편집자 주: 이 기사는 Robert Leshner와 Banteg의 의견으로 업데이트되었습니다.
일주일 전, 컴파운드(Compound) 창립자인 로버트 레쉬너(Robert Leshner)는 대출 프로토콜의 스마트 계약에 있는 버그를 "도덕적 딜레마"라고 불렀습니다. 아마도 어떤 사람들에게는 그럴 수도 있겠지만, 오늘날 다른 사람들에게는 스마트 계약이 무료 현금으로 가득 찬 자동 판매기가 되었습니다.
오늘 누군가가 사용자에게 수확량 농업 보상을 분배하는 프로토콜의 일부인 컴파운드의 컨트롤러 계약의 버그를 악용했습니다. 에 의해 컴파운드의 드립() 함수 호출, 그들은 68만 달러, 즉 202,472 COMP를 컴파운드 저장소에서 감사원장에게 이체했습니다.
Yearn.Finance의 핵심 개발자인 Banteg가 오늘 오후 초에 익스플로잇에 대해 트윗한 이후 64,997건의 주요 거래로 인해 21.4 COMP 또는 37,504만 달러의 감사관 풀이 소진되었습니다. 이러한 거래 중 하나는 12.3 COMP 또는 45만 달러를 인출했습니다. Banteg는 "버기 상태가 있는 주소만 배수될 수 있다"고 말하며 "감사관을 비워" XNUMX만 달러를 청구할 수 있는 또 다른 XNUMX개의 주소가 있다고 말했습니다.
지난 주에 제안 062라는 업데이트에 따라 감사관 풀은 잘못된 사람들에게 280,000 COMP를 배포하기 시작했습니다. Leshner는 사용자에게 자금을 돌려줄 것을 요청하고 환불한 사람에게 감사를 표했습니다.
그러나 Compound의 거버넌스가 구조화되는 방식 때문에 오류를 수정하는 데 XNUMX일이 걸립니다.
누구나 공개 함수인 drip()을 호출하여 감사관 풀에 더 많은 COMP를 추가할 수 있지만 몇 주 동안 아무도 호출하지 않았습니다.
"오늘 아침에 drip() 함수가 호출되었을 때 사용자에게 배포하기 위해 백로그(202,472.5, 함수가 마지막으로 호출된 이후 약 XNUMX개월의 COMP)를 프로토콜로 보냈습니다."라고 Leshner가 트윗했습니다.
Banteg는 "드립 문제는 이제 며칠 동안 Compound와 보안 연구원에게 알려져 왔습니다. 해독, "하지만 완화가 없었기 때문에 패치가 나올 때까지 아무도 눈치채지 못하기를 바라면서 비밀로 하기로 결정했습니다."
커뮤니티 개발자들은 drip()이 호출되기 전에 패치가 적용되기를 희망했다고 Leshner가 오늘 트윗했습니다. Banteg는 이 익스플로잇을 "DeFi에서 가장 잘 지켜지는 비밀"이라고 불렀습니다.
Leshner는 위험에 처한 COMP의 총 금액이 현재 약 490,000 또는 160억 136만 달러라고 말했습니다.
암호화폐 거래자인 크리스토퍼 무니(Christopher Mooney)는 Banteg의 게시물에 대해 이렇게 말했습니다. 인간성에 대한 믿음을 조금 회복시켜주지만, 결국 당신들 중 한 명이 혼돈 중립을 선택했습니다."
Leshner는 트윗에서 "앞으로 배포판을 수정하는 거버넌스 프로세스를 통해 패치가 진행되는 것과 이 버그를 관리하기 위해 노력하는 커뮤니티 구성원에 대해 낙관적입니다."라고 말했습니다. COMP는 지난 4.6시간 동안 24% 하락했습니다.
출처: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
