$160M Beresiko Karena Bug di DeFi Lending Protocol Compound

Catatan editor: Artikel ini telah diperbarui dengan komentar dari Robert Leshner dan Banteg.

Seminggu yang lalu, pendiri Compound Robert Leshner menyebut bug dalam kontrak pintar protokol pinjamannya sebagai "dilema moral." Mungkin bagi sebagian orang, tetapi bagi yang lain hari ini kontrak pintar menjadi mesin penjual otomatis yang penuh dengan uang tunai gratis.

Hari ini, seseorang mengeksploitasi bug dalam kontrak Compound's Controller, yang merupakan bagian dari protokol yang mendistribusikan hadiah pertanian hasil panen kepada pengguna. Oleh memanggil fungsi tetesan () Senyawa, mereka mentransfer $68 juta, atau 202,472 COMP, dari reservoir Compound ke Pengawas Keuangannya. 

Sejak Banteg, pengembang inti di Yearn.Finance, men-tweet tentang eksploitasi tadi siang, empat transaksi besar telah menghabiskan kumpulan Pengawas Keuangan sebesar 64,997 COMP, atau $21.4 juta. Salah satu transaksi tersebut menarik 37,504 COMP, atau $12.3 juta. Banteg mengatakan bahwa hanya "alamat dengan status buggy yang dapat terkuras" dan ada lima alamat lain yang dapat mengklaim $45 juta, "mengosongkan Pengawas Keuangan."

Minggu lalu, setelah pembaruan yang disebut Proposal 062, kumpulan Pengawas Keuangan mulai mendistribusikan 280,000 COMP kepada orang yang salah.  Leshner meminta pengguna untuk mengembalikan dana dan berterima kasih kepada siapa pun yang melakukannya.

Tetapi karena tata kelola Compound terstruktur, dibutuhkan tujuh hari untuk memperbaiki kesalahan. 

Siapa pun dapat menambahkan lebih banyak COMP ke kumpulan Pengawas Keuangan dengan memanggil drip(), fungsi publik, tetapi tidak ada yang menelepon dalam beberapa minggu. 

“Ketika fungsi drip() dipanggil pagi ini, ia mengirimkan backlog (202,472.5, sekitar dua bulan COMP sejak terakhir kali fungsi tersebut dipanggil) ke dalam protokol untuk didistribusikan ke pengguna,” tweet Leshner hari ini.

“Masalah tetesan telah diketahui Compound dan peneliti keamanan selama beberapa hari sekarang,” kata Banteg Dekripsi, "tetapi karena tidak ada mitigasi, diputuskan untuk merahasiakannya dengan harapan tidak ada yang akan mengetahuinya sampai patch keluar."

Pengembang komunitas berharap tambalan akan ditayangkan sebelum drip() dipanggil, tweet Leshner hari ini. Banteg menyebut eksploit tersebut sebagai “rahasia terbaik di DeFi.”

Leshner mengatakan bahwa jumlah total COMP yang berisiko sekarang sekitar 490,000, atau $ 160 juta, “di mana 136 ribu masih berada di Pengawas Keuangan, dan 117 ribu telah dikembalikan ke komunitas sejauh ini.”

Mengomentari postingan Banteg, pedagang kripto Christopher Mooney berkata, “Sejujurnya saya terkesan butuh waktu selama ini dengan jumlah orang yang tahu. Memulihkan sedikit kepercayaanku pada kemanusiaan, tetapi pada akhirnya salah satu dari kalian memilih netral yang kacau.”

Leshner mentweet, "Ke depan, saya optimis tentang tambalan yang berhasil melalui proses tata kelola, yang memperbaiki distribusi, dan anggota komunitas yang bekerja untuk mengelola bug ini." COMP telah turun 4.6% dalam 24 jam terakhir.

Sumber: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol