$ 160 milioni a rischio a causa di un bug nel composto del protocollo di prestito DeFi

Nota dell'editore: questo articolo è stato aggiornato con i commenti di Robert Leshner e Banteg.

Una settimana fa, il fondatore di Compound, Robert Leshner, ha definito un bug nel contratto intelligente del suo protocollo di prestito un “dilemma morale”. Forse per alcuni, ma per altri oggi i contratti intelligenti sono diventati un distributore automatico pieno di contanti gratis.

Oggi qualcuno ha sfruttato un bug nel contratto Controller di Compound, che è la parte del protocollo che distribuisce agli utenti i premi di yield farming. Di chiamando la funzione drip() di Compound, hanno trasferito 68 milioni di dollari, o 202,472 COMP, dal serbatoio di Compound al suo Comptroller. 

Da quando Banteg, uno sviluppatore principale di Yearn.Finance, ha twittato dell'exploit questo pomeriggio, quattro importanti transazioni hanno prosciugato il pool di Comptroller di 64,997 COMP, ovvero 21.4 milioni di dollari. Una di queste transazioni ha prelevato 37,504 COMP, ovvero 12.3 milioni di dollari. Banteg ha affermato che solo “gli indirizzi con lo stato bacato possono drenare” e che ci sono altri cinque indirizzi che potrebbero richiedere 45 milioni di dollari, “svuotando il Comptroller”.

La settimana scorsa, a seguito di un aggiornamento chiamato Proposta 062, il pool di Comptroller ha iniziato a distribuire 280,000 COMP alle persone sbagliate.  Leshner ha chiesto agli utenti di restituire i fondi e ha ringraziato chiunque lo abbia fatto.

Ma a causa del modo in cui è strutturata la governance di Compound, ci vogliono sette giorni per correggere l’errore. 

Chiunque può aggiungere più COMP al pool Comptroller chiamando drip(), una funzione pubblica, ma nessuno chiamava da settimane. 

"Quando la funzione drip() è stata chiamata questa mattina, ha inviato il backlog (202,472.5, circa due mesi di COMP dall'ultima volta che la funzione è stata chiamata) nel protocollo per la distribuzione agli utenti", ha twittato oggi Leshner.

"Il problema del gocciolamento è noto a Compound e ai ricercatori sulla sicurezza ormai da alcuni giorni", ha detto Banteg decrypt, "ma dal momento che non c'era alcuna mitigazione, si è deciso di tenerlo nascosto sperando che nessuno se ne accorgesse fino all'uscita della patch."

Gli sviluppatori della comunità speravano che le patch venissero pubblicate prima che venisse chiamato drip(), ha twittato Leshner oggi. Banteg ha definito l'exploit "il segreto meglio custodito nella DeFi".

Leshner ha affermato che l’importo totale di COMP a rischio è ora di circa 490,000, ovvero 160 milioni di dollari, “di cui 136 sono ancora nel Comptroller e 117 sono stati finora restituiti alla comunità”.

Commentando il post di Banteg, il trader di criptovalute Christopher Mooney ha detto: "Sono sinceramente colpito dal fatto che ci sia voluto così tanto tempo con il numero di persone che lo sapevano. Ripristina un po’ la mia fiducia nell’umanità, ma alla fine uno di voi ha scelto il caotico neutrale.”

Leshner ha twittato: "Per il futuro, sono ottimista riguardo alle patch che si faranno strada attraverso il processo di governance, che risolveranno la distribuzione, e ai membri della comunità che stanno lavorando per gestire questo bug." Il COMP è sceso del 4.6% nelle ultime 24 ore.

Fonte: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol