$ 160 miljoen in gevaar vanwege bug in DeFi Lending Protocol Compound

Noot van de redactie: dit artikel is bijgewerkt met commentaar van Robert Leshner en Banteg.

Een week geleden noemde Compound-oprichter Robert Leshner een bug in het slimme contract van zijn leenprotocol een ‘moreel dilemma’. Voor sommigen misschien, maar voor anderen zijn de slimme contracten tegenwoordig een automaat vol gratis contant geld geworden.

Vandaag heeft iemand misbruik gemaakt van een bug in het Controller-contract van Compound, het deel van het protocol dat beloningen voor opbrengstlandbouw uitdeelt aan gebruikers. Door het aanroepen van de drip()-functie van Compound, hebben ze $68 miljoen, of 202,472 COMP, overgemaakt van het reservoir van Compound naar de Comptroller. 

Sinds Banteg, een kernontwikkelaar bij Yearn.Finance, eerder vanmiddag over de exploit tweette, hebben vier grote transacties de Comptroller-pool van 64,997 COMP, of $21.4 miljoen, leeggemaakt. Bij één van die transacties werd 37,504 COMP, oftewel $12.3 miljoen, opgenomen. Banteg zei dat alleen “adressen met de buggy-status kunnen leeglopen” en dat er nog vijf adressen zijn die $ 45 miljoen kunnen claimen, “waardoor de Comptroller leeg raakt.”

Vorige week, na een update genaamd Voorstel 062, begon de Comptroller-pool 280,000 COMP uit te delen aan de verkeerde mensen.  Leshner vroeg gebruikers om het geld terug te geven en bedankte iedereen die dat deed.

Maar vanwege de manier waarop het bestuur van Compound is gestructureerd, duurt het zeven dagen om de fout te corrigeren. 

Iedereen kan meer COMP aan de Comptroller-pool toevoegen door drip() aan te roepen, een publieke functie, maar niemand heeft al weken gebeld. 

“Toen de drip()-functie vanochtend werd aangeroepen, stuurde deze de achterstand (202,472.5, ongeveer twee maanden COMP sinds de laatste keer dat de functie werd aangeroepen) naar het protocol voor distributie onder gebruikers”, twitterde Leshner vandaag.

“Het infuusprobleem is al een paar dagen bekend bij Compound en de beveiligingsonderzoekers”, vertelde Banteg decoderen, “maar omdat er geen oplossing was, werd besloten het geheim te houden in de hoop dat niemand het zou merken totdat er een patch uitkwam.”

Community-ontwikkelaars hoopten dat patches live zouden gaan voordat drip() werd aangeroepen, tweette Leshner vandaag. Banteg noemde de exploit ‘het best bewaarde geheim in DeFi’.

Leshner zei dat het totale bedrag aan COMP dat gevaar loopt nu ongeveer 490,000 bedraagt, oftewel 160 miljoen dollar, “waarvan 136 nog steeds in de Comptroller zit en 117 tot nu toe is teruggegeven aan de gemeenschap.”

In een reactie op het bericht van Banteg zei cryptohandelaar Christopher Mooney: “Ik ben eerlijk gezegd onder de indruk dat het zo lang heeft geduurd gezien het aantal mensen dat het wist. Herstelt mijn vertrouwen in de mensheid een beetje, maar uiteindelijk heeft één van jullie chaotisch neutraal gekozen.”

Leshner tweette: "Voor de toekomst ben ik optimistisch over de patches die hun weg vinden door het governanceproces, die de distributie repareren, en over de gemeenschapsleden die eraan werken om deze bug te beheersen." COMP is de afgelopen 4.6 uur met 24% gedaald.

Bron: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol