編集者注: この記事は Robert Leshner と Banteg からのコメントにより更新されました。
XNUMX週間前、Compoundの創設者であるRobert Leshnerは、彼の貸付プロトコルのスマートコントラクトのバグを「道徳的ジレンマ」と呼びました。 おそらく一部の人にとっては、しかし今日の他の人にとっては、スマートコントラクトは無料の現金でいっぱいの自動販売機になりました。
今日、誰かがコンパウンドのコントローラー契約のバグを悪用しました。これは、収量農業の報酬をユーザーに配布するプロトコルの一部です。 に Compoundのdrip()関数を呼び出す、彼らは、68万ドル(202,472 COMP)をCompoundの貯水池からその会計監査役に送金しました。
Yearn.Finance の中核開発者である Banteg 氏が今日の午後早くこのエクスプロイトについてツイートして以来、64,997 つの主要なトランザクションにより Comptroller のプールである 21.4 COMP、または 37,504 万ドルが流出しました。 それらの取引のうちの 12.3 つは、45 COMP、または XNUMX 万ドルを引き出しました。 バンテグ氏は、「バグのある状態のアドレスのみが流出する可能性がある」とし、さらに XNUMX つのアドレスで XNUMX 万ドルを請求できる可能性があり、「監査官を空にする」と述べた。
先週、提案 062 と呼ばれるアップデートの後、監査プールは 280,000 COMP を間違った人々に配布し始めました。 レシュナー氏はユーザーに資金を返還するよう呼び掛け、返還してくれた人には感謝した。
しかし、Compound のガバナンスが構造化されているため、エラーを修正するには XNUMX 日かかります。
パブリック関数であるdrip()を呼び出すことで、誰でもComptrollerプールにCOMPを追加できますが、ここ数週間誰も呼び出していませんでした。
「今朝、drip() 関数が呼び出されたとき、バックログ (202,472.5、最後に関数が呼び出されてから約 XNUMX か月分の COMP) がユーザーに配布するためにプロトコルに送信されました」と Leshner 氏は今日ツイートしました。
「点滴の問題は数日前からコンパウンドとセキュリティ研究者に知られていました」とバンテグ氏は語った。 解読する「しかし、緩和策がなかったので、パッチが公開されるまで誰も気づかないことを願って、秘密にしておくことが決定されました。」
コミュニティ開発者らは、drip() が呼び出される前にパッチが公開されることを望んでいた、と Leshner 氏は本日ツイートした。 バンテグ氏はこのエクスプロイトを「DeFiにおける最大の秘密」と呼んだ。
レシュナー氏は、危険にさらされているCOMPの総額は現在約490,000万、つまり160億136千万ドルで、「そのうち117万XNUMX千がまだ会計検査官に保管されており、これまでにXNUMX万XNUMX千がコミュニティに返還された」と述べた。
仮想通貨トレーダーのクリストファー・ムーニー氏はバンテグ氏の投稿についてコメントし、「これほど多くの人が知っていたのに、これほど時間がかかったのは正直感心する」と語った。 人間性への信頼が少し回復しましたが、最終的にどちらかが混沌とした中立を選択しました。」
レシュナー氏はツイートした、「今後、ディストリビューションを修正するパッチがガバナンスプロセスを通過し、コミュニティメンバーがこのバグの管理に取り組んでくれることを楽観視している。」 COMPは過去4.6時間で24%下落しました。
ソース:https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
