डेफी लेंडिंग प्रोटोकॉल कंपाउंड में बग के कारण जोखिम में $160M

संपादक का नोट: इस लेख को रॉबर्ट लेश्नर और बैंटेग की टिप्पणियों के साथ अद्यतन किया गया है।

एक सप्ताह पहले, कंपाउंड के संस्थापक रॉबर्ट लेश्नर ने अपने ऋण प्रोटोकॉल के स्मार्ट अनुबंध में एक बग को "नैतिक दुविधा" कहा था। शायद कुछ के लिए, लेकिन दूसरों के लिए आज स्मार्ट कॉन्ट्रैक्ट मुफ्त नकदी से भरी एक वेंडिंग मशीन बन गए हैं।

आज, किसी ने कंपाउंड के नियंत्रक अनुबंध में एक बग का फायदा उठाया, जो प्रोटोकॉल का हिस्सा है जो उपयोगकर्ताओं को उपज खेती पुरस्कार वितरित करता है। द्वारा कंपाउंड के ड्रिप() फ़ंक्शन को कॉल करना, उन्होंने कंपाउंड के भंडार से $68 मिलियन, या 202,472 COMP, उसके नियंत्रक को हस्तांतरित कर दिए। 

चूंकि Yern.Finance के एक मुख्य डेवलपर, बैंटेग ने आज दोपहर को इस शोषण के बारे में ट्वीट किया था, चार प्रमुख लेनदेन ने 64,997 COMP, या $21.4 मिलियन के नियंत्रक पूल को खत्म कर दिया है। उन लेनदेन में से एक ने 37,504 COMP, या $12.3 मिलियन निकाल लिए। बंटेग ने कहा कि केवल "खराब स्थिति वाले पते ही खत्म हो सकते हैं" और अन्य पांच पते हैं जो $45m का दावा कर सकते हैं, "नियंत्रक को खाली कर रहे हैं।"

पिछले सप्ताह, प्रस्ताव 062 नामक एक अद्यतन के बाद, नियंत्रक पूल ने गलत लोगों को 280,000 COMP वितरित करना शुरू कर दिया।  लेश्नर ने उपयोगकर्ताओं से धनराशि वापस देने के लिए कहा और ऐसा करने वाले को धन्यवाद दिया।

लेकिन जिस तरह से कंपाउंड के शासन की संरचना की गई है, उसके कारण त्रुटि को ठीक करने में सात दिन लगते हैं। 

कोई भी सार्वजनिक समारोह ड्रिप() को कॉल करके नियंत्रक पूल में अधिक COMP जोड़ सकता है, लेकिन कई हफ्तों से किसी ने कॉल नहीं किया है। 

लेश्नर ने आज ट्वीट किया, "जब आज सुबह ड्रिप() फ़ंक्शन को कॉल किया गया, तो इसने उपयोगकर्ताओं को वितरण के लिए प्रोटोकॉल में बैकलॉग (202,472.5, पिछली बार फ़ंक्शन कॉल किए जाने के बाद से लगभग दो महीने का COMP) भेजा।"

बंटेग ने बताया, "ड्रिप समस्या के बारे में कंपाउंड और सुरक्षा शोधकर्ताओं को कुछ दिनों से पता है।" डिक्रिप्ट, "लेकिन चूंकि कोई शमन नहीं था, इसलिए इसे इस उम्मीद में छिपाकर रखने का निर्णय लिया गया कि जब तक कोई पैच बाहर नहीं आ जाता, किसी को पता नहीं चलेगा।"

लेश्नर ने आज ट्वीट किया, सामुदायिक डेवलपर्स को उम्मीद थी कि ड्रिप() बुलाए जाने से पहले पैच लाइव हो जाएंगे। बंटेग ने इस कारनामे को "डेफी में सबसे अच्छा रखा गया रहस्य" कहा।

लेश्नर ने कहा कि जोखिम में COMP की कुल राशि अब लगभग 490,000 या $160 मिलियन है, "जिसमें से 136k अभी भी नियंत्रक में है, और 117k अब तक समुदाय को वापस कर दिया गया है।"

बंटेग की पोस्ट पर टिप्पणी करते हुए, क्रिप्टो व्यापारी क्रिस्टोफर मूनी ने कहा, “इतने लोगों की संख्या को देखते हुए मैं ईमानदारी से प्रभावित हूं कि इसमें इतना समय लगा। मानवता में मेरा विश्वास थोड़ा बहाल हुआ, लेकिन अंत में आप में से एक ने अराजक तटस्थ को चुना।

लेश्नर ने ट्वीट किया, "आगे बढ़ते हुए, मैं शासन प्रक्रिया के माध्यम से अपना रास्ता बनाने वाले पैच के बारे में आशावादी हूं, जो वितरण को ठीक करता है, और समुदाय के सदस्य जो इस बग को प्रबंधित करने के लिए काम कर रहे हैं।" पिछले 4.6 घंटों में COMP में 24% की गिरावट आई है।

स्रोत: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol