du contrôleur en appelant drip(), une fonction publique, mais personne ne l'avait appelée depuis des semaines. 

"Lorsque la fonction drip() a été appelée ce matin, elle a envoyé l'arriéré (202,472.5 XNUMX, environ deux mois de COMP depuis le dernier appel de la fonction) dans le protocole pour distribution aux utilisateurs", a tweeté Leshner aujourd'hui.

"Le problème de goutte à goutte est connu de Compound et des chercheurs en sécurité depuis quelques jours maintenant", a déclaré Banteg. Décrypter, "mais comme il n'y avait pas d'atténuation, il a été décidé de le garder secret en espérant que personne ne le remarquerait jusqu'à ce qu'un patch soit sorti."

Les développeurs de la communauté espéraient que les correctifs seraient mis en ligne avant que drip() ne soit appelé, a tweeté Leshner aujourd'hui. Banteg a qualifié l'exploit de "secret le mieux gardé de DeFi".

Leshner a déclaré que le montant total de COMP à risque est maintenant d'environ 490,000 160, soit 136 millions de dollars, "dont 117 XNUMX sont toujours dans le contrôleur et XNUMX XNUMX ont été restitués à la communauté jusqu'à présent".

Commentant le message de Banteg, le commerçant de crypto Christopher Mooney a déclaré: «Je suis honnêtement impressionné que cela ait pris autant de temps avec le nombre de personnes qui savaient. Rétablit un peu ma foi en l'humanité, mais à la fin l'un de vous a choisi le neutre chaotique.

Leshner a tweeté : « À l'avenir, je suis optimiste quant aux correctifs qui progressent dans le processus de gouvernance, qui corrigent la distribution, et aux membres de la communauté qui travaillent pour gérer ce bogue. COMP a chuté de 4.6% au cours des dernières 24 heures.

Source : https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol